一句话木马之常见十种过狗姿势测试

栏目: 编程工具 · 发布时间: 6年前

内容简介:“一句话木马”短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。本文主要总结一下常见的绕过安全检测的思路抛砖引玉,请各位大佬多讨论指教。

*本文作者:si1ence,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

前言

“一句话木马”短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。

本文主要总结一下常见的绕过安全检测的思路抛砖引玉,请各位大佬多讨论指教。

W ebshell的检测方法目前大致可以分为二类:

检测方法 绕过方式
静态文本查杀 大小写绕过、文本颠倒、文本分割、加密、语法规则
动态执行查杀 加密传输、改变传输特征

0×1 十种绕过姿势

1、常规的一句话木马格式能够被轻易识别,举例如下:

一句话木马之常见十种过狗姿势测试

2、大小写混淆配合字符串关键函数strtolower,举例如下:

一句话木马之常见十种过狗姿势测试

3、字符串逆序配合大小写混淆,关键函数strtolower、strrev,举例如下:

一句话木马之常见十种过狗姿势测试

4、字符串逆序、大小写混淆、字符串拼接,举例如下:

一句话木马之常见十种过狗姿势测试

5、定义函数,举例如下:

一句话木马之常见十种过狗姿势测试

6、定义类,举例如下:

一句话木马之常见十种过狗姿势测试

7、定义类、使用base64编码函数:

一句话木马之常见十种过狗姿势测试

8、定义函数、base64编码,举例如下:

一句话木马之常见十种过狗姿势测试

9、字符串拼接:

一句话木马之常见十种过狗姿势测试

10、数据字典、数组拼接:

一句话木马之常见十种过狗姿势测试

0×2 检测

官网下载的网站安全狗Apache版本 V3.5测试:

一句话木马之常见十种过狗姿势测试

0×3 总结

安全是攻防技术相互促进发展的过程,路漫漫其修远兮。

流量层明文抓取字符串识别相对会容易一些,通过动态执行的方式检测检出率应该会高一些。传递的参数也可以才有类似的方式绕过检测,比如用多次base64编码。

类似的函数还有很多,比如 parse_str、str_replace、preg_replace、create_function这一类,一句话有多种灵活的方式利用还有多种思路可以绕过检测,欢迎各位大佬讨论。

*本文作者:si1ence,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

深入理解计算机系统(原书第3版)

深入理解计算机系统(原书第3版)

Randal E.Bryant、David O'Hallaron / 龚奕利、贺莲 / 机械工业出版社 / 2016-11 / 139.00元

和第2版相比,本版内容上*大的变化是,从以IA32和x86-64为基础转变为完全以x86-64为基础。主要更新如下: 基于x86-64,大量地重写代码,首次介绍对处理浮点数据的程序的机器级支持。 处理器体系结构修改为支持64位字和操作的设计。 引入更多的功能单元和更复杂的控制逻辑,使基于程序数据流表示的程序性能模型预测更加可靠。 扩充关于用GOT和PLT创建与位置无关代码的......一起来看看 《深入理解计算机系统(原书第3版)》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具