也谈初级的webshell免杀方法
首先谈谈什么是webshell,顾名思义,webshell:"web" - 在web服务器上使用的、"shell" - 取得对服务器进行操作的权限,其实webshell是一个web的管理工具,所以也叫webadmin,但这个管理工具一般只被黑客(入侵者)利用,从而成为web入侵所常备的脚本攻击工具。百度百科是这么介绍的:webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。于是webshell又被当作木马来被各种杀毒软件所查杀,于是也就产生了相对应的技术讨论:webshell的免杀,这个问题很多前辈讨论过,我只是针对这个问题讲一点皮毛。
先说个题外话,如果网速足够快,其实没有必要上传一个webshell到你入侵的服务器里等着被杀,而只要将webshell放在本机就可以啦,然后传个一句话木马上去,在本地post一下就可以eval或者execute你的webshell了,于是有了海阳顶端的CS版本webshell,但是如果网速很慢,这样子往往不能很好的执行,于是就得使用免杀的啦...
Webshell是大牛们写的,免杀也有幕后高手在帮忙,于是长久以来一直用着别人免杀的webshell,由于个人习惯,海洋不是很常用,一直用站长助手(我还记得最老版本的站长助手...是老兵?),现在用的是别人改了又改的,但还是很好用,只不过有后门...我也懒得去修改,虽然以前总有这个冲动...
今天下午在重温阔别N久的渗透事业时,发现我传上去的大马虽然大小没变,可是打开却弹出系统登陆框,估计被杀软搞了,这个webshell我以前用都很顺利,今天却扫我信,很不爽,于是想自己免杀下...我百度下下,研究下前人带来的经验,最后做了下总结,免杀往往有如下几种方法(初级的):
1.改代码关键函数的大小写,大小写交夹;
2.对于易被杀毒软件查杀的fso读写代码,反写代码成字符串,然后用函数读并eval;
3.在代码字符串中夹杂陌生的字符或者汉字,然后用replace函数替换掉;
3.半拆连接,例如fso写成"f"&vbs&"s"&vbs&"o";
4.vb.encode等加密.
可是我没耐心慢慢改,于是再上网搜免杀的,结果搜了个回来,貌似是十三免杀的版本,定义的字符串都是shisan,版本估计老了,没vb.encode加密没能过杀软;于是我在原来的基础上继续用以上方法拆半修改,最后用vb.encode加密,结果最后居然过瑞星啦,HOHO...继续刚才的渗透,OK啦,成功拿下webshell以及3389(以后写文章),然后传给朋友试试卡巴,结果卡巴报了:)同志仍需努力...
以上只是初级的webshell免杀思路,如果想了解高深的请绕道...
下载(右击另存为):
原始版本的webshell(使用时修改后缀为.ASP):
免杀以后的webshell(使用时修改后缀为.ASP):
先说个题外话,如果网速足够快,其实没有必要上传一个webshell到你入侵的服务器里等着被杀,而只要将webshell放在本机就可以啦,然后传个一句话木马上去,在本地post一下就可以eval或者execute你的webshell了,于是有了海阳顶端的CS版本webshell,但是如果网速很慢,这样子往往不能很好的执行,于是就得使用免杀的啦...
Webshell是大牛们写的,免杀也有幕后高手在帮忙,于是长久以来一直用着别人免杀的webshell,由于个人习惯,海洋不是很常用,一直用站长助手(我还记得最老版本的站长助手...是老兵?),现在用的是别人改了又改的,但还是很好用,只不过有后门...我也懒得去修改,虽然以前总有这个冲动...
今天下午在重温阔别N久的渗透事业时,发现我传上去的大马虽然大小没变,可是打开却弹出系统登陆框,估计被杀软搞了,这个webshell我以前用都很顺利,今天却扫我信,很不爽,于是想自己免杀下...我百度下下,研究下前人带来的经验,最后做了下总结,免杀往往有如下几种方法(初级的):
1.改代码关键函数的大小写,大小写交夹;
2.对于易被杀毒软件查杀的fso读写代码,反写代码成字符串,然后用函数读并eval;
3.在代码字符串中夹杂陌生的字符或者汉字,然后用replace函数替换掉;
3.半拆连接,例如fso写成"f"&vbs&"s"&vbs&"o";
4.vb.encode等加密.
可是我没耐心慢慢改,于是再上网搜免杀的,结果搜了个回来,貌似是十三免杀的版本,定义的字符串都是shisan,版本估计老了,没vb.encode加密没能过杀软;于是我在原来的基础上继续用以上方法拆半修改,最后用vb.encode加密,结果最后居然过瑞星啦,HOHO...继续刚才的渗透,OK啦,成功拿下webshell以及3389(以后写文章),然后传给朋友试试卡巴,结果卡巴报了:)同志仍需努力...
以上只是初级的webshell免杀思路,如果想了解高深的请绕道...
下载(右击另存为):
原始版本的webshell(使用时修改后缀为.ASP):
免杀以后的webshell(使用时修改后缀为.ASP):
关于作者
评论0次