一个经典的过人WebShell(4)

所以隐藏方式我稍做了调整：将不可见字符插入到变量末尾，剩余的字符藏在最后一行，解析方式对应稍作改变。各位自行调整逻辑吧，放在注释里啊、固定的字符串里啊也都可以的，只要源代码看起来够正常即可。其实在大多数情况下，只需要在用终端的时候，大多数命令显示不出来这两个字符，就已经足够使用了。

上述的这些 webshell 能过人，会不会被机器检测到呢？我认为是有可能的。不管是第一个 webshell 的空格和 tab，还是 pro 版的那些不可见字符，它们本身就会增加文件的特殊性，虽然人眼看不出来，但是基于信息熵或者统计学方法的检测或许能揭开将这类 webshell 的面纱。不过就目前来看，不管是字符串长度还是关键字匹配甚至是机器学习算法，对于此类 webshell 的检测都较弱（目前我还没找到能够查杀上面两个 webshell 的工具，如果有的话请在评论区告诉我）。

我们要时刻记住的是，No Silver Bullet:)

（不知道现在 fb 的代码是不是还是有缩进丢失的问题 [手动狗头]，所以我弄了一个 GitHub 仓库：https://github.com/Macr0phag3/webshell-bypassed-human，所有的代码都在里面了）