哪吒机器人提醒:
提醒:梦之光芒
【标题】常见 Webshell 的检测方法及检测绕过思路
【摘要】 之前发的一篇,转过来。webshell的因素 我们从一个最简单的webshell结构可以看出其基本结构:“” 从目前被公布的一句话webshell来看,基本都符合这个结构,即shell的实现需要两步:数据的传递、执行所传递的数据。 数据传递&绕过检测 对于数据传递,我们通常的做法是使用$_get、$_post、$_server、$_cookie等获取客户端数据。但这类关键词如果直接出现的话,那么可以很容易回溯到,我们有几种方案来解决这个问题:利用应用本身所在框架的输入封装来得到传递的数据采取某种变通的方式来绕过检测,譬如使用${"_g"."et"}。不过这种方式也有自身的缺点,可以跟踪“${”;不过这种跟踪又可以通过“$/*a*/{”这种方式绕过(当然其又有被跟踪的可能性)。使用其他数据获取方式来获取数据,譬如$_request、$globals[“_get”]、$_file等。人为构造语言缺陷或应用漏洞,并且这种缺陷是不易察觉的,譬如伪造管理员session等。 ... (02-10 14:16)
手机哪吒网 m.iNezha.com