eval(base64_decode('код шелла в базе64'));

можно ещё gzdeflate добавить для усложнения.

Пользуйся, благодарностей не надо. Я за идею.

Интеллект не пропьешь) это же палится легко

Вместо base64 можно использовать urlencode например, это в корне поменяет дело

на пиво куда закидывать?

Собственно тот же вопрос интересует,чтоб по быстрому это делать онлайн, особенно когда в силу обстоятельств и передвижений нет инструментов под рукой.

Юзал раньше http://kronus.me/cn/wso-builder/1.04/ , но сильно уж палится.

ТС, если не ограничиваться всо, посмотри вот тут еще

https://github.com/tennc/webshell/tree/master/

Полнее пока не встречал сборку шеллов, на asp,aspx,php,jsp,pl,py

Иногда (не часто) апдейтятся, есть обфусцированные, возможно найдешь не палящиеся (проверяй на бэкдоры естественно)

Ну а так ты там встречал бекдоры??

Мне пока $_GET['cmd'] / system($_GET['cmd']) хватает вполне =) Самый надежный вариант.

Оттуда не юзал еще, т.к. ссылку только вчера обнаружил. Но отрицательных отзывов не видел, парни юзают.

Все же проверять самому советую.

и как только админ занесёт system() в disable_functions самый надёжный вариант превратится в самый нерабочий

не нужно его ничем шифровать, его не нужно даже хранить на сервере вовсе

на сервере должен быть маленький бекдор, который по щелчку пальца заливает полноценный wso для работы

К этому моменту шелл обычно уже не требуется =) Не те задачи, тем более для долгосрочного доступа. Да и в принципе,твоя фраза "как только админ..." -если админ грамотный, то применимо ко всем вариантам, уже ничего и не поможет.Там "как только админ"-так сразу. Тем более "как только админ" дупля отобьет, я уже закреплен (образно)))) в системе, дедовскими методами-но все же (не везде отрабатывает ведь). А бэкдор "заливающий шелл" - это уже заливающий шел, т.е. ПАЛИВНЫЙ ШЕЛЛ, неважно куки ты используешь для доступа, токены, бд, а если кроссдоменные обращения тоже запрещены? каждый раз изьебоваться будешь? Можешь подробнее, просто не совсем область моя, я хотел бы узнать подробнее, что ты имеешь ввиду. Или админ шелл твой (зная что взломали уже) в логах или /тмп или исходниках не заметит? Он прошерстит всё. Тут вопрос про обфускацию, т.е. по факту про не паливность залитого (eval то он тоже спалит). Предложи, вот в чем вопрос. Иначе можно опять все свести к теме "как залить" а потом к теме "как спрятать". Вопрос про быструю непалевную обфускацию по идее.