超级会员免费看
本文主要探讨了PHP WebShell的检测与免杀方法,包括静态检测的特征码匹配和误报漏报问题,以及PHP WebShell的常用功能如eval、assert等。通过HTTP请求头、代码混淆、函数重命名等方式进行免杀,并提供了多个免杀案例,如利用反射、反序列化和环境变量等手段绕过WAF检测。
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做 Webshell 。而php做为一门动态语言,其灵活性很高,因此一直以来 Webshell 的绕过与检测之间不断的产生着化学反应。
Webshell 绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解 Webshell 是如何检测的。
一、Webshell 检测
Webshell的运行流程: hacker -> HTTP Protocol -> Web Server -> CGI 。简单来看就是这样一个顺序:黑客通过浏览器以HTTP协议访问Web Server上的一个CGI文件。棘手的是,webshell就是一个合法的TCP连接,在TCP/IP的应用层之下没有任何特征(当然不是绝对的),只有在应用层进行检测。黑客入侵服务器,使用webshell,不管是传文件还是改文件,必然有一个文件会包含webshell代码,很容易想到从文件代码入手,这是静态特征检测;webshell运行后,B/S数据通过HTTP交互,HTTP请求/响应中可以找到蛛丝马迹,这是动态特征检测。
Webshell 检测真要细说
订阅专栏 解锁全文
扫一扫
3025
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
