随机异或脚本 2.0更新内容
1. 更新免杀
2. 解决了PHP5.4以下没有hex2bin函数的BUG
3. 在变量池中去除导致脚本不能使用的转义符\
4. 精简体积 370字节->270字节
5. Header改为404,更为隐蔽
其实上一篇文章写之前就已经有了心理准备
上次发的脚本自己用了几个月没事
发出来不到一个星期就不免杀了
image
image
怎么说呢
其实这种东西完全可以自己留着用不公开
因为用的人多了,肯定会被各大waf注意到,人家都不是吃素的
但是我总是觉得网络之所以能够进步是因为总有人愿意能把自己好的东西好的经验分享出来
让后面的人少走弯路.
另外也不能对不起github上的那几个星星啊
既然已经被识别了,那么就开始着手研究如何绕过吧
首先有一个已经被识别成已知后门了,不过不用担心
因为我们可以用脚本生成无限多个不一样的
然后发现D盾识别的特征是变量函数
说明了两个问题
1. 随机异或的部分是没有问题的,D盾是无法识别的
2. Waf识别的是把POST的数据传输到assert函数的过程中
那么接下来要解决的就是函数调用
这里仅提供一个参考
基本的思路还是类调用
我们把这一句删了看看
image
image
D就不查杀了
说明D盾对xxx)这种格式敏感
经过测试用魔术方法__destruct然后把函数调用的地方改成类里面的变量就可以了
this->xxx)
image
成品
image
然后就是按着这个模版来写无限脚本了
用法同上一篇文章,看日志或者打开后都是404界面,更为隐蔽.
image
项目地址
https://github.com/yzddmr6/webshell-venom
最后
大佬们没事去给个星星吧
你们的star是我更新的动力~
