yzddMr6's Blog

信息安全


  • 首页

  • 分类

  • 标签

  • 归档

  • 知识星球

  • 关于

  • 搜索

利用随机异或无限免杀d盾 2.0

发表于 2019-08-11 更新于 2020-06-04 分类于 安全工具 阅读次数:
1
三个月前写在圈子的第二篇文章

随机异或脚本 2.0更新内容

1
2
3
4
5
1.	更新免杀
2. 解决了PHP5.4以下没有hex2bin函数的BUG
3. 在变量池中去除导致脚本不能使用的转义符\
4. 精简体积 370字节->270字节
5. Header改为404,更为隐蔽

其实上一篇文章写之前就已经有了心理准备

上次发的脚本自己用了几个月没事

发出来不到一个星期就不免杀了

image

image

既然已经被识别了,那么就开始着手研究如何绕过吧

首先有一个已经被识别成已知后门了,不过不用担心
因为我们可以用脚本生成无限多个不一样的
然后发现D盾识别的特征是变量函数

说明了两个问题

1
2
1.	随机异或的部分是没有问题的,D盾是无法识别的
2. Waf识别的是把POST的数据传输到assert函数的过程中

那么接下来要解决的就是函数调用
这里仅提供一个参考
基本的思路还是类调用
我们把这一句删了看看

image
image

D就不查杀了

说明D盾对$xxx($xxx)这种格式敏感

经过测试用魔术方法__destruct然后把函数调用的地方改成类里面的变量就可以了
$xxx($this->xxx)

image

成品

image

然后就是按着这个模版来写无限脚本了

用法同上一篇文章,看日志或者打开后都是404界面,更为隐蔽.

image

项目地址

https://github.com/yzddmr6/webshell-venom

最后

大佬们没事去给个星星吧
你们的star是我更新的动力~

本文标题:利用随机异或无限免杀d盾 2.0

文章作者:yzddMr6

发布时间:2019年08月11日 - 22:09

最后更新:2020年06月04日 - 19:22

原始链接:https://yzddmr6.tk/posts/webshell-venom-2-0/

许可协议: 转载请保留原文链接及作者。

你的支持将是我更新的动力!
yzddMr6 微信支付

微信支付

# 免杀 # webshell-venom
利用随机异或无限免杀d盾
无限免杀D盾脚本之aspx
  • 文章目录
  • 站点概览
yzddMr6

yzddMr6

慢就是快,少就是多。
48 日志
3 分类
15 标签
RSS
GitHub E-Mail 简书
友情链接
  • NaiveKun
  • Fi9coder
  • Sardinefish
  • Panda
  • 卿先生
  • 九世
  • LFY
  1. 1. 随机异或脚本 2.0更新内容
    1. 1.1. 说明了两个问题
  2. 2. 成品
  3. 3. 项目地址
  4. 4. 最后
© 2021 yzddMr6
|