|
|
51CTO旗下网站
|
|
移动端

一句话木马之常见十种过狗姿势测试

“一句话木马”短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。本文主要总结一下常见的绕过安全检测的思路抛砖引玉,请各位大佬多讨论指教。

作者:si1ence来源:FreeBuf|2018-09-21 10:45

一、前言

“一句话木马”短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。

本文主要总结一下常见的绕过安全检测的思路抛砖引玉,请各位大佬多讨论指教。

一句话木马之常见十种过狗姿势测试

W ebshell的检测方法目前大致可以分为二类:

二、十种绕过姿势

1. 常规的一句话木马格式能够被轻易识别,举例如下:

2. 大小写混淆配合字符串关键函数strtolower,举例如下:

3. 字符串逆序配合大小写混淆,关键函数strtolower、strrev,举例如下:

4. 字符串逆序、大小写混淆、字符串拼接,举例如下:

5. 定义函数,举例如下:

6. 定义类,举例如下:

7. 定义类、使用base64编码函数:

8. 定义函数、base64编码,举例如下:

9. 字符串拼接:

10. 数据字典、数组拼接:

三、检测

官网下载的网站安全狗Apache版本 V3.5测试:

四、总结

安全是攻防技术相互促进发展的过程,路漫漫其修远兮。

流量层明文抓取字符串识别相对会容易一些,通过动态执行的方式检测检出率应该会高一些。传递的参数也可以才有类似的方式绕过检测,比如用多次base64编码。

类似的函数还有很多,比如 parse_str、str_replace、preg_replace、create_function这一类,一句话有多种灵活的方式利用还有多种思路可以绕过检测,欢迎各位大佬讨论。

【编辑推荐】

  1. 工业互联网安全 | 台积电之后,下一个“中毒”的会是谁?
  2. 怎样选择终端安全产品?这是一份怀疑论者指南
  3. 基于人机共智,守护企业级安全!深信服发布安全托管服务
  4. 浪潮网络连续两届亮相国家网络安全宣传周
  5. 互联网安全现状:企业对安全仍不够重视
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

软件设计师考试全真模拟试题及解析

本书是按照全国计算机技术与软件专业技术资格(水平)考试《软件设计师考试大纲》的要求,参照《软件设计师教程》及近年来考试试题编写的,...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