内容简介:“一句话木马”短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。本文主要总结一下常见的绕过安全检测的思路抛砖引玉,请各位大佬多讨论指教。
*本文作者:si1ence,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
前言
“一句话木马”短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。
本文主要总结一下常见的绕过安全检测的思路抛砖引玉,请各位大佬多讨论指教。
W ebshell的检测方法目前大致可以分为二类:
| 检测方法 | 绕过方式 |
|---|---|
| 静态文本查杀 | 大小写绕过、文本颠倒、文本分割、加密、语法规则 |
| 动态执行查杀 | 加密传输、改变传输特征 |
0×1 十种绕过姿势
1、常规的一句话木马格式能够被轻易识别,举例如下:
2、大小写混淆配合字符串关键函数strtolower,举例如下:
3、字符串逆序配合大小写混淆,关键函数strtolower、strrev,举例如下:
4、字符串逆序、大小写混淆、字符串拼接,举例如下:
5、定义函数,举例如下:
6、定义类,举例如下:
7、定义类、使用base64编码函数:
8、定义函数、base64编码,举例如下:
9、字符串拼接:
10、数据字典、数组拼接:
0×2 检测
官网下载的网站安全狗Apache版本 V3.5测试:
0×3 总结
安全是攻防技术相互促进发展的过程,路漫漫其修远兮。
流量层明文抓取字符串识别相对会容易一些,通过动态执行的方式检测检出率应该会高一些。传递的参数也可以才有类似的方式绕过检测,比如用多次base64编码。
类似的函数还有很多,比如 parse_str、str_replace、preg_replace、create_function这一类,一句话有多种灵活的方式利用还有多种思路可以绕过检测,欢迎各位大佬讨论。
*本文作者:si1ence,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 木马分析:分析针对意大利的Ursnif银行木马
- 驱动人生供应链木马攻击2019.1.30变种木马分析
- 强大的姿势感知模型用于姿势不变的人脸识别
- 年度挖矿木马研究浅谈:2019或是挖矿木马“转型”年
- 从姿势到图像——基于人体姿势引导的时尚图像生成算法
- 行人重识别告别辅助姿势信息,港中文、商汤等提出姿势无关的特征提取GAN
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Code Reading
Diomidis Spinellis / Addison-Wesley Professional / 2003-06-06 / USD 64.99
This book is a unique and essential reference that focuses upon the reading and comprehension of existing software code. While code reading is an important task faced by the vast majority of students,......一起来看看 《Code Reading》 这本书的介绍吧!
图片转BASE64编码
在线图片转Base64编码工具
RGB HSV 转换
RGB HSV 互转工具