应急响应(WEB)

webshell以及暗链:

webshell:web的一个后门,能被web可执行的,可操控的程序。

攻击网站的流程:

  1. 信息探测
  2. 注入/XSS
  3. 获取数据
  4. 破解密码
  5. 登录后台
  6. 上传webshell
  7. 提权控制服务器
  8. 渗透内网

经典webshell:

  1. <?php echo system($_get[cmd])?>,并不能直接用远程连接工具,可进行传参,触发system()函数,例如:http://127.0.0.1/xxx.php?cmd=ls
  2. php一句话:<?php eval($_POST[cmd]);?>
  3. 文件包含:本地新建1.txt文件,内容放入<?php phpinfo();?>,新建1.php文件,内容放入<?php include "1.txt"?>,上传后可被解析为php文件.

web日志检测webshell

  1. 部分webshell会将操作的目标参数放在url参数中,如:http://127.0.0.1/xxx.php?cmd=ls或http://sample.com/shell.asp?act=write&file=abc.txt
  2. 日志若可记录referer字段,可搜索referer字段为空的链接,因为绝大多数webshell无上级链接,入侵者会直接访问webshell文件
  3. 操作思路:
    1. 搜索文件名,搜索命令,搜索write、exec等参数
    2. 搜索referer字段为空的条目

 

posted @ 2022-09-25 20:18  田家少闲月-  阅读(35)  评论(0编辑  收藏  举报