去去去7php7家,php7.1后webshell免杀的去路

本文分析了在PHP7.1及以后版本中,由于D盾等安全软件对eval函数的严格检测,导致webshell免杀面临的挑战。文章通过实例展示了如何通过异或赋值、特殊字符和换行符来隐藏和混淆参数,从而绕过安全检测。总结了在PHP7.1环境下,免杀技术需要从eval参数入手,结合隐藏和混淆技巧,以应对日益严格的检测机制。
摘要由CSDN通过智能技术生成

php7.1后webshell免杀的去路

严格的D盾

D盾说,我是个严格的人,看到eval我就报木马,“看着像“=”就是“木马,宁可错杀一千,绝不放过一个。好了,多说无益,一起看看严格的D盾是如何错杀的。

我随手写一个php文件:代码如下:<?php

function encode($para0){

return $para0;

}

$b = encode("aaaa");

$a = "ccc";

eval($a);

?>

很明显没有传参呀,GET和POST都没有,压根儿就不是木马的,但是D盾竟然给我直接报了已知后门,我哭辽,如下:

大家最初的绕过应该大多都是基于”assert"的拆分和隐藏绕过的,但是在php7.1后assert变成了一种语言结构,我们已经不能像从前一样任性的拆分和隐藏了,那么我们这些渗透测试er该何去何从呢?,能否找到新的技巧呢?当然,技巧千千万,找一些少见的函数,少见的特殊字符都是不错的选择。但是我们能否借助在php7.1之前的隐藏和拆分”assert“的思路呢?答案是肯定的,我们可以尝试隐藏和拆分传入eval中的参数来直面eval函数绕过。

隐藏POST和GET

在php7.1之后,如果我们转换思路,不再纠结于隐藏assert,eval等命令执行函数(因为assert变成了一种语言结构,也无法隐藏了,无需隐藏

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值