最近在研究webshell免殺,抽出心得的一個新穎的點。原因是突然想到既然php7.1不能利用可變函數的assert,那就利用php7的新特性來繞過查殺正則,最後繞過某盾和「某d0g」。
實驗環境在7.1.9,所有馬兒在php7以下的環境都無法使用。
D盾規則庫(最新):20191227
某d0g因為可能會因為用其產品測試,導致侵權行為,為了防止被舉報所以就不放圖了。
前置實驗
某盾牌
首先以下程式碼
#直接誤報了。
因此,直接傳參到eval裡面是不切實際的。
所以接下來我們要利用函數,配合php新特性來繞過它。
某d0g
而對於某d0g,只要以下程式碼
#就會讓其誤報。 因此在寫免殺馬的時候,post中的變量,不要出現在eval中的字串中。就像上面`b`一樣,儘管他在`eval`中是以變數的形式出現的。有了這個基礎就可以進入正題了。PHP7.0.x
[php手冊-php7.0.x新功能]( https://www.php.net/manual/zh/migration70.new-features.php )
返回值類型申明
php7增加了返回值類型聲明的支持,在定義函數時增加一個`:類型`便可以了。
例如:
就是函數傳回值類型要為int。否則會強制轉換或顯示語法錯誤。
如果未更新此特性的查殺軟體,就會不認識此函數,導致被繞過。 例如: 可以用查殺軟體測試一下。發現沒有被偵測到。
可以使用。
null合併運算子
由於日常使用中存在大量同時使用三元表達式和`isset()`的情況, 新增了null合併運算子(*??*) 這個語法糖。如果變數存在且值不為**`NULL`**, 它就會傳回自身的值,否則傳回它的第二個運算元
簡單來說:##如果運用`? ? `符號,查殺軟體不會理解著個處理過程 ,可能就會導致繞過。
就像以下程式碼就可以繞過某d0g
#再利用函數呼叫
##可以發現已經過了D盾測試一下可用性
#接下來看看7.1的特性吧
php7.1.x
[php手冊-php7.0.x新功能]( https://www.php.net/manual/zh/migration71.new-features.php ) 可為空(Nullable)類型
過了D盾
短數組語法
#短數組語法([])現在作為list()語法的一個備選項,可以用於將數組的值賦給一些變數(包括在foreach中)。
這裡選用中括號 `[]類型`的清單來示範。
這樣,就把陣列的值分別賦給了` $c`,`$d`.`$c='a';$d='b' ;`
這樣,就可以用這個少用的特性,來繞過靜態查殺
#先寫一個最簡單的:
#然後就過了某d0g。自行測試。
之後就可以配合函數。就像這樣:
查殺一下
#測試可用性
這個很繞,看一下例子也許就會明白了。
eg:
稍微改改就能過某d0g(自行測試):
試試D盾
報了一級
再次借助自訂函數。
現在所有支援偏移量的字串運算函數都支援接受負數作為偏移量,包括透過[]或{}操作字串下標。在這種情況下,一個負數的偏移量會理解為一個從字串結尾開始的偏移量。
這個在小於7.1版本中,負的偏移量回傳空字符串。 eg:想法:我們可以這個拆分字串,使規則識別不出來。最後再配合php的可變變數:
#########這樣就可以過某d0g了。但是對於D盾來說,會辨識拼接字符,和可變變數。報一級`可疑文件`,不得不說這點做的確實很好。 ######結尾######其實還有很多特性,就像`透過define()定義常數數組`,也都可以舉一反三去繞過。而且不只自訂函數,還可以配合類,可變變數等,來繞過靜態查殺。 #########也可以利用 `太空船運算子(組合比較符)`,`整數除法函數 intdiv()`等來繞過動態查殺。 ######更多相關文章,請關注php中文網###web伺服器安全###欄位! ###以上是利用php7新特性繞過查殺正規的詳細內容。更多資訊請關注PHP中文網其他相關文章!