!
也想出现在这里? 联系我们
创意广告

最新webshell免杀过在线查杀平台(php版)

前言

很长一段时间没有更新文章了,今天分享一篇今天下午刚刚出来的php免杀webshell,主要是对函数system进行混淆,然后执行命令

免杀思路

总得来说,目前的主流免杀主要有以下几种:

  • 分析统计内容(传统):可以结合字符黑名单和函数黑名单或者其他特征列表(例如代码片段的Hash特征表),之后通过对文件信息熵、元字符、特殊字符串频率等统计方式发现WebShell。
  • 语义分析(AST):把代码转换成AST语法树,之后可以对一些函数进行调试追踪,那些混淆或者变形过的webshell基本都能被检测到。但是对于PHP这种动态特性很多的语言,检测就比较吃力,AST是无法了解语义的。
  • 机器学习(AI):这种方法需要大量的样本数据,通过一些AI自动学习模型,总结归类Webshell的特征库,最终去检测Webshell。
  • 动态监控(沙箱):采用RASP方式,一旦检测到有对应脚本运行,就去监控(Hook)里边一些危险函数,一但存在调用过程将会立刻阻止。这种阻止效果是实时的,这种方法应该是效果最好的,但是成本十分高昂。

本文主要就是使用混淆,对特定函数名进行处理,避免关键词查杀,然后增加处理逻辑,避免被程序直接运行后检测到

效果

图片[1]-最新webshell免杀过在线查杀平台(php版)-安全小天地
图片[2]-最新webshell免杀过在线查杀平台(php版)-安全小天地
图片[3]-最新webshell免杀过在线查杀平台(php版)-安全小天地
图片[4]-最新webshell免杀过在线查杀平台(php版)-安全小天地

使用

这个写的比较简单,最终的逻辑就是仿照的一句话木马:

 <?php
     system("whoami");
 ?>
图片[5]-最新webshell免杀过在线查杀平台(php版)-安全小天地

使用就是直接加上参数?x=whoami即可

 http://127.0.0.1/11/2.php?x=whoami
图片[6]-最新webshell免杀过在线查杀平台(php版)-安全小天地

总结

该脚本的思路是比较简单的,就是使用自定义函数进行混淆,首先过静态查杀,感兴趣的师傅可以关注公众号渗透云记

回复:20240425

进行获取测试哦


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞1629 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容