想找一款好用的大马，还得分析分析有没有后门，但很多大马都是加密的，于是想试试能不能解密这些鬼代码，遂有此文。

PHP混淆原理

一般来讲，混淆分为两种
1. 利用拓展进行加密
2. 不需要拓展，单文件加密

本文主要针对第二种，而单文件加密的一般都是对源码进行字符串操作，比如对字符串移位、拼接，或者重新定义变量，重新赋值数组，总之就是尽可能减少程序可读性。但是所有加密过的代码都会经过多次eval来重新还原为php代码执行，所以我们可以hook PHP中的eval函数来输出经过eval函数的参数，参数就是源码。

hook eval

PHP中的eval函数在Zend里需要调用zend_compile_string函数，我们写一个拓展直接hook这个函数就行了。不过我不会写c代码，所以参考网上的文章，在GitHub中找到了现成的一个拓展库。

https://github.com/bizonix/evalhook 需要编译，不过我在文末提供了编译好的so文件。

修改 evalhook.c 中这部分代码，否则只能在命令行中使用。

static zend_op_array *evalhook_compile_string(zval *source_string, char *filename TSRMLS_DC)
{
        int c, len, yes;
        char *copy;

        /* Ignore non string eval() */
        if (Z_TYPE_P(source_string) != IS_STRING) {
                return orig_compile_string(source_string, filename TSRMLS_CC);
        }

        len  = Z_STRLEN_P(source_string);
        copy = estrndup(Z_STRVAL_P(source_string), len);
        if (len > strlen(copy)) {
                for (c=0; c<len; c++) if (copy[c] == 0) copy[c] == '?';
        }
        php_printf("n--------- Decrypt start ------------n");
        php_printf(copy);
        php_printf("n--------- Decrypt done ------------n");
        return orig_compile_string(source_string, filename TSRMLS_CC);

}

centos php5.6+apache 然后运行

yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm
yum install --enablerepo=remi --enablerepo=remi-php56 php-devel
phpize && ./configure && make

将 evalhook/modules/evalhook.so 拷贝到 php 的拓展目录下，并且向php.ini中添加

extension=evalhook.so

重新启动apache之后，可以通过web访问php文件，会直接打印出源码。

拿一个大马举例，没加拓展之前访问。

加了拓展之后

参考链接

解密混淆的PHP程序
http://blog.evalbug.com/2017/09/21/phpdecode_01/
https://www.leavesongs.com/PENETRATION/unobfuscated-phpjiami.html
https://github.com/bizonix/evalhook
放一个我基于PHP 5.6.40编译好的so文件

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

常见PHP大马:

Part 2

大马后门检查: Fiddler 抓包

审计代码

这里我以http://webshell8.com/ 这里的大马为例子演示

修改并运行脚本

Burp抓包或者右键查看原代码

修改并运行代码

再使用Burp抓个包

查找关键字GetHtml hmlogin localhost等

把上图的base64代码解密下

Part 3

大马源码免杀

这里我使用的是国外的一款大马b374k来进行免杀。

执行代码 eval 或 preg_replace的/e修饰符来执行大马代码。

$a = 'phpinfo();';
eval($a);
//eval执行php代码

编码

如果直接去执行代码，是过不了waf的，我们一般需要将大马源码进行编码。

$code= file_get_contents('D:\phpStudy\WWW\Test\Zlib\help.txt'); //大马源码路径
$encode = base64_encode(gzdeflate($code));  //加密函数自己修改就行
echo $encode; //输出加密后代码

在线加解密码 点这里

这里我先将b374k的源码去掉<?php ?>后，base64加密

解码

通过解码执行我们的代码。

那我们来试试解码并执行刚刚base64加密的大马。

<?php
eval(base64_decode('刚刚加密的代码'));
?>

关键字免杀

// 类型这样的关键字如果没有混淆拆分是过不了waf的
eval(base64_decode('code'));
// 我们需要做的就是关键字免杀

免杀 payload 1 过狗过D盾 注意: code就是我们刚刚加密的base64代码。

免杀

D盾规则库

免杀 payload 2

总结，源码免杀就到这里了，其实只需要些php基础，轻松免杀。

Part 4

只有几百字节的大马

首先我们需要了解，几百字节是什么概念 1kb = 1024b

那么我们怎么实现呢，2种思路远程读取和远程下载

远程读取 payload 3

上传txt

免杀

payload 4

免杀

远程下载 payload 5

免杀

大小最小的一百多字节，其他2个两百多字节那样子。

0x00 介绍

前篇文章我与某狗的恩恩怨怨也介绍了一种，免杀大马的姿势，今天再介绍一种，思路来源T00ls论坛。

0x01 源码

还是一样大马源码一份，然后base64加密。
直接上代码了。

本地测试过狗过D盾，当然这是静态免杀。
感觉你们会觉得我不上图，不信我，那就自己动手手试试= =。

0x02 思路

可以看到首先base64加密，然后就像编写一句话一样，去执行我们的代码，也就是base64加密的的，思路还是可以扩展很多的，但是会waf拦截某些函数执行，就换份大马源码，但是这种方法过狗足够了。

0x03 成品

上传到GitHub了 下载地址
另外这个大马是国外的，用不习惯的自行加密更换

补图：(1.php是大马)