一、前言

“一句話木馬”短小精悍，而且功能強大，隱蔽性非常好，在入侵中始終扮演著強大的作用，居家生活搞站越貨必備神器。

本文主要總結一下常見的繞過安全檢測的思路拋磚引玉，請各位大佬多討論指教。

[[244456]]

W ebshell的檢測方法目前大致可以分為二類：

二、十種繞過姿勢

1. 常規的一句話木馬格式能夠被輕易識別，舉例如下：

2. 大小寫混淆配合字符串關鍵函數strtolower，舉例如下：

3. 字符串逆序配合大小寫混淆，關鍵函數strtolower、strrev，舉例如下：

4. 字符串逆序、大小寫混淆、字符串拼接，舉例如下：

5. 定義函數，舉例如下：

6. 定義類，舉例如下：

7. 定義類、使用base64編碼函數：

8. 定義函數、base64編碼，舉例如下：

9. 字符串拼接：

10. 數據字典、數組拼接：

三、檢測

官網下載的網站安全狗Apache版本 V3.5測試：

四、總結

安全是攻防技術相互促進發展的過程，路漫漫其修遠兮。

流量層明文抓取字符串識別相對會容易一些，通過動態執行的方式檢測檢出率應該會高一些。傳遞的參數也可以才有類似的方式繞過檢測，比如用多次base64編碼。

類似的函數還有很多，比如 parse_str、str_replace、preg_replace、create_function這一類，一句話有多種靈活的方式利用還有多種思路可以繞過檢測，歡迎各位大佬討論。