webshell免杀--免杀入门

前言

欢迎来到我的博客

个人主页:北岭敲键盘的荒漠猫-CSDN博客

本文主要整理webshell免杀的一些基础思路

入门级,不是很深入,主要是整理相关概念

免杀对象

1.各类杀毒软件

类似360,火绒等,查杀己方webshell的软件。

2.各类流量捕捉识别系统

有些脚本系统会识别我们的工具,能够识别出我们用的是冰蝎,哥斯拉,蚁剑等,我们免杀也需要应对这类系统。

表面代码查杀

描述

指我们的webshell刚放到目标机上,就直接被查杀。即使我们连接都没连接什么都没干。

现象演示

原本杀软是不杀webshell的,后来越来越严格开始杀webshell了。

我们生成一个哥斯拉的shell。

现在我们开启安装对应杀软的虚拟机,把shell放进去进行测试。

火绒

360极速版

没直接杀掉,怕误杀,但是扫描,或者连接会报毒。

360正式版

直接报毒

微软自带杀毒

直接报毒

弱鸡免杀工具免杀

直接用了狐狸工具箱里的,

把webshell放到他的文件夹中。

运行脚本

点选项,生成免杀shell。

现在再放到360中测试

成功过360.

连接试试

cookie也要配置好

成功绕360连接

行为查杀

描述

虽然有时候webshell躲过了目标的查杀,但是他的功能都是被限制的。如果某个软件做出了某些正常软件不会做的行为,杀软也会阻止这些软件。

现象演示

执行dir正常执行

执行net user,报毒

所以也需要我们执行命令的时候尽量避免一些敏感的命令。

工具查杀

描述

1.对方有流量捕捉识别系统,能专项识别某种工具,而我们使用未魔改的对应工具就会直接被发现。

2.老牌工具相对来说执行命令困难一点,像上面的行为查杀。用一些老工具淘汰的工具可能限制会更多

对策

1.使用小众的未公开的工具

2.对主流工具进行魔改(修改指纹,修改加密)

3.尽量用新工具。

特征项目

GitHub - al0ne/suricata-rules: Suricata IDS rules 用来检测红队渗透/恶意行为等,支持检测CobaltStrike/MSF/Empire/DNS隧道/Weevely/菜刀/冰蝎/挖矿/反弹shell/ICMP隧道等

GitHub - ptresearch/AttackDetection: Attack Detection

相关推荐
大刘讲IT15 分钟前
数据治理体系的“三驾马车”:质量、安全与价值挖掘
大数据·运维·经验分享·学习·安全·制造·零售
云天徽上2 小时前
【数据可视化-21】水质安全数据可视化:探索化学物质与水质安全的关联
安全·机器学习·信息可视化·数据挖掘·数据分析
墨北x5 小时前
网络安全职业技能大赛Server2003
安全·web安全
ALe要立志成为web糕手5 小时前
create_function()漏洞利用
安全·web安全·网络安全·php·rce
半个西瓜.8 小时前
武装Burp Suite工具:xia SQL自动化测试_插件
安全·web安全·网络安全·安全威胁分析
IT科技那点事儿8 小时前
量子计算浪潮下的安全应对之法
安全·量子计算
神经毒素10 小时前
WEB安全--RCE--disable_function bypass
安全·web安全
FreeBuf_10 小时前
微软Entra新安全功能引发大规模账户锁定事件
安全·microsoft
Fanerma12110 小时前
来访登记二维码生成
大数据·安全
cainiao08060511 小时前
生物计算安全攻防战:从DNA存储破译到碳基芯片防御体系重构
安全·重构