黑帽SEO
免费发布泛目录 蜘蛛池 黑帽SEO工具

php大马免杀绕过检测研究

  webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。又分大马和小马,大马就是功能比较多的,而小马更像一句话,本文介绍的是免杀PHP大马。

  

  项目脚本仅供学习交流请勿用于非法用途。

  本文测试的免杀脚本,并不永久免杀,只要一入特征库,就凉了,更多的是思路。

  测试用的WAF

  WAF

  下载

  D盾_Web查杀

  http://www.d99net.net/down/d_safe_2.1.4.4.zip

  河马webshell查杀

  http://dl.shellpub.com/hm-ui/latest/HmSetup.zip?version=1.5.0

  深信服WebShellKillerTool

  http://edr.sangfor.com.cn/tool/WebShellKillerTool.zip

  网站安全狗网马查杀

  http://download.safedog.cn/download/software/safedogwzApache.exe

  OpenRASP WEBDIR+检测引擎

  https://scanner.baidu.com

  

  

  

  首先,我们的思路是以这段代码开始:

  

  动图:

  

  waf查杀:

  

  分割函数:

  我们把base64_decode大小写分割成多个变量,再合并,并赋值给其他变量。

  

  再用WAF查杀:

  D盾_Web查杀

  

  河马webshell查杀

  

  深信服WebShellKillerTool

  php大马免杀绕过检测研究

  网站安全狗网马查杀

  

  至此绕过以上4个WAF查杀,但是上面那个例子虽然成功绕过了,但是看起来很简单,所以在写一个。

  首先我们来了解php中一个引用变量。

  

  输出:

  

  利用和双引号解释变量的特性,我们这样写

  

  这个也是绕过以上4个WAF查杀。

  以下的code均可以绕过绕过安全狗、D盾和深信服的客户端Webshell查杀和河马正式版的查杀。

  strrev()函数反转字符串。

  

  输出:

  

  利用反转字符串的特性。

  ### code2

  

  ### str_replace()函数

  str_replace()函数替换字符串中的一些字符(区分大小写)

  输出:

  

  ### code3

  

  ### ltrim()和trim()函数

  ltrim() – 移除字符串左侧的空白字符或其他预定义字符

  trim() – 移除字符串两侧的空白字符或其他预定义字符

  “; echo trim(‘okiii’,’i’);

  输出:

  

  依据这个特性。

  

  

  implode() 函数返回由数组元素组合成的字符串。

  

  输出:

  

  

  ”; eval($c.=$b); ?>

  strtok() 函数把字符串分割为更小的字符串。

  

  输出:

  

  

  strtr() 函数转换字符串中特定的字符。

  

  输出:

  

  ### code7

  

  str_ireplace() 函数替换字符串中的一些字符(不区分大小写)。

  

  输出:

  

  

  通过上面很多例子不难看出很多都用到字符串函数,只要多找写生僻的字符串函数,我们可以很轻松的写出免杀的code。

  更多更详细的字符串函数

  

  除了base64加密外,PHP内置很多压缩编码函数:

  gzcompress gzencode gzdeflate bzcompress str_rot13

  还有混淆加密平台:

  加密

  phpjm

  eval_gzinflate_base64类型加密与解密

  动图:

  

  远程读取可以很有效的将大马的体积缩小,基本上和常见的一句话体积差不多,小于1KB就几百字节那样。

  file_get_contents() 函数把整个文件读入一个字符串中。

  fopen() 函数打开一个文件或 URL。

  首先,我们可以选择最简单的file_get_contents来实现。

  

  输出:

  

  还得介绍个substr() 函数

  substr() 函数返回字符串的一部分。

  

  

  如果我们加载一个txt的话,是可以执行代码,但是少了些逼格。

  c32asm

  用C32打开Gif/图片,然后将代码粘贴到图片底部,就可以不破坏Gif/图片本身。

  

  直接划到图片代码底部

  

  将大马代码粘贴到底部,然后保存。

  

  

  效果:

  

  OpenRASP WEBDIR+检测引擎:

  

  D盾_Web查杀

  

  其他几个Waf也是查杀不出的,篇幅有限,就不演示了。

  下面开始的代码,只能用txt文字,不支持Gif/图片。

  

  

  

  所以代码都会上传Github项目,感兴趣的朋友可以看看,持续更新。文笔不佳,不足之处恳请斧正

未经允许不得转载:黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程 » php大马免杀绕过检测研究
分享到: 更多 (0)

黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程

不做韭菜坚决不做韭菜