PHP环境绕过数字上线的几个方法
2023-9-14 08:33:21 Author: 潇湘信安(查看原文) 阅读量:12 收藏
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

0x00 前言

群里几个师傅在实战中遇到的场景:在仅支持PHP的Webshell下如何绕过360执行命令和程序?虽然之前做过这方面测试,但很久没搞了不知道还能不能过?

今天正好有时间就给重新测试了一下,找到了3个新的可绕过方法,这里简单记录下并分享给有需要的人。

0x01 测试环境

操作系统:Windows 10 专业版18363(物理机)环境平台:phpStudy(php-5.5.38/Apache 2.4.23)当前权限:*******-win10\3had0w(Administrators)安全防护:360安全卫士极速版 15.0.1.1007(开启核晶防护引擎,木马库:2023-08-18)

0x02 问题简述

连上Webshell后发现执行任何命令都会被360拦截,而且目标主机仅支持PHP,所以这里不能用ASP/JSP/.NET的内存加载方式来上线CobaltStrike。

还有我之前文章中提到的Dxcap这个白名单文件在Server中也没有,所以也不再去做测试了。

注:360经常会出现各种玄学问题,有时会拦截,有时又不拦截,习惯就好,所以还是得以实际情况为准,实战中可能会遇到各种各样的问题,得学会分析其原因。

0x03 绕过方式


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247506417&idx=1&sn=c2d4e8adc2de01b98b8860fd555190d9&chksm=cfa57de2f8d2f4f4718bd945cbb06ce776a6c9849c4fd705aed956e7193e7bf086384b2050d9&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh