最新webshell免杀过在线查杀平台(php版)

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

欢迎关注本公众号，长期推送技术文章

前言

很长一段时间没有更新文章了，今天分享一篇今天下午刚刚出来的php免杀webshell，主要是对函数system进行混淆，然后执行命令

免杀思路

总的来说，目前的主流免杀主要有以下几种：

• 分析统计内容（传统）：可以结合字符黑名单和函数黑名单或者其他特征列表（例如代码片段的Hash特征表），之后通过对文件信息熵、元字符、特殊字符串频率等统计方式发现WebShell。
• 语义分析（AST）：把代码转换成AST语法树，之后可以对一些函数进行调试追踪，那些混淆或者变形过的webshell基本都能被检测到。但是对于PHP这种动态特性很多的语言，检测就比较吃力，AST是无法了解语义的。
• 机器学习（AI）：这种方法需要大量的样本数据，通过一些AI自动学习模型，总结归类Webshell的特征库，最终去检测Webshell。
• 动态监控（沙箱）：采用RASP方式，一旦检测到有对应脚本运行，就去监控（Hook）里边一些危险函数，一旦存在调用过程将会立刻阻止。这种阻止效果是实时的，这种方法应该是效果最好的，但是成本十分高昂。

本文主要就是使用混淆，对特定函数名进行处理，避免关键词查杀，然后增加处理逻辑，避免被程序直接运行后检测到

效果

使用

这个写的比较简单，最终的逻辑就是仿照的一句话木马：

 <?php system("whoami"); ?>

使用就是直接加上参数?x=whoami即可

 http://127.0.0.1/11/2.php?x=whoami

总结

该脚本的思路是比较简单的，就是使用自定义函数进行混淆，首先过静态查;

https://github.com/Muhansrc/shell

原文始发于微信公众号（渗透云记）：最新webshell免杀过在线查杀平台(php版)