一、前言

“一句話木馬”短小精悍，而且功能強大，隱蔽性非常好，在入侵中始終扮演著強大的作用，居家生活搞站越貨必備神器。

本文主要總結(jié)一下常見的繞過安全檢測的思路拋磚引玉，請各位大佬多討論指教。

[[244456]]

W ebshell的檢測方法目前大致可以分為二類：

二、十種繞過姿勢

1. 常規(guī)的一句話木馬格式能夠被輕易識別，舉例如下：

2. 大小寫混淆配合字符串關(guān)鍵函數(shù)strtolower，舉例如下：

3. 字符串逆序配合大小寫混淆，關(guān)鍵函數(shù)strtolower、strrev，舉例如下：

4. 字符串逆序、大小寫混淆、字符串拼接，舉例如下：

5. 定義函數(shù)，舉例如下：

6. 定義類，舉例如下：

7. 定義類、使用base64編碼函數(shù)：

8. 定義函數(shù)、base64編碼，舉例如下：

9. 字符串拼接：

10. 數(shù)據(jù)字典、數(shù)組拼接：

三、檢測

官網(wǎng)下載的網(wǎng)站安全狗Apache版本 V3.5測試：

四、總結(jié)

安全是攻防技術(shù)相互促進(jìn)發(fā)展的過程，路漫漫其修遠(yuǎn)兮。

流量層明文抓取字符串識別相對會容易一些，通過動態(tài)執(zhí)行的方式檢測檢出率應(yīng)該會高一些。傳遞的參數(shù)也可以才有類似的方式繞過檢測，比如用多次base64編碼。

類似的函數(shù)還有很多，比如 parse_str、str_replace、preg_replace、create_function這一類，一句話有多種靈活的方式利用還有多種思路可以繞過檢測，歡迎各位大佬討論。