免杀PHP木马生成器

一、效果

1.VT查杀0/58

• 

2.微步查杀0/24

• 

• 

3.Vriscan查杀0/46

• 

4.使用aes加混淆的webdir+无法查杀

• 

5.使用inject的木马河马webshell无法查杀

二、工具介绍与下载

• 免杀PHP木马生成器，免杀效果良好。
• 地址：https://github.com/Z0fhack/AvoidkillingPHP

三、安装使用

• pip install -r requirements.txt
  

• 连接的url需要密码

  • 一般木马的密码为2
  • behinder的密码为默认的rebeyond

• 同时在get请求设置了校验

  • http://127.0.0.1/html/webshell/injectaes_xor2_3.php?1=admin
  • 这里设置的是一个GET请求1=admin的验证
  • 如果不是返回404，防止被非上传webshell人员发现

• -type 选择webshell的类型:

  • default 蚁剑，菜刀，哥斯拉都可以连接
  • default_for_aes aes加密并混淆过的webshell
  • behinder 冰蝎可以连接
  • behinder_for_aes aes加密并混淆过的webshell
  • inject 不直接执行命令，向注入木马
  • inject_for_aes 对inject的混淆

• -e 选择加密类型：

  • xor2
    • xor2加密方式``")[&/-]"^"H(UJ_)" === assert`
  • xorN
    • xorN加密方式对其xor拆分多次加密"%#/@ <"^"#!ak}:"^"*\i*d("^"{q|\)#"^"@co\>#"^"v?Gd\Z" === assert
    • 需要指定-n 加密次数
  • xor2_base64
    • 综合base64加密 base64_decode("KD87Xl8o")^base64_decode("SUxIOy1c") === assert

• -name

  • webshell的名字可以输入多个

• -target

  • inject需要 注入的目标文件默认为index.php
  • 被注入的页面可以被behinder连接

• -n

  • xorN的次数

• -all

  • 生成默认所有webshell