【每天学一点新知识】getshell？？？webshell？？？

前言

附上今日跟某某的聊天记录

 果然小白还是小白啊，第一眼看见getshell还是有点蒙圈，那……今天的学习一点新知识就来了解一下什么是getshell吧！

---

getshell就是可以通过某种漏洞达到留下后门的操作 ，可以通过程序的bug进入后台。

往往应用于上传一句话木马，然后利用菜刀、蚁剑等工具连接一句话在对方服务器的绝对路径，然后获得服务器的各个盘符的信息。

在网上看到这么一句话：

拿webshell的过程就是getshell（以攻击者视角来看应该是利用webshell进入后台获得权限）

嗯？那webshell又是什么？？

我们分开来讲：

Web

        即全球广域网，也称为万维网，它是一种基于超文本和 HTTP 的、全球性的、动态交互的、跨平台的分布式图形信息系统。

        是建立在 Internet 上的一种网络服务，为浏览者在 Internet 上查找和浏览信息提供了图形化的、易于访问的直观界面，其中的文档及超级链接将 Internet 上的信息节点组织成一个互为关联的网状结构。

 shell

        在计算机科学中，Shell 俗称壳（用来区别于核），是指“提供使用者使用界面”的软件（命令解析器）。它类似于 DOS 下的command.com 和后来的 cmd.exe。 它接收用户命令，然后调用相应的应用程序。

        简单来说，shell就是一个接口，用来管理应用程序。用户不能直接控制内核，往往需要通过shell来与内核建立联系，shell的作用就是接收用户的操作（点击图标、输入命令），并进行简单的处理，将用户的指令进行解释，然后再传递给内核，这样用户就能间接地使用操作系统内核了，例如linux的终端以及Windows的命令行cmd。

webshell 就是两者的集合，合起来的意思可以理解为 web 应用管理工具，正常情况下，运维人员可以通过 webshell 针对 web 服务器进行日常的运维管理以及系统上线更新等，那么攻击者也可以通过 webshell 来管理 web 应用服务器。

两者在使用上并没有太多区别，但是在叫法上可能就不大一样了，管理员使用可以叫服务器管理工具，而在攻击者手里就可以叫做后门程序了。Webshell是黑客经常使用的一种恶意脚本，其目的是获得服务器的执行操作权限，常见的webshell编写语言为asp、jsp和php。

webshell就是一个asp或php木马后门，黑客在入侵了一个网站后，常常在将这些 asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。

然后黑客就可以用web的方式，通过asp或php木马后门控制网站服务器，包括上传下载文件、查看数据库、执行任意程序命令等。

在做 web 渗透的时候，经常会用到 webshell，从以前的小马拉大马时代到现在的一句话木马,一共可以分为三类：小马、大马和一句话木马。

小马的功能通常是围绕文件管理的功能，比较简单，如：文件上传、文件修改、新建文件等，都是围绕方便上传一个体量大的木马来做的。

大马的功能比较齐全，但是体积大，不易上传和绕过，有几个木马大家可能都用过，像：phpSpy、jspSpy 以及 aspxSpy等

小马拉大马就是先上传小马，再通过小马的简单的上传或者文件修改等单个功能进行大马的上传。

自从菜刀出现之后，渐渐的一句话木马成为了主流，体量小，还有一个界面版的客户端进行管理操作，极大的方便的大家对于 web 服务器的管理，随后由于菜刀不再更新，慢慢的出现了很多类似的变种，像：c刀，蚁剑，菜刀，Hatchet，xise，QuasiBot，WeBaCoo，Weevely、k8飞刀等，其核心功能包含文件管理、命令执行其实就够用了。

（图为蚁剑）

 

 常见的一句话木马：

php的一句话木马： <?php @eval($_POST['pass']);?>
asp的一句话是：   <%eval request ("pass")%>
aspx的一句话是：  <%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>

通常利用于文件上传漏洞 ，往目标网站中上传一句话木马，然后你就可以在本地通过中国菜刀、蚁剑等进行连接，即可获取和控制整个网站目录。