用户
搜索
  • TA的每日心情
    奋斗
    前天 15:54
  • 签到天数: 29 天

    连续签到: 2 天

    [LV.4]经常看看II

    i春秋签约作家

    Rank: 7Rank: 7Rank: 7

    2

    主题

    58

    帖子

    900

    魔法币
    收听
    0
    粉丝
    4
    注册时间
    2015-11-20

    i春秋签约作者

    发表于 2017-8-6 03:50:36 183303934
    本帖最后由 凉风有信 于 2017-8-6 12:21 编辑
    昨天深夜在渗透吧发了个写过狗一句话的帖子,写的不咋的,对于奇奇怪怪一句话木马来说,安全狗太好绕过了,实在没什么技术含量。我就用了两种姿势写了两个过狗的一句话。
    有一位吧友问我能不能过D盾,霸总的“学思阁”的朋友也问我能不能过,我就下了个D盾看看。
    我扫描一下。。。
    2.png
    我有一句么么啪不知当讲不当讲
    所有马居然给我全都扫出来了,我用安全狗的时候可是全都扫不出。。。。。
    我的心都碎了,我怎么那么菜还被D盾给欺负,五只马儿我用的是五种不同的打开方式写的,居然都不行。


    不服(大写的)


    带着沉痛的心情,想着:我把他们全都合体,这样看你还能不能识别出!


    思路:把两种过狗的马方法都用在新的一个马里面,强行合体,怕吗


    D盾:你说什么?我看不见


    看图:

    两个一句话和合体后的一句话

    两个一句话和合体后的一句话


    我说说旧的两只马
    1. 预先定义的字符串“ass”连接 通过get方法传递字符串 “ert”,组成assert,然后执行assert($_POST['aa'];)

    2. 利用str_replace假装改变通过POST传递的数据,执行assert($_POST['aa'];)
    不是很清楚这两个小马如何过狗的可以看看我在贴吧发的帖子:http://tieba.baidu.com/p/5257915343
    合体之后的:
    3. assert 的处理用了1的方法,$_POST[]; 用了2的方法,然后组合成一个新的马

    过狗当然没问题,看看D盾:

    还是失败了

     还是失败了



    纳尼?检测出变量函数,只是检测出变量函数就不行?


    我试了试普通的无危害的代码:

    果然

    果然


    果然,这个D盾误报严重啊,或者说,实在是太严格了,看来我要换一种思路


    D盾:服不服?


    我:不服 (ノ`ー´)ノ・・・~~┻━┻


    既然合体失败了,那就。。。分开?


    思路2:D盾会检测出任何变量函数等稍微有一点点嫌疑,不能确定是马的程序,那我们就写不是木马的木马吧,索性试一试不用变量函数? 突然想到—>思路 -1:这是我前段时间想到的过狗的方法,还没用到过:把木马分开写到两个文件,然后。。看操作


    新的分离木马

    新的分离木马


    这里是在马2的基础上修改的,最后没有执行assert,而是用 create_function创建一个函数
    —> $fun() ,因为我没有调用,所以没问题(经试验,调用$fun()就会被查出变量函数什么的烦死了)


    代码: create_function('',$dd)
    里面的dd是我们post的数据,我们直接创建成函数fun,执行fun就相当于执行了我们传给的代码,和普通一句话效果一样(好吧,其实是我不小心发现的,当时还想了半天我都没写assert怎么就能执行post提交的命令了)


    那我们不去调用$fun()怎么能变成完整的木马?我们调用了fun之后又会被查出。。该怎么办
    所以当然是用思路2


    我们再另一个文件调用$fun();

    分离木马2

    分离木马2

    直接include,然后调用$fun();
    用浏览器试试能不能用这个被分尸的马儿


    8.png

    居然可以嘿,分尸了都没死,我怀着紧张的情绪,把马传到虚拟机用D盾扫一扫
    9.png


    扫不出了吧 哈哈哈哈哈嗝
    游客,如果您要查看本帖隐藏内容请回复


    1.png

    一分为二.rar

    1.25 KB, 下载次数: 179, 下载积分: 魔法币 -3

    售价: 2 魔法币  [记录]

    评分

    参与人数 2魔法币 +6 收起 理由
    手机用户w4Iin7 + 3 感谢发布原创作品,i春秋论坛因你更精彩!.
    a包子 + 3 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    本帖被以下淘专辑推荐:

    阿甫哥哥 管理员 i春秋最帅男神-阿甫大哥哥 楚 核心白帽 i春秋签约作者 白帽传说 春秋游侠 秦 燕 魏
    来自 106#
    发表于 2017-8-17 22:21:27
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    100
    分析很透彻,分享的东西也很实用,继续加油


    Time will give me the answer
    使用道具 举报 回复
    发表于 2017-8-14 02:48:29
    zijinteng 发表于 2017-8-13 20:54
    大神能不能把过狗的都分享下啊~遇到的狗多,D盾就没遇到过……

    压缩包有
    使用道具 举报 回复

    看不懂马么 post里的东西就是密码,例如 $_POST['aa']
    使用道具 举报 回复
    hyper123 发表于 2017-8-10 15:06
    压缩包密码???

    hhhhhh回复就看到了吧  有密码会不会觉得坑
    使用道具 举报 回复
    SisconElang 发表于 2017-8-9 17:21
    表哥 无形为霸总打了广告 给了你广告费没

    打不过霸总不敢要钱
    使用道具 举报 回复
    代码描绘人生 发表于 2017-9-6 15:35
    然而过不了D盾的脚本执行

    我的是apache的所以没法测试
    使用道具 举报 回复
    发表于 2017-8-6 12:33:26
    哈哈,不错不错
    使用道具 举报 回复
    发表于 2017-8-6 12:45:03
    板凳我的
    使用道具 举报 回复
    发表于 2017-8-6 12:58:24
    可以,思路不错。
    使用道具 举报 回复
    可以啊老哥
    使用道具 举报 回复
    大佬66666啊,说话又有趣,人也长得帅
    使用道具 举报 回复
    发表于 2017-8-6 14:41:38
    nice..               
    使用道具 举报 回复
    发表于 2017-8-6 15:32:59
    感谢分享
    使用道具 举报 回复
    发表于 2017-8-6 15:53:16
    扫不出了吧 哈哈哈
    使用道具 举报 回复
    发表于 2017-8-6 17:37:03
    非常感谢,收获不少  
    使用道具 举报 回复
    这隐藏的是啥?看卡
    使用道具 举报 回复
    发表于 2017-8-6 19:10:19
    看看看看看
    使用道具 举报 回复
    发表于 2017-8-6 20:22:35
    看看分享
    使用道具 举报 回复
    路过看看
    使用道具 举报 回复
    发表于 2017-8-7 07:04:49
    很好很好 哈哈哈哈
    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 立即注册