webshell免杀--免杀入门

前言

欢迎来到我的博客

个人主页:北岭敲键盘的荒漠猫-CSDN博客

本文主要整理webshell免杀的一些基础思路

入门级,不是很深入,主要是整理相关概念

免杀对象

1.各类杀毒软件

类似360,火绒等,查杀己方webshell的软件。

2.各类流量捕捉识别系统

有些脚本系统会识别我们的工具,能够识别出我们用的是冰蝎,哥斯拉,蚁剑等,我们免杀也需要应对这类系统。

表面代码查杀

描述

指我们的webshell刚放到目标机上,就直接被查杀。即使我们连接都没连接什么都没干。

现象演示

原本杀软是不杀webshell的,后来越来越严格开始杀webshell了。

我们生成一个哥斯拉的shell。

现在我们开启安装对应杀软的虚拟机,把shell放进去进行测试。

火绒

360极速版

没直接杀掉,怕误杀,但是扫描,或者连接会报毒。

360正式版

直接报毒

微软自带杀毒

直接报毒

弱鸡免杀工具免杀

直接用了狐狸工具箱里的,

把webshell放到他的文件夹中。

运行脚本

点选项,生成免杀shell。

现在再放到360中测试

成功过360.

连接试试

cookie也要配置好

成功绕360连接

行为查杀

描述

虽然有时候webshell躲过了目标的查杀,但是他的功能都是被限制的。如果某个软件做出了某些正常软件不会做的行为,杀软也会阻止这些软件。

现象演示

执行dir正常执行

执行net user,报毒

所以也需要我们执行命令的时候尽量避免一些敏感的命令。

工具查杀

描述

1.对方有流量捕捉识别系统,能专项识别某种工具,而我们使用未魔改的对应工具就会直接被发现。

2.老牌工具相对来说执行命令困难一点,像上面的行为查杀。用一些老工具淘汰的工具可能限制会更多

对策

1.使用小众的未公开的工具

2.对主流工具进行魔改(修改指纹,修改加密)

3.尽量用新工具。

特征项目

GitHub - al0ne/suricata-rules: Suricata IDS rules 用来检测红队渗透/恶意行为等,支持检测CobaltStrike/MSF/Empire/DNS隧道/Weevely/菜刀/冰蝎/挖矿/反弹shell/ICMP隧道等

GitHub - ptresearch/AttackDetection: Attack Detection

相关推荐
浩浩测试一下5 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
Fortinet_CHINA7 小时前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全
网安小白的进阶之路9 小时前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全
HumanRisk9 小时前
HumanRisk-自动化安全意识与合规教育平台方案
网络·安全·web安全·网络安全意识教育
安全系统学习16 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
深圳安锐科技有限公司20 小时前
深圳安锐科技发布国内首款4G 索力仪!让斜拉桥索力自动化监测更精准高效
运维·安全·自动化·自动化监测·人工监测·桥梁监测·索力监测
潘锦20 小时前
海量「免费」的 OPENAI KEY,你敢用吗?
安全·openai
冰橙子id21 小时前
linux系统安全
linux·安全·系统安全
上海锝秉工控1 天前
防爆拉线位移传感器:工业安全的“隐形守护者”
大数据·人工智能·安全
你不知道我是谁?1 天前
AI 应用于进攻性安全
人工智能·安全