---

前言
水文一篇，毫无技术亮点，大佬请一笑而过。刚刚来论坛多多关照。
接记一次有趣的渗透测试 28Damian表哥的文章
我看了表哥的文章觉得很赞耶，看文章的也能得免杀大马，真是太赞了。

看到表哥有大佬带就是好，文章最后Damian表哥也分享了文章的免杀大马和1.php。

赶紧下载下来怕百度云分享失效。

长夜漫漫，好鸡儿无聊啊，打开表哥的免杀大马分析一波。

分析大马
细致假装分析首先看这段。我们去掉' .很明显浮现在我们面前的是php代码，是的没错同学们。

大概就是首先大马作者，将大马源码先使用gzcompress函数压缩，然后再base64_encode函数编码。
然后用eval(gzuncompress(base64_decode(加密大马)));来解密加密大马，解密过程先base64_decode编码解密，再gzuncompress解压，等于还是执行了刚刚的大马源码。

那么大马作者为什么，如此大费周章的又加密又解密大马。

老师： 为了绕过waf啊
小明： 为什么加密后，就能绕过？
老师： 首先waf会检测你文件的内容，根据一些特征码查杀，就是一些敏感函数之类的。
小明： 那waf不会检测这些加密然后去解密不就好了？
老师： 你想想，waf也是软件啊，也会耗费内存啊，要是waf耗费那么多内存去检测你大马的内容，不就影响网站运行效率了嘛，何况waf也有担忧，要是误杀了正常文件呢。
小明： 那waf也太傻了吧
老师： 那倒未必，正常你使用的低配版waf，要是那个有钱客户购买高配版，特别是一些云waf。
就如低配版某狗长这样:

然而高配版：

没有对比就没有伤害。

前面我们知道了，大马源码是经过加密的，那我们要分析大马源码是不是得先解密呢，其实很简单。

我们知道eval是执行解密后php代码

那我们使用 echo来输出我们解密后的代码，就得到大马源码了。

然而你运行后会发现。

突然就弹个小框框。

那我还分析个毛代码，火狐卸载卸载…其实我们可以Burp抓包

先抓包php.php运行的包

右键选择Send to Repeater转到Repeater模块

然后把源码复制下来就可以愉快的玩耍啦。

刚刚复制好，杀软就报毒了，可见没了加密装饰的源码太明显了。

现在开始分析代码，在1579~1597行

很明显的后门收信代码，base64解密试试。

不多说看图

还有

这样，别人就轻轻松松拿到你的webshell，然后还好的是，我访问http://qyvc.com/这个后门网站的时候.
网站显示404

站长工具查了下。

这个真不懂。。希望论坛内的小伙伴解答下。。

总结
天下从来没有免费的晚餐，有时你在某些QQ群文件看到什么过某狗免杀waf的时候，你想想，这等好事轮的到你，多半有后门，所以各位小伙伴们在使用菜刀啊，大马之类的，要小心点哦。

声明：我并不是指文章中的给表哥Damian免杀大马的大佬是这个大马的作者，很明显，这是后门狗做的，常见后门狗网站 www.mumaasp.com webshell8.com 其他小伙伴还知道的 可以留言下，虽然说我看不到==
好吧，我承认我是大写加粗的标题党。。