来广营网站建设,wordpress 不同侧边栏,做网站如何对接支付,谢家华做网站前言 欢迎来到我的博客 个人主页:北岭敲键盘的荒漠猫-CSDN博客 本文主要整理webshell免杀的一些基础思路
入门级#xff0c;不是很深入#xff0c;主要是整理相关概念 免杀对象
1.各类杀毒软件
类似360#xff0c;火绒等#xff0c;查杀己方webshell的软件。
2.各类流量… 前言 欢迎来到我的博客 个人主页:北岭敲键盘的荒漠猫-CSDN博客 本文主要整理webshell免杀的一些基础思路
入门级不是很深入主要是整理相关概念 免杀对象
1.各类杀毒软件
类似360火绒等查杀己方webshell的软件。
2.各类流量捕捉识别系统
有些脚本系统会识别我们的工具能够识别出我们用的是冰蝎哥斯拉蚁剑等我们免杀也需要应对这类系统。 表面代码查杀
描述
指我们的webshell刚放到目标机上就直接被查杀。即使我们连接都没连接什么都没干。 现象演示
原本杀软是不杀webshell的后来越来越严格开始杀webshell了。
我们生成一个哥斯拉的shell。 现在我们开启安装对应杀软的虚拟机把shell放进去进行测试。
火绒 360极速版
没直接杀掉怕误杀但是扫描或者连接会报毒。 360正式版
直接报毒 微软自带杀毒
直接报毒 弱鸡免杀工具免杀
直接用了狐狸工具箱里的 把webshell放到他的文件夹中。 运行脚本 点选项生成免杀shell。 现在再放到360中测试 成功过360.
连接试试 cookie也要配置好 成功绕360连接 行为查杀
描述
虽然有时候webshell躲过了目标的查杀但是他的功能都是被限制的。如果某个软件做出了某些正常软件不会做的行为杀软也会阻止这些软件。 现象演示
执行dir正常执行 执行net user报毒 所以也需要我们执行命令的时候尽量避免一些敏感的命令。 工具查杀 描述
1.对方有流量捕捉识别系统能专项识别某种工具而我们使用未魔改的对应工具就会直接被发现。
2.老牌工具相对来说执行命令困难一点像上面的行为查杀。用一些老工具淘汰的工具可能限制会更多
对策
1.使用小众的未公开的工具
2.对主流工具进行魔改修改指纹修改加密
3.尽量用新工具。 特征项目 GitHub - al0ne/suricata-rules: Suricata IDS rules 用来检测红队渗透/恶意行为等支持检测CobaltStrike/MSF/Empire/DNS隧道/Weevely/菜刀/冰蝎/挖矿/反弹shell/ICMP隧道等 GitHub - ptresearch/AttackDetection: Attack Detection
