yzddMr6's Blog

信息安全


  • 首页

  • 分类

  • 标签

  • 归档

  • 知识星球

  • 关于

  • 搜索

webshell-venom 3.0

发表于 2019-08-12 更新于 2020-06-04 分类于 安全工具 阅读次数:

前言

2019-7-16 发在土司的文章

项目地址:

https://github.com/yzddmr6/webshell-venom

webshell-venom 3.0 更新特点:

1
2
3
4
5
6
7
1. 修复已知问题:宝塔在遇到header404时会解析到他的404模版上而不是shell上导致无法连接,故去除头部的404,如有需要自行添加

2. 变量全员随机化,不再有固定的变量名称

3. 增加流量传输编码方式并且兼容原版

4. 免杀依旧,自己扫两遍就知道了

流量编码原理及使用方式:

看了很多文章甚至包括蚁剑的编码器demo里面都是用一些特定的shell来base64或者hex或者gzin的方式来绕过各种waf的流量检测

但是问题就是不兼容,麻烦,还要上不同的马

并且不好做维护,因为你的特定shell一旦成为已知样本后就相当于完全gg

3.0就解决了这个问题

其实原理很简单,就是如下的一行代码:

1
isset($_GET['id'])?base64_decode($_POST['mr6']):$_POST['mr6'];

如果存在id这个get的参数就把post的数据base64解密一遍

否则就直接传参

也就是说我们只要使用的时候不加id这个参数就能像一般的shell使用

需要过流量检测的时候就加个id=xxx

后面的xxx不固定,也是为了增加随机化

使用实例:
image

生成测试文件test.php

直接明文post

image

加入id参数后base64传参

image

用蚁剑连接的话就用官方的base64_bypass编码器

抓个流量

image

后言

经过测试把参数全部base64后可以绕过某里云 某锁 某狗 某塔,基本上够用了

如果想要gzin或者hex传输请自己修改

base64只是个参考如果觉得一层不够可以多加几层混淆

这个就需要你自己动手了

最后的最后

禁止用于非法用途!

本文标题:webshell-venom 3.0

文章作者:yzddMr6

发布时间:2019年08月12日 - 07:50

最后更新:2020年06月04日 - 19:22

原始链接:https://yzddmr6.tk/posts/webshell-venom-3-0-1/

许可协议: 转载请保留原文链接及作者。

你的支持将是我更新的动力!
yzddMr6 微信支付

微信支付

# 免杀 # webshell-venom
如何优雅的把cmdshell升级为一句话
关于我的星球
  • 文章目录
  • 站点概览
yzddMr6

yzddMr6

慢就是快,少就是多。
48 日志
3 分类
15 标签
RSS
GitHub E-Mail 简书
友情链接
  • NaiveKun
  • Fi9coder
  • Sardinefish
  • Panda
  • 卿先生
  • 九世
  • LFY
  1. 1. 前言
  2. 2. 项目地址:
  3. 3. webshell-venom 3.0 更新特点:
    1. 3.1. 流量编码原理及使用方式:
  4. 4. 后言
  5. 5. 最后的最后
© 2021 yzddMr6
|