有小伙伴提议说,我们上个文章改了一下哥斯拉的流量,但是在实际的应用中,我们打战肯定要先传木马落地,如果不能落地,那么你流量改的再好,其实也没有意义,想想,确实也是。没有第一步上传文件,哪里存在流量呢。

那么这次咱们来做一下免杀。在实际的应用中,似乎我们经常碰到安全设备,奈何咱这也没有啥安全设备,我们就采用常见的厂商的在线杀软吧。

php

我们用默认生成的文件,

image-20241118113734653

拖到d盾中,看一下

image-20241118114632737

会报3级的双层变量,那好办,拿出来就行

image-20241118114954546

让他先等于一个变量,在传递就可以了。

完事之后,就可以了

image-20241118150517857

没有a.php了。

image-20241118152210198

河马报毒,我们使用fuzz方法看一下哪里有问题。

image-20241118152338008

image-20241118152350132

这里经过fuzz,这里有$qianxinITUfjjXmxo2($_POST[$qianxinw7hJzkKxyi])的时候,那么就报毒,那简单,直接给他拆出来,用变量写。

image-20241118152548119

这样写,就可以了

image-20241118152645497

这里本地版的河马是没有问题了,但是吧,在线版的河马就是过不去,只要出现eval,就直接报。暂时没有太好的办法。加密也行,不过比较麻烦。

像d盾河马这种都是静态查杀的,他不管你里面的内容是什么,出现eval这种或者eval() eval(chuanchan) 就会报,d盾还好解决一点,用类可以绕,但是把 河马死活绕不过,先搁下吧。

实际中,我们经常会见到一下商业waf,

image-20241118171049436

微步没报,但是他这个gtp说可能有问题。

火绒和360。火绒和360对webshell其实是不敏感的,终端安全,对cs 或者msf的🐎都比较敏感,所以感觉这个,没啥意义。也测一下吧。

image-20241118182716236

image-20241118182735288