青藤云Webshell查杀绕过

上周看到一些朋友在发青藤云的聊天记录，绕过一个发200块红包。周末的时候就简单做了个测试。
首先使用绕过D盾的webshell，发现被标记为恶意。这就有点意思了。我去看了一下聊天记录的内容，看原理是采用的深度学习的方式。猜测是有监督的方式来实现的（仅为猜测）。我这里绕过的思路采用的是，使用开源程序进行修改，带入一句话后门代码。

记得Phpmyadmin的index.php文件中包含有include ROOT_PATH . $_REQUEST['target'];这样的代码，如果不看上下文，这个妥妥的文件包含漏洞。不过上文有过滤和判断处理，导致无法包含任意文件。我将其修改为包含任意文件。同时保留来一些源码，把影响执行的代码注释掉（因为适应多种环境，适用但文件的情况）。
最终修改的代码如下：

测试是否正常使用，确认可用后，上传测试。结果显示为正常。至此绕过完成。下图是结果（2019年12月29日测试结果）。具体如何使用，可以看上一篇绕过D盾的内容。

总结
青藤云这个做的确实不错。绕过的思路还有其他的，我的思路是选择避开eval，assert使用率高的特征，同时在加入一些正常文件代码的方式来绕过。对于还有其它思路，这里仅作为测试研究。另外除了检测以外，还需要考虑误报情况，我测试传的一个正常文件也报恶意了，所以这个也是需要进行权衡的。