制作一个隐藏在黑页下的大马并且添加后门 [制作大马后门][隐藏后门]

一、声明与目录（00x01）

1. 基础信息

• 团队（Team）：即刻安全 | www.secist.com

• 作者（Author）：Szrzvdny

2. 内容目录（table of Contents）

1. 隐藏在黑页下的大马

1. 隐藏在 404 页面下的大马

1. 插入后门并写入收信api.php

二、制作开始（00x02）

1. 核心思路

通过 PHP 的Curl函数实现远程获取并呈现正常页面（如黑页、404 页），同时在页面代码中隐藏 PHP 大马，达到 “表面正常、后台可控” 的隐藏效果。

初始效果参考（正常页面与隐藏大马的结合示意）：

2. 关键技术：PHP Curl 函数详解

2.1 Curl 函数功能

Curl函数是实现隐藏大马的核心，主要支持以下功能：

1. 远程获取和采集网页内容（本次重点使用）；

1. 实现 PHP 网页版 FTP 上传下载；

1. 模拟登录（如邮件系统、网站后台，支持 Cookie 保存）；

1. 接口对接（API）与数据传输（如短信发送、信息抓取）；

1. 模拟 Cookie，维持登录状态以操作需权限的功能。

2.2 Curl 函数基础示例（远程获取页面）

通过 Curl 抓取指定 URL 的 HTML 内容并呈现，代码如下：

<?php
    /*
    远程获取页面内容的基础示例
    */
    $ch = curl_init(); // 初始化Curl
    $timeout = 5;     // 设置超时时间（5秒）
    // 设置要抓取的URL（存放正常页面的地址，如黑页、404页）
    curl_setopt ($ch, CURLOPT_URL, 'https://www.inksec.cn/Secist_Script/'); 
    // 设置结果是否直接输出到屏幕（1=不输出，需后续echo；0=直接输出）
    curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
    // 设置连接超时时间
    curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
    $file_contents = curl_exec($ch);  // 执行Curl请求，获取页面内容
    curl_close($ch);                  // 关闭Curl连接
    echo $file_contents;              // 输出获取到的正常页面（隐藏大马的外层）
?>

2.3 示例效果

上述代码执行后，可成功远程获取并呈现目标 URL 的正常页面，为后续隐藏大马做铺垫：

3. 大马与隐藏逻辑结合

3.1 原大马的验证逻辑分析

以某 PHP 大马为例，其原验证逻辑如下：

1. 从 HTTP 头中获取user_agent，拼接字符串MHTdbpOesy后加密；

1. 判断加密结果是否等于8dbedf9bcae10bf7d70fff1b1fd691d1；

1. 额外验证自定义 HTTP 头HTTP_BGROTNYSPXPD（需手动构造，非默认头）；

1. 需同时满足两个验证条件才能进入大马，||符号易造成逻辑混淆，增加隐藏性。

原大马验证界面：

3.2 将 Curl 页面代码插入大马验证

将上述 Curl 远程获取页面的代码，插入到大马的验证逻辑中，通过exit()函数控制执行流程：

• 未通过验证：执行 Curl 代码，输出正常页面（黑页 / 404 页），隐藏大马存在；

• 通过验证：跳过 Curl 代码，直接执行大马核心功能。

插入后的代码结构示意：

关键说明：exit()函数用于未通过验证时终止脚本，仅输出正常页面；通过验证则跳过exit()，执行后续大马代码。

4. 测试验证

4.1 未通过验证的效果

未构造正确 HTTP 头（HTTP_BGROTNYSPXPD）和user_agent时，访问页面仅显示 Curl 抓取的正常页面，无大马痕迹：

4.2 通过验证的效果

使用Live HTTP Headers插件构造正确 HTTP 头和user_agent，重放请求后成功进入大马后台：

三、后续说明

因时间限制，本文为系列教程的第一部分，仅涵盖 “隐藏在黑页下的大马” 制作；后续将补充 “404 页面隐藏大马”“添加后门与收信api.php” 的详细步骤，敬请关注。