严苛Web对抗环境下的Webshell

已于 2024-01-06 17:10:01 修改
阅读量117 收藏 1
点赞数 1
文章标签: 前端
于 2023-08-27 11:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangluoanquan111/article/details/132517705
版权

引言

随着攻防对抗的强度越来越高,各大厂商流量分析、EDR等专业安全设备已广泛使用,对于Webshell的检测能力愈发成熟,对于攻击方来说,传统落地文件型的Webshell生存空间越来越小。如何在实战演练过程中完成高隐匿和持续性的Web权限维持,成为了Web对抗技术的研究重点,Webshell逐渐涌现出来一些新的利用方式。

Webshell 变迁

传统 Webshell
都是基于文件类型,攻击者可以通过文件上传、任意文件写入等漏洞将Webshell植入到目标机器的Web目录下,从而达到权限维持的目的,由于需要在目标机器上执行写入操作,防守方可以通过静态检测的方式对文件中所使用的关键词、敏感函数、文件创建/修改时间、文件权限、文件所有者等多个维度的特征进行检测,传统Webshell生存空间被逐渐压缩,内存型Webshell应运而生。内存型
Webshell(MemWebshell)利用代码执行等方式,直接将恶意的代码注入到Web应用进程当中,具备无文件落地的特性更加符合OPSEC的原则,给检测带来巨大难度,适用于严苛的Web对抗场景。

MemWebshell 分类

MemWebshell 从注入方式和运行原理的角度上划分为两个大类:

1. 基于Servlet规范利用:利用反序列化等具备任意代码执行能力的漏洞,动态注册符合Servlet规范的自定义恶意组件到Web容器的 Context
中,包括 Servlet、Filter、Listener 等,攻击者通过请求特定的路由实现与MemWebshell的通信;

2. 基于 Java Instrumentation 利用:利用 Java Instrumentation 技术(JDK 5.0引入),动态修改 JVM
中Class 的字节码,包括类的属性、方法等内容,攻击者利用该技术 Hook 已有容器或 Servlet
代码逻辑,使用动态字节码操作类库实现自定义恶意代码逻辑的插入或修改;

动态注册 MemWebshell

在日常项目开发当中有两种标准的注册方式,使用「XML配置文件」或「注解配置」,其本质是描述目标实例对象所需的配置信息,例如:路由信息、类信息等,最终底层都由
Web 容器来获取 XML 或者注解中的配置,完成 Servlet 实例对象的初始化,并注册到容器相应的 Context 中。其中,主要利用了
Servlet API 提供的动态注册机制,该机制是在 Servlet 3.0 中发布,为 Servlet、Filter、Listener 在
javax.servlet.ServletContext 接口中都提供了相应的注册方法,攻击者可利用该特性完成 MemWebshell 的动态注册。

注册 Filter MemWebshell

Filter 为过滤器,通过实现 javax.servlet.Filter 接口实现对目标请求的拦截,请求进入服务器后,先由 Filter
对请求进行预处理,通过配置 URL Pattern 实现对指定请求的拦截和过滤。

如何动态注册 Filter 到容器中?以 Tomcat 为例,断点调试自定义的 Servlet,可以看到 Filter 的调用核心是
ApplicationFilterChain 类,其中 filters 属性中存放着所有已经注册完成的 filter 实例,在
ApplicationFilterChain#internalDoFilter 方法中会循环获取 filters 属性中的过滤器实例,并调用过滤器的
doFilter 方法,实现对请求过滤逻辑的调用。如下图所示,filters 中已经存在一个容器自带的过滤器 WsFilter,跟踪该 Filter
来了解动态注册的方式。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1gEELFO2-1693066630979)(https://image.3001.net/images/20211207/1638859089_61af015118a87c91a616a.png!small?1638859090214)]

通过调试分析可以发现在上层的 WsServerContainer 方法中,Tomcat 对 WsFilter 过滤器的注册,即 filters
属性中的默认过滤器。

WsServerContainer(ServletContext servletContext) {  
...  
  
// 动态注册 WsFilter 类  
FilterRegistration.Dynamic fr = servletContext.addFilter(  
"Tomcat WebSocket (JSR356) Filter", new WsFilter());  
fr.setAsyncSupported(true);  
  
EnumSet<DispatcherType> types = EnumSet.of(DispatcherType.REQUEST,  
DispatcherType.FORWARD);  
  
