0×03包含

文件包含是众人都玩过的方法，只是包含也有技巧

普通文件包含可能仅仅是一个include包含某个txt或jpg，甚至直接留一个包含漏洞，但扫描器也容易发现，多出的包含文件也易被发现

看此脚本

算是解决了一点问题，需求的shell可随用随生成，进而包含之

 

可惜由于file_put_contents等函数过于敏感，也是很容易被扫描发现

编码生成的方式创建shell,随访问而生成。

可以逃避一些扫描器，但这个模式也比较引人注目，生成的新文件也要做简单的隐藏以躲过查杀。

当然对于启发式之类的新概念就不考虑了

在这种方式也满足不了需求的情况下，机智的攻击者又重拾图片

参考：一种隐藏在JPG图片EXIF中的后门

这次不必再简单的copy /b生成图片马了，借用preg_replace执行文件的特定标志一样可行

 

此处可能会提示 Call to undefined function exif_read_data()

需要修改php.ini, extension=php_exif.dll

将其加载顺序改为extension=php_mbstring.dll的后面

 

可以看出，此图片后门借助了preg_replace \e参数，依赖了php的变量解析执行，又使用了base64编码，最后依赖文件标识将一个完整的shell拼合，算是给初涉后门隐藏的童鞋一个小提醒

当然，只要有包含点，包含文件的形式是多样的，甚至于包含error_log(虽然可能要考虑闭合)，只有想不到…

0×04隐匿

为了不让访问者发现后门的存在，机智的安全研究员也会混淆视听故弄玄虚

Not FoundThe requested URL was not found on this server.

借助上面的html渲染后，浏览页面已经开始伪装404以迷惑视听了

但躲得过访问者也躲不过日志分析，为更好的隐藏在大量日志中，构造如下脚本

访问之，是真正的404，没错，日志中也是这样

 

但此刻当前目录已生成我们要连接的脚本

0×05混淆

用过weevely工具的童鞋应该知道，其生成的免杀shell像这样

终端下连接后像这样

 

Ps：截图忘记修改终端编码了:(

其免杀方式在于，在固定区域生成随机名称变量，后借助str_replace拼合base64_decode，执行命令的过程

当然，这是在代码层面混淆视听以躲过扫描器

更常用的混淆视听的方法：

◆修改文件时间

◆改名融入上传后所在文件夹，让人无法直观看出文件异常

◆文件大小的伪装处理(至少看起大小像个正常脚本)

◆选好藏身路径并尽量少的访问

◆畸形目录%20

关于空格目录，还是相对容易被发现的

 

0×06解析

利用.htaccess,添加解析后门

 

如：

AddType application/x-httpd-php .jpg

 

以上以weeverly为例

0×07杂糅

总结以上方法，大部分无非是一个构造漏洞的过程，漏洞构造的代码能有多奇葩，后门就可以多奇葩。可以写纤细婉约的，也可以搞简单粗暴的，只是适用场合不同而已。如能很好的融合思路，构造自己的隐藏shell想来亦非难事。

(责任编辑：安博涛)