一句话木马之常见十种过狗姿势测试

一、前言

“一句话木马”短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用，居家生活搞站越货必备神器。

本文主要总结一下常见的绕过安全检测的思路抛砖引玉，请各位大佬多讨论指教。

W ebshell的检测方法目前大致可以分为二类：

二、十种绕过姿势

1. 常规的一句话木马格式能够被轻易识别，举例如下：

2. 大小写混淆配合字符串关键函数strtolower，举例如下：

3. 字符串逆序配合大小写混淆，关键函数strtolower、strrev，举例如下：

4. 字符串逆序、大小写混淆、字符串拼接，举例如下：

5. 定义函数，举例如下：

6. 定义类，举例如下：

7. 定义类、使用base64编码函数：

8. 定义函数、base64编码，举例如下：

9. 字符串拼接：

10. 数据字典、数组拼接：

三、检测

官网下载的网站安全狗Apache版本 V3.5测试：

四、总结

安全是攻防技术相互促进发展的过程，路漫漫其修远兮。

流量层明文抓取字符串识别相对会容易一些，通过动态执行的方式检测检出率应该会高一些。传递的参数也可以才有类似的方式绕过检测，比如用多次base64编码。

类似的函数还有很多，比如 parse_str、str_replace、preg_replace、create_function这一类，一句话有多种灵活的方式利用还有多种思路可以绕过检测，欢迎各位大佬讨论。

【编辑推荐】

1. 工业互联网安全 | 台积电之后，下一个“中毒”的会是谁？
2. 怎样选择终端安全产品？这是一份怀疑论者指南
3. 基于人机共智，守护企业级安全!深信服发布安全托管服务
4. 浪潮网络连续两届亮相国家网络安全宣传周
5. 互联网安全现状：企业对安全仍不够重视

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!