几点简单的Webshell隐藏技巧

摘要: 拿到目标网站权限后，上传webshell时，如何加强自己webshell的隐蔽性？这里讲几点初级的隐藏技巧，至于高级的奇技淫巧，估计大家都不会放肆讨论的。

跟我一起念后门口诀：
挑、改、藏、隐 来个例子先，例一：



只因为在目录里多瞅了一眼，只一眼，就认出了你。为什么你是那么的出众？
可疑点：文件名、时间、大小。（有点经验的人能很快发现这些上传的木马文件）
1. 后门的选择
安全可靠（无隐藏后门，功能稳定。可以从可信度高的地方获取可靠的木马）
多兵种搭配（小马、大马、变态马） 常规马链接： http://www.xxxxxx.org.hk/china60/axdx.php来个变态马的连接例子（这是一个可以用菜刀这样连接的小马，如果不填“?_=assert&__=eval($_POST['pass'])”则无法连接成功）： http://www.xxxxxx.org.hk/china60/axdx.php?_=assert&__=eval($_POST['pass'])
2. 后门的预处理（上传之前能做的工作尽量本地做好，少留痕迹）
改默认密码
改名—融入上传后所在的文件夹，让人很难直观地看出文件的异常
文件大小的伪装处理（像正常脚本） 来个不太好的文件大小伪装方式例子：为了使文件大小比较和谐，填充了很多无用字符。其实可以考虑复制所在文件夹其他正常脚本的内容。



3. 后门的植入
植入方式的选择（上传、新建、嵌入）：上传是最直观的方式，有的站点禁止上传，可以通过新建一个文件，然后把马的内容复制进去保存。最隐蔽的是把木马嵌入网站本来就有的正常脚本中。
修改文件时间
狡兔三窟+深藏不漏：多藏几个后门，藏的路径深一点
确定访问路径后不要访问，少留记录：知道访问路径后，就不要再访问测试了，防止在日志中留下痕迹。
再来个例子：（猛一看，看不出来这是马吧）



4. 清理工作
清理碍眼的马（可能是别人上传的）
清理日志—服务器日志+系统日志
总结：
口诀：挑、改、藏、隐
（精挑细选、改头换面、狡兔三窟+深藏不漏、大隐隐于市）