内容简介:“一句话木马”短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。本文主要总结一下常见的绕过安全检测的思路抛砖引玉,请各位大佬多讨论指教。
*本文作者:si1ence,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
前言
“一句话木马”短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。
本文主要总结一下常见的绕过安全检测的思路抛砖引玉,请各位大佬多讨论指教。
W ebshell的检测方法目前大致可以分为二类:
| 检测方法 | 绕过方式 |
|---|---|
| 静态文本查杀 | 大小写绕过、文本颠倒、文本分割、加密、语法规则 |
| 动态执行查杀 | 加密传输、改变传输特征 |
0×1 十种绕过姿势
1、常规的一句话木马格式能够被轻易识别,举例如下:
2、大小写混淆配合字符串关键函数strtolower,举例如下:
3、字符串逆序配合大小写混淆,关键函数strtolower、strrev,举例如下:
4、字符串逆序、大小写混淆、字符串拼接,举例如下:
5、定义函数,举例如下:
6、定义类,举例如下:
7、定义类、使用base64编码函数:
8、定义函数、base64编码,举例如下:
9、字符串拼接:
10、数据字典、数组拼接:
0×2 检测
官网下载的网站安全狗Apache版本 V3.5测试:
0×3 总结
安全是攻防技术相互促进发展的过程,路漫漫其修远兮。
流量层明文抓取字符串识别相对会容易一些,通过动态执行的方式检测检出率应该会高一些。传递的参数也可以才有类似的方式绕过检测,比如用多次base64编码。
类似的函数还有很多,比如 parse_str、str_replace、preg_replace、create_function这一类,一句话有多种灵活的方式利用还有多种思路可以绕过检测,欢迎各位大佬讨论。
*本文作者:si1ence,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 木马分析:分析针对意大利的Ursnif银行木马
- 驱动人生供应链木马攻击2019.1.30变种木马分析
- 强大的姿势感知模型用于姿势不变的人脸识别
- 年度挖矿木马研究浅谈:2019或是挖矿木马“转型”年
- 从姿势到图像——基于人体姿势引导的时尚图像生成算法
- 行人重识别告别辅助姿势信息,港中文、商汤等提出姿势无关的特征提取GAN
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
游戏化革命:未来商业模式的驱动力
[美]盖布·兹彻曼、[美]乔斯琳·林德 / 应皓 / 中国人民大学出版社有限公司 / 2014-8-1 / CNY 59.00
第一本植入游戏化理念、实现APP互动的游戏化商业图书 游戏化与商业的大融合、游戏化驱动未来商业革命的权威之作 作者被公认为“游戏界的天才”,具有很高的知名度 亚马逊五星级图书 本书观点新颖,游戏化正成为最热门的商业新策略 游戏化是当今最热门的商业新策略,它能帮助龙头企业创造出前所未有的客户和员工的参与度。商业游戏化策略通过利用从游戏设计、忠诚度计划和行为经济学中所汲取......一起来看看 《游戏化革命:未来商业模式的驱动力》 这本书的介绍吧!
