新型webshell查杀平台绕过思路分享

年前捣鼓了下某伏魔挑战赛，幸运的是还能绕过平台查杀，不幸的是在年前收到全部思路已经重复的通知。

这里记录下自己的绕过思路：

1、掩耳盗铃法

第一时间就上FUZZ大法利用webshell查杀平台的php环境和本地环境差异进行绕过。人话：本地能运行，查杀平台引擎无法运行解析的webshell。

用get_defined_constants函数遍历了所有本地环境的常量及其对应的值，转成整形后将其作为数值后与特定的数相加以变形成"system"这个敏感函数。当然可以是其他敏感函数，这只是一个举例，代码如下：

自动生成了一千左右的webshell，直接在里面选100个丢在伏魔平台进行查杀，查杀率还是比较高，但是已经有很多漏网之鱼了，去掉一些curl扩展自带的函数还是有非常多能过的，这一千个大概能有50个能过平台查杀。

检测结果

抽出来的一个webshell例子

本地执行的结果

2、goto label干扰

核心绕过点是模拟引擎 goto label实现不完全，导致执行流污点中断。这一堆if是想通过条件判断来实现欺骗模拟引擎的作用，但是这鬼东西有点变态，最后发现用goto label可以干扰引擎

命令执行：

剩下一些没有实现的、和其他人想法冲突的、没绕过平台查杀的，但是觉得思路非常骚气的，如：

1、实现读取当前文件创建时间是否大于30分钟，大于30分钟就是一个正常的webshell。

2、实现伪随机数webshell，需要多次爆破才能执行一次命令，大部分情况下都是一个正常的php文件。

原文始发于微信公众号（四八七驴安全历险记）：新型webshell查杀平台绕过思路分享