本文最后更新于 2018年11月17日 22:48 可能会因为没有更新而失效。如已失效或需要修正,请留言!

Part 1

常见PHP大马:

PHP免杀大马的奇淫技巧-ChaBug安全

PHP免杀大马的奇淫技巧-ChaBug安全

Part 2

大马后门检查: Fiddler 抓包

PHP免杀大马的奇淫技巧-ChaBug安全

审计代码

这里我以http://webshell8.com/ 这里的大马为例子演示

修改并运行脚本 PHP免杀大马的奇淫技巧-ChaBug安全

Burp抓包或者右键查看原代码 PHP免杀大马的奇淫技巧-ChaBug安全

修改并运行代码 PHP免杀大马的奇淫技巧-ChaBug安全

再使用Burp抓个包 PHP免杀大马的奇淫技巧-ChaBug安全

查找关键字GetHtml hmlogin localhostPHP免杀大马的奇淫技巧-ChaBug安全

把上图的base64代码解密下 PHP免杀大马的奇淫技巧-ChaBug安全

Part 3

大马源码免杀

这里我使用的是国外的一款大马b374k来进行免杀。 PHP免杀大马的奇淫技巧-ChaBug安全

执行代码 evalpreg_replace的/e修饰符来执行大马代码。 PHP免杀大马的奇淫技巧-ChaBug安全

 

编码

如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。 PHP免杀大马的奇淫技巧-ChaBug安全

 

在线加解密码 点这里

这里我先将b374k的源码去掉<?php ?>后,base64加密 PHP免杀大马的奇淫技巧-ChaBug安全

解码

通过解码执行我们的代码。 PHP免杀大马的奇淫技巧-ChaBug安全

那我们来试试解码并执行刚刚base64加密的大马。

 

PHP免杀大马的奇淫技巧-ChaBug安全

关键字免杀

 

免杀 payload 1 过狗过D盾 注意: code就是我们刚刚加密的base64代码。 PHP免杀大马的奇淫技巧-ChaBug安全

免杀 PHP免杀大马的奇淫技巧-ChaBug安全

D盾规则库 PHP免杀大马的奇淫技巧-ChaBug安全

免杀 payload 2 PHP免杀大马的奇淫技巧-ChaBug安全 PHP免杀大马的奇淫技巧-ChaBug安全

总结,源码免杀就到这里了,其实只需要些php基础,轻松免杀。

Part 4

只有几百字节的大马

首先我们需要了解,几百字节是什么概念 1kb = 1024b PHP免杀大马的奇淫技巧-ChaBug安全

那么我们怎么实现呢,2种思路远程读取远程下载 PHP免杀大马的奇淫技巧-ChaBug安全

远程读取 payload 3 PHP免杀大马的奇淫技巧-ChaBug安全

上传txt PHP免杀大马的奇淫技巧-ChaBug安全

免杀 PHP免杀大马的奇淫技巧-ChaBug安全

payload 4 PHP免杀大马的奇淫技巧-ChaBug安全

免杀 PHP免杀大马的奇淫技巧-ChaBug安全

远程下载 payload 5 PHP免杀大马的奇淫技巧-ChaBug安全

免杀 PHP免杀大马的奇淫技巧-ChaBug安全

大小最小的一百多字节,其他2个两百多字节那样子。

喜欢这篇文章的话就点一点喜欢吧!