// 绑定过滤器与URL映射关系  
fr.addMappingForUrlPatterns(types, true, "/*");  
}

参照上述默认过滤器 WsFilter 类的注册,可以实现自定义过滤器的动态注册代码。通过请求任意路由的 cmd 参数即可执行任意命令。

1638859956_61af04b438c7df8ccf34b.png!small?1638859957309

调试 Tomcat 源码可以获知,每次请求的 ApplicationFilterChain#filters属性都是动态生成的,请求结束后,会调用

最低0.47元/天 解锁文章
立志成为网安大牛
关注
webshell对抗php(一)
2301_76168169的博客
07-18 51
如此会构造:http://example.com/code.php?phpinfo();//为了防止这种类型的攻击,开发者应该对用户输入进行适当的验证、过滤和转义,可以使用PHP内置的函数如来转义用户输入,或使用数据库查询参数绑定等技术来防止代码注入攻击。
知识总结 | 注入写webshell
IerkeU的博客
03-25 3560
一、什么是webshell? ​ webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以称为一种网页后门。 ​ 黑客在入侵在一个网站后,通常会将asp或者php后门文件与网站服务器web目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php的后门,得到一个命令执行环境,以达到控制网站服务器的目的。 一句话木马 ​ 在很多渗透测试过程中,渗透测试人员会上传一句话木马到目标服务器目录继而提权获取系统权限,不论asp、php、jsp都是如此 简
SQL注入之webshell上传
最新发布
aihua002的博客
08-05 365
1.高版本的MYSQL添加了一个新的特性secure_file_priv,该选项限制了mysql导出文件的权限,所以该选项为可以=‘“”/=一个路径,不能为NULL,secure_file_priv=“” 代表文件读写没有限制,secure_file_priv=一个路径,代表只能对该路径下文件进行读写,而secure_file_priv=NULL 代表不能对文件进行读写。首先webshell上传就是利用MySQL的文件读写注入而实现,要想上传webshell就得了解文件读写注入的原理。
sql注入写入webshell
qq_39816136的博客
04-18 1883
最近的hvv热度高涨,最近也是接到了许多的面试电话联系。 所有就sql注入出现的次数比较频繁,是初级hvv的重中之重 我感觉十有八九会问到sql注入,这里就解说一下这个sql注入写入webshell
超详细注入拿webshell.rar
05-28
超详细注入拿webshell.rar 分为两个教程进行介绍webshell的使用过程
面向Java的高对抗内存型Webshell检测技术.pdf
01-01
面向Java的高对抗内存型Webshell检测技术 以下是本文的知识点总结: 1. Web应用程序安全 * Web应用程序的复杂性和重要性使其成为网络攻击的主要目标之一。 * 攻击者通常会植入一个Webshell来持久化控制网站。 2....
linux下的webshell查杀工具
04-03
一款好用的linux下的webshell查杀软件。linux下的webshell查杀工具很少,所以这里分享出来。用于发现服务器上的web后门 官方网站地址:https://www.shellpub.com
WebShell 路人甲WEB管理 v1.3
11-10
路人甲WEB管理具有WebShell批量检测、批量执行命令、批量查询百度权重,百度收录,正确率可达百分之九十八,是一款不可多得的必备神器。路人甲WEB管理功能介绍:打开软件后将存有
Web安全 _ 无字母数字Webshell 总结.pdf
09-06
Web安全】无字母数字Webshell总结 在Web安全领域,Webshell是一种常见的攻击手段,用于在目标服务器上获得远程控制。无字母数字Webshell是指避开常规字母和数字字符限制的Webshell构造方法。通常,服务器会通过...
dotnet-SharPyShell一个用于CWeb应用程序的微小且混淆的ASPNETwebshell
08-14
SharPyShell - 一个用于C#Web应用程序的微小且混淆的ASP.NET webshell
MySQL注入之木马上传拿webshell
Jim的博客
08-15 1万+
原理:利用MySQL中的写命令into outfile(固定式:select A into outfile B),在目标Web虚拟路径D:/WWW/下面生成一个木马文件  工具:中国菜刀 1.首先查找SQL注入点 使用单引号'报错,使用and 1=1页面正常和and 1=2页面不正常,来判断存在SQL注入 2.使用order by猜测字段数量 ?id=1+order+by+2--+
SQL注入写WebShell方式小结
热门推荐
Mi1k7ea
12-09 2万+
这里小结一下通过SQL注入写入WebShell的方法。 传统的SQL语句写shell 通过SQL注入select into outfile实现,如: 1' union select 1,'&lt;?php eval($_POST[a]);?&gt;' INTO OUTFILE '/var/www/tmp/nb.php'# sqlmap写shell 前提都是需要对目标目录具有写权限。 -...
.net core 获取binary 文件_基于tomcat的内存 Webshell 无文件攻击技术
weixin_34702885的博客
12-29 362
更多全球网络安全资讯尽在邑安全www.eansec.com0x00 前言前段时间,看到安全客有观星实验室的师傅写了篇《基于内存 Webshell 的无文件攻击技术研究》的文章,他的办法是动态的注册一个自定义的Controller,从而实现一个内存级的Webshell。文章也针对Spring不同的版本做了不同的实践,达到通杀Spring。虽然看起来达到通杀Spring了,但是对于一些非Sp...
应急响应实战笔记——权限维持篇:⑦ 常见WebShell管理工具
君逍遥o
04-07 488
中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。攻击者在入侵网站时,通常要通过各种方式写入Webshell,从而获得服务器的控制权限,比如执行系统命令、读取配置文件、窃取用户数据,篡改网站页面等操作。AntSword是一个开放源代码,跨平台的网站管理工具,旨在满足渗透测试人员以及具有权限和/或授权的安全研究人员以及网站管理员的需求。Weevely是一种Python编写的webshell管理工具,跨平台,只支持PHP。这是一款跨平台的基于配置文件的中国菜刀,把所有操作给予用户来定义。
渗透测试入门之Web权限维持
weixin_46236101的博客
09-24 428
前言 权限维持,在红蓝对抗中,我觉得其意义在于两点:一是防止已获取的权限被蓝队破坏;二是防止其他红队获取到相同的权限(虽然有点缺德。。。)。 其他情况下的非法用途就不说了。 权限维持的原则我觉得就是不能影响原来业务的正常运行。(比如改后台密码导致管理员不能登录,修改文件夹读写权限导致正常的文件不能上传等等)。 后台权限维持 当我们通过弱口令或爆破获取到后台权限,为了防止管理员修改密码或其他红队修改密码,失去权限,在这种情况下需要维持一下后台权限。 自己修改后台密码,当然是最笨的办法。 可以选择的方法,通过在
WebShell基础详解(特点、原理、分类、工具)
Hardworking666的博客
01-07 1万+
文章目录一、WebShell简介二、WebShell特点三、WebShell分类四、WebShell原理五、内存马六、WebShell管理工具 一、WebShell简介 Webshell就是以asp、php、jsp或cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。 “web”的含义是显然 需要服务器开放web服务,“shell”的含义是 取得对服务器某种程度上操作权限。 webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。 由于webshell其大多..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值