如何查找php木马后门高级篇

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何查找php木马后门高级篇相关的知识,希望对你有一定的参考价值。

可以通过一些关键字或者正则来进行匹配
(\$_(GET|POST|REQUEST)\[.0,15\]\(\$_(GET|POST|REQUEST)\[.0,15\]\))',
'(base64_decode\([\'"][\w\+/=]200,[\'"]\))',
'eval\(base64_decode\(',
'(eval\(\$_(POST|GET|REQUEST)\[.0,15\]\))',
'(assert\(\$_(POST|GET|REQUEST)\[.0,15\]\))',
'(\$[\w_]0,15\(\$_(POST|GET|REQUEST)\[.0,15\]\))',
'(wscript\.shell)',
'(gethostbyname\()',
'(cmd\.exe)',
'(shell\.application)',
'(documents\s+and\s+settings)',
'(system32)',
'(serv-u)',
'(提权)',
'(phpspy)',
'(后门)',
'(webshell)',
'(Program\s+Files)'
参考技术A 用360主机卫士.就可以了

php免杀木马的技巧


php免杀木马的技巧

php免杀木马的技巧

php免杀木马的技巧


Part 1

常见PHP大马:

php免杀木马的技巧


php免杀木马的技巧

Part 2

大马后门检查: Fiddler抓包

php免杀木马的技巧

审计代码

这里我以http://webshell8.com/ 这里的大马为例子演示

修改并运行脚本

php免杀木马的技巧

Burp抓包或者右键查看原代码

php免杀木马的技巧

修改并运行代码

php免杀木马的技巧

再使用Burp抓个包

php免杀木马的技巧

查找关键字GetHtml hmlogin localhost

php免杀木马的技巧

把上图的base64代码解密下

php免杀木马的技巧

Part 3

大马源码免杀

这里我使用的是国外的一款大马b374k来进行免杀。

php免杀木马的技巧

执行代码 eval 或 preg_replace的/e修饰符来执行大马代码。

php免杀木马的技巧

$a = 'phpinfo();';
eval($a);
//eval执行php代码

编码

如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。 PHP免杀大马的奇淫技巧-ChaBug安全

$code= file_get_contents('D:phpStudyWWWTestlibhelp.txt'); //大马源码路径
$encode = base64_encode(gzdeflate($code));  //加密函数自己修改就行
echo $encode; //输出加密后代码

php免杀木马的技巧

那我们来试试解码并执行刚刚base64加密的大马。

<?php
eval(base64_decode('刚刚加密的代码'));
?>

php免杀木马的技巧

关键字免杀

类型这样的关键字如果没有混淆拆分是过不了waf的

eval(base64_decode('code'));

我们需要做的就是关键字免杀

免杀 payload 1 过狗过D盾 注意: code就是我们刚刚加密的base64代码。

Part 4

只有几百字节的大马

首先我们需要了解,几百字节是什么概念 1kb = 1024b

那么我们怎么实现呢,2种思路远程读取远程下载

php免杀木马的技巧

远程读取 payload 

php免杀木马的技巧

上传txt

php免杀木马的技巧

远程下载 payload

php免杀木马的技巧

免杀

注:部分段落引用网络文章,若有侵权联系我们删除。


更多教程 扫码关注

论坛:bbskali.cn

以上是关于如何查找php木马后门高级篇的主要内容,如果未能解决你的问题,请参考以下文章

Word 查找替换高级玩法系列之 -- 通配符大全B篇

PHP微信接口开发之高级篇之网页授权获取用户基本信息

PHP微信公众平台开发高级篇—微信JS-SDK

(高级篇)php结合redis实现高并发下的抢购秒杀功能

PHP微信公众平台开发高级篇—网页授权接口

(高级篇)PHP开发中AJAX技术的简单应用