戟星安全实验室
本文约2717字,阅读约需7分钟。
0x00 前言
0x01 jsp内存马
0x02 aspx、php内存马
0x03 关于内存马使用
先看php一个标准的不死马,内存驻留循环写文件
查杀效果,当然是一抓一个准,比起免杀一句话,实际上不死马更适合防护弱的目标搞权限维持
将字符串内容换为远程url,对php不死马进行变种,原先使用eval就是内存马,改为使用system就可直接上线cs(powershell command)
查杀效果,比起前面明显隐蔽性更高,更容易被网站管理员忽略
jsp内存马推荐哥斯拉内置的,测试最新版v4.0.1-godzilla(有时出现进入shell失败的情况,多试两次就行),指定内存马路径名称点击run,提示ok表示成功,可以去浏览器访问对应路径
使用servlet管理功能可以看到存在我们指定的内存路径
测试冰蝎Behinder_v3.0 Beta 9 fixed最新版,注入内存马后自动连接,后面图标与正常webshell有所不同,顺便可以看到这些工具都支持流量代理转发了
测试蚁剑内存马插件As-Exploits(可以去插件市场下载或者下载后手动安装
https://github.com/yzddmr6/As-Exploits),推荐去看看插件作者的几篇aspx内存马分析,这次使用Filter方式注入内存马
使用内存马管理功能,看看长什么样
但是访问报错,测试无法利用,看来还是servlet方式稳定一些
最后测试3款工具对aspx内存马的支持,冰蝎不支持aspx内存马
而哥斯拉可以,就是不知道内存马添到哪个路径去了
而它随带几个“土豆”漏洞提权挺实用的
蚁剑的插件也可以,并且能自定义路径,点击exploit后去浏览器访问对应路径无报错
在网站目录没有新文件出现
查看日志文件,和插件作者分析的一样,222.aspx访问记录只有一次,后续对其访问无日志记录
0x04 关于内存马查杀
0x05 总结
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。
戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
戟星安全实验室
# 长按二维码 关注我们 #
原文始发于微信公众号(戟星安全实验室):aspx、php、jsp内存马使用
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论