没有合适的资源？快使用搜索试试~ 我知道了~

文库首页安全技术网络安全php马-bypass _ alin'Blog1

php马-bypass _ alin'Blog1

需积分: 0 0 下载量 20 浏览量 2022-08-03 15:03:51 上传评论收藏 3.28MB PDF 举报

温馨提示

试读

15页

php马-bypass _ alin'Blog1

资源详情

资源评论

资源推荐

alin'Blog

php马-bypass

 2020-08-04 |  web安全

0x00: 前言

一般的，利用能够执行系统命令、加载代码的函数，或者组合一些普通函数，完成一些高级间谍功能

的网站后门的脚本，叫做Webshell。

本篇文章主要探讨关于PHP语言的Webshell检测工具和平台的绕过方法，实现能够绕过以下表格中7

个主流(基本代表安全行业内PHP Webshell检测的一流水平)专业工具和平台检测的PHP Webshell，

构造出零提示、无警告、无法被检测到的一句话木马后门。

编号名称参考链接

1 网站安全狗网马查杀

http://download.safedog.cn

/download/software/safedo

gwzApache.exe

2 D盾 Web查杀

http://www.d99net.net/dow

n/WebShellKill_V2.0.9.zip

3 深信服WebShellKillerTool

http://edr.sangfor.com.cn/t

ool/WebShellKillerTool.zip

4 BugScaner killwebshell

http://tools.bugscaner.com/

killwebshell/

5 河马专业版查杀Webshell http://n.shellpub.com/

OpenRASP WEBDIR+检测引

擎

https://scanner.baidu.com

深度学习模型检测PHP

Webshell

http://webshell.cdxy.me/

研究期间做了大量的测试，限于篇幅和文章效果，在不影响阅读体验的情况下，部分测试过程和结果

略去了。

0x01：Webshell后门

目前来讲，我把用纯php代码实现的Webshell后门(以下统称为”木马”)，主要分为以下几类：

单/少功能木马

能完成写入文件、列目录、查看文件、执行一些系统命令等少量功能的Webshell。

逻辑木马

利用系统逻辑漏洞或构造特殊触发条件，绕过访问控制或执行特殊功能的Webshell。

一句话木马

可以在目标服务器上执行php代码，并和一些客户端(如菜刀、Cknife)进行交互的Webshell。

多功能木马

根据PHP语法，编写较多代码，并在服务器上执行，完成大量间谍功能的Webshell(大马)。

其中，一句话木马的原理如下图：

客户端将PHP代码使用特殊参数名(密码)，发送给放置在服务端上的一句话木马文件；

一句话木马脚本则在服务器上执行发来的PHP代码，然后将执行结果回传给客户端，客户端将

结果解析并展示给操作者。

0x02：查杀现状研究

根据0x01的一句话木马原理，我们知道必须要在服务器上执行客户端发来的字符串形式的PHP代

码。

脚本要将字符串(或文件流)当作PHP代码执行，目前主要会使用以下函数：

函数说明

eval

PHP 4, PHP 5, PHP 7+ 均可用，接受一个参

数，将字符串作为PHP代码执行

assert

PHP 4, PHP 5, PHP 7.2 以下均可用，一般接

受一个参数，php 5.4.8版本后可以接受两个参

数

正则匹配类

preg_replace/ mb_ereg_replace/preg_filter

等

文件包含类

include/include_once/require/require_once

/file_get_contents等

本文为了好说明问题，统一将上面表中可以将字符串当作代码执行的函数临时起个名字，叫”函数机

“。

不幸的是，但凡直接出现函数机，即便不是进行恶意操作，部分查杀软件也会产生警告，达不到我们

的要求。

比如用D盾检测如下脚本：

剩余14页未读，继续阅读

内容反馈

陈游泳

粉丝: 28
资源: 303

上传资源快速赚钱

我的内容管理展开

我的资源快来上传第一个资源

我的收益

登录查看自己的收益

我的积分登录查看自己的积分

我的C币登录后查看C币余额

我的收藏

我的下载

下载帮助

前往需求广场，查看用户热搜

php马-bypass _ alin'Blog1

评论0

最新资源

php马-bypass _ alin'Blog1

评论0

hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip

NGS-bypas_inject_nexon_bypass_nexongamesecurity_NGS_源码.zip

bypass-paywalls-chrome-master_bypass_sitetemplate_

Qualcomm-BYPASS-2021-for-test-main_bypassauth_

NGS-bypas_inject_nexon_bypass_nexongamesecurity_NGS_

samsung-activation-bypass-v2跳过-45.zip

Pro Bangla Bypass Tool_probangla_bypass_tool_icloud_Icloudbypass

mtk机型修复nv 授权 解包MTK_Auth_Bypass_Tool_V25+24双版合一

bypass-signcode-x3.xem_bypass_TheClient_XingCode_XIgnCode3ByPass

「安全教育」3_ZN2018_WV_-_CSP_bypass - 威胁情报.zip

Disable-Windows-Defender_BypassDefender_windows_

信息安全_数据安全_3_ZN2018_WV_-_CSP_bypass.pdf

bypass_bypass_

Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软1

VB-UAC-BYPASS.rar_VB 提权_bypass uac_vb uac_提权_模拟CMD

MTK全系列超好用解锁软件

sqli-bypass靶场

Bypass_1.13.79.zip

php用户管理系统（简单）

基于PHP+MySQL+Apache在线考试管理系统（附源码）

php+mysql期末作业小项目

ChatGPT商业版网站源码，php编译，支持收费功能

基于PHP民宿管理系统设计与实现（完整源码+数据库+文档）

彩票网站源码_php彩票源码程序,彩票系统全套源码php

PHP-在校学生成绩管理系统-源码

自主研发的软著申请代码文档整理输出工具

小狐狸CHATGPT智能问答AI创作系统v1.6.4 PHP源码

php生成PDF电子合同签名

会员管理系统源码 php语言开发 可用于美容店，理发店，服装店，美甲店，奢侈品店等等 功能介绍： 1.常用功能 会员登记，会员充

最新资源

mtk机型修复nv 授权解包MTK_Auth_Bypass_Tool_V25+24双版合一

会员管理系统源码 php语言开发可用于美容店，理发店，服装店，美甲店，奢侈品店等等功能介绍： 1.常用功能会员登记，会员充