前言
很长一段时间没有更新文章了,今天分享一篇今天下午刚刚出来的php免杀webshell,主要是对函数system进行混淆,然后执行命令
免杀思路
总的来说,目前的主流免杀主要有以下几种:
- 分析统计内容(传统):可以结合字符黑名单和函数黑名单或者其他特征列表(例如代码片段的Hash特征表),之后通过对文件信息熵、元字符、特殊字符串频率等统计方式发现WebShell。
- 语义分析(AST):把代码转换成AST语法树,之后可以对一些函数进行调试追踪,那些混淆或者变形过的webshell基本都能被检测到。但是对于PHP这种动态特性很多的语言,检测就比较吃力,AST是无法了解语义的。
- 机器学习(AI):这种方法需要大量的样本数据,通过一些AI自动学习模型,总结归类Webshell的特征库,最终去检测Webshell。
- 动态监控(沙箱):采用RASP方式,一旦检测到有对应脚本运行,就去监控(Hook)里边一些危险函数,一旦存在调用过程将会立刻阻止。这种阻止效果是实时的,这种方法应该是效果最好的,但是成本十分高昂。
本文主要就是使用混淆,对特定函数名进行处理,避免关键词查杀,然后增加处理逻辑,避免被程序直接运行后检测到
效果
使用
这个写的比较简单,最终的逻辑就是仿照的一句话木马:
system("whoami");
使用就是直接加上参数?x=whoami即可
http://127.0.0.1/11/2.php?x=whoami![最新webshell免杀过在线查杀平台(php版)]( "最新webshell免杀过在线查杀平台(php版)")
总结
该脚本的思路是比较简单的,就是使用自定义函数进行混淆,首先过静态查;
https://github.com/Muhansrc/shell
原文始发于微信公众号(渗透云记):最新webshell免杀过在线查杀平台(php版)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论