超级会员免费看
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做 Webshell 。而php做为一门动态语言,其灵活性很高,因此一直以来 Webshell 的绕过与检测之间不断的产生着化学反应。
Webshell 绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解 Webshell 是如何检测的。
一、Webshell 检测
Webshell的运行流程: hacker -> HTTP Protocol -> Web Server -> CGI 。简单来看就是这样一个顺序:黑客通过浏览器以HTTP协议访问Web Server上的一个CGI文件。棘手的是,webshell就是一个合法的TCP连接,在TCP/IP的应用层之下没有任何特征(当然不是绝对的),只有在应用层进行检测。黑客入侵服务器,使用webshell,不管是传文件还是改文件,必然有一个文件会包含webshell代码,很容易想到从文件代码入手,这是静态特征检测;webshell运行后,B/S数据通过HTTP交互,HTTP请求/响应中可以找到蛛丝马迹,这是动态特征检测。
Webshell 检测真要细说起来就超过本菜鸡的能力范围之内了,大致分为:
- 静态检测,通过匹配特征码,特征值,危险函数函数来查找 WebShell 的方法,只能查找已知的 WebShell,并且误报率漏报率会比较高,但是如果规则完善,可以减低误报率,但是漏报率必定
订阅专栏 解锁全文
1608
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
