利用随机异或无限免杀d盾 2.0

发表于 更新于 分类于 阅读次数: 
1
三个月前写在圈子的第二篇文章

随机异或脚本 2.0更新内容

1
2
3
4
5
1.	更新免杀
2.	解决了PHP5.4以下没有hex2bin函数的BUG
3.	在变量池中去除导致脚本不能使用的转义符\
4.	精简体积 370字节->270字节
5.	Header改为404,更为隐蔽

其实上一篇文章写之前就已经有了心理准备

上次发的脚本自己用了几个月没事

发出来不到一个星期就不免杀了

image

image

既然已经被识别了,那么就开始着手研究如何绕过吧

首先有一个已经被识别成已知后门了,不过不用担心
因为我们可以用脚本生成无限多个不一样的
然后发现D盾识别的特征是变量函数

说明了两个问题

1
2
1.	随机异或的部分是没有问题的,D盾是无法识别的
2.	Waf识别的是把POST的数据传输到assert函数的过程中

那么接下来要解决的就是函数调用
这里仅提供一个参考
基本的思路还是类调用
我们把这一句删了看看

image
image

D就不查杀了

说明D盾对$xxx($xxx)这种格式敏感

经过测试用魔术方法__destruct然后把函数调用的地方改成类里面的变量就可以了
$xxx($this->xxx)

image

成品

image

然后就是按着这个模版来写无限脚本了

用法同上一篇文章,看日志或者打开后都是404界面,更为隐蔽.

image

项目地址

https://github.com/yzddmr6/webshell-venom

最后

大佬们没事去给个星星吧
你们的star是我更新的动力~

本文标题:利用随机异或无限免杀d盾 2.0

文章作者:yzddMr6

发布时间:2019年08月11日 - 22:09

最后更新:2020年06月04日 - 19:22

原始链接:https://yzddmr6.tk/posts/webshell-venom-2-0/

许可协议: 转载请保留原文链接及作者。

你的支持将是我更新的动力!