一句話木馬之常見十種過狗姿勢測試
*本文作者:si1ence,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。
前言
“一句話木馬”短小精悍,而且功能強大,隱蔽性非常好,在入侵中始終扮演著強大的作用,居家生活搞站越貨必備神器。
本文主要總結一下常見的繞過安全檢測的思路拋磚引玉,請各位大佬多討論指教。
W ebshell的檢測方法目前大致可以分為二類:
檢測方法 | 繞過方式 |
---|---|
靜態文字查殺 | 大小寫繞過、文字顛倒、文字分割、加密、語法規則 |
動態執行查殺 | 加密傳輸、改變傳輸特徵 |
0×1 十種繞過姿勢
1、常規的一句話木馬格式能夠被輕易識別,舉例如下:
2、大小寫混淆配合字串關鍵函式strtolower,舉例如下:
3、字串逆序配合大小寫混淆,關鍵函式strtolower、strrev,舉例如下:
4、字串逆序、大小寫混淆、字串拼接,舉例如下:
5、定義函式,舉例如下:
6、定義類,舉例如下:
7、定義類、使用base64編碼函式:
8、定義函式、base64編碼,舉例如下:
9、字串拼接:
10、資料字典、陣列拼接:
0×2 檢測
官網下載的網站安全狗Apache版本 V3.5測試:
0×3 總結
安全是攻防技術相互促進發展的過程,路漫漫其修遠兮。
流量層明文抓取字串識別相對會容易一些,通過動態執行的方式檢測檢出率應該會高一些。傳遞的引數也可以才有類似的方式繞過檢測,比如用多次base64編碼。
類似的函式還有很多,比如 parse_str、str_replace、preg_replace、create_function這一類,一句話有多種靈活的方式利用還有多種思路可以繞過檢測,歡迎各位大佬討論。
*本文作者:si1ence,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。