前言
很长一段时间没有更新文章了,今天分享一篇今天下午刚刚出来的php免杀webshell,主要是对函数system进行混淆,然后执行命令
免杀思路
总得来说,目前的主流免杀主要有以下几种:
- 分析统计内容(传统):可以结合字符黑名单和函数黑名单或者其他特征列表(例如代码片段的Hash特征表),之后通过对文件信息熵、元字符、特殊字符串频率等统计方式发现WebShell。
- 语义分析(AST):把代码转换成AST语法树,之后可以对一些函数进行调试追踪,那些混淆或者变形过的webshell基本都能被检测到。但是对于PHP这种动态特性很多的语言,检测就比较吃力,AST是无法了解语义的。
- 机器学习(AI):这种方法需要大量的样本数据,通过一些AI自动学习模型,总结归类Webshell的特征库,最终去检测Webshell。
- 动态监控(沙箱):采用RASP方式,一旦检测到有对应脚本运行,就去监控(Hook)里边一些危险函数,一但存在调用过程将会立刻阻止。这种阻止效果是实时的,这种方法应该是效果最好的,但是成本十分高昂。
本文主要就是使用混淆,对特定函数名进行处理,避免关键词查杀,然后增加处理逻辑,避免被程序直接运行后检测到
效果
![图片[1]-最新webshell免杀过在线查杀平台(php版)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2024/04/d2b5ca33bd20240425230435.png)
![图片[2]-最新webshell免杀过在线查杀平台(php版)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2024/04/d2b5ca33bd20240425230430.png)
![图片[3]-最新webshell免杀过在线查杀平台(php版)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2024/04/d2b5ca33bd20240425230444.png)
![图片[4]-最新webshell免杀过在线查杀平台(php版)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2024/04/d2b5ca33bd20240425230339.png)
使用
这个写的比较简单,最终的逻辑就是仿照的一句话木马:
<?php
system("whoami");
?>![图片[5]-最新webshell免杀过在线查杀平台(php版)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2024/04/d2b5ca33bd20240425230352.png)
使用就是直接加上参数?x=whoami即可
http://127.0.0.1/11/2.php?x=whoami![图片[6]-最新webshell免杀过在线查杀平台(php版)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2024/04/d2b5ca33bd20240425230255.png)
总结
该脚本的思路是比较简单的,就是使用自定义函数进行混淆,首先过静态查杀,感兴趣的师傅可以关注公众号渗透云记
回复:20240425
进行获取测试哦
© 版权声明
渗透云记的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
渗透云记拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客,即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail:admin@encenc.com
THE END
请登录后查看评论内容