php+webshell+检测,基于PHP的Webshell自动检测

最新推荐文章于 2024-05-29 13:35:05 发布
最新推荐文章于 2024-05-29 13:35:05 发布
阅读量476 收藏 1
点赞数
文章标签: php+webshell+检测

0x00 引言

看到wooyun知识库上众多大神的精彩文章,深感自身LOW到爆,故苦思冥想找来一个题目,主要求邀请码一枚,以便以后继续学习。

对于网络维护人员来说,恐怕最头痛的就是网站被黑,还留下了后门,甚至连服务器都被提权。而Hacker通常在相对不易引人注目的地方留下后门。逐个排查感觉很吃力,那么,本文姑且探讨一下在PHP环境下的Webshell自动检测的可行方案。

0x01 关键词检测

利用正则表达式等对一些常见的Webshell关键词进行扫描,从而判断出该文件是否为Webshell.这种检测方法真是太暴力了,也是最简单最传统的检测方式。显而易见,这样简单粗暴地检测会产生较高的误报率,而且对于一些加了密或者变形的Webshell又会出现检测不出来的问题。所以,这样筛选出来的Webshell还要经过网络维护人员的手动核实,查杀原则是:宁可错杀一百,不可放过一个。。。。

譬如下面这段在某网站Get的代码,据称是某在线Webshell查杀真实代码:#!php

class scan{

private $directory = '.';

private $extension = array('php');

private $_files = array();

private $filelimit = 5000;

private $scan_hidden = true;

private $_self = '';

Private $_regex='(preg_replace.*\/e|`.*?\$.*?`|\bcreate_function\b|\bpassthru\b|\bshell_exec\b|\bexec\b|\bbase64_decode\b|\bedoced_46esab\b|\beval\b|\bsystem\b|\bproc_open\b|\bpopen\b|\bcurl_exec\b|\bcurl_multi_exec\b|\bparse_ini_file\b|\bshow_source\b|cmd\.exe|KAdot@ngs\.ru|小组|专用|提权|木马|PHP\s?反弹|shell\s?加强版|WScript\.shell|PHP\s?Shell|Eval\sPHP\sCode|Udp1-fsockopen|xxddos|Send\sFlow|fsockopen\('(udp|tcp)|SYN\sFlood)';

private $_shellcode='';

private $_shellcode_line=array();

private $_log_array= array();

private $_log_count=0;

private $action='';

private $taskid=0;

private $_tmp='';

0x02 对混淆Webshell的判断

1. 信息熵

说到对加密的Webshell的判断,就不得不提到信息论。香农信息论的基本点是用随机变量或随机矢量来表示信源,运用概率论和随机过程的理论来研究信息。经过编码的Webshell文件包含大量随机内容或特殊信息,这种文件将产生更多的ASCII码,使用ASCII码计算文件的熵值会变大,即衡量了Webshell对于普通文件的不确定性。

公式说明:其中,n为ASCII码,对于ASCII为127的字符(空格)的判断无意义,去除;Xn为第n位ASCII码在当前文件中出现的次数,S为当前脚本文件的总字符数。

熵值Info(A)越大,为Webshell的可能性越大。

2. index of coincidence(IC,重合指数)

这里再使用一种方法:设X为一个长度为n的密文字符串,我们用集合来表示这个密文字符串{X1,X2,…,Xn},X的重合指数是指随机抽取任意两个元素相同的概率。

设Ni为字符i在这份密文中出现的次数。从n个密文字符中抽取两个字符的方式有

而其中Ni个i组成一对的方式有

于是,两式作比,即为从X中抽到两个字符都为i的概率。

加密文件的密文随机性变大,其重合指数变低。编码后的Webshell类似于随机文件,而明文的Webshell由于具有用于提权的类似随机字符串或者包含二进制、十六进制序列的内容,因此使用扩展的ASCII码作为研究对象,即计算254个字符(除去ASCII为127)的重合指数。那么对于脚本文件,如果重合指数越低,则为Webshell的可能性越大。

除上述介绍过的两种算法,还可以使用base64编码待检测脚本文件,对于加密的Webshell文件,由于base64编码消除了非ASCII的字符,这样实际上经base64编码过的件的字符就会具有这样的特征——更小且出现分布的不均衡,也就是说文件的压缩比会变大。通过这样的方式来检测Webshell的特征就是相对其他文件,具有更大的压缩比。

对于混淆的Webshell的判断,根据算法算出来的结果都是一些具体的数值,要根据实际设定好的阈值来进行比较,从而来判断是否为Webshell。而阈值的设定由于不同的网站并不相同,因此还要经过具体的测试。

0x03 基于PHP扩展的Webshell实时动态检测

这种检测方法在目前比较流行,主要由于该方法采用对PHP调用危险函数的HOOK,能够动态地检测出Webshell,相对比较实时,迅速。在一定程度上,弥补了传统Webshell静态检测的不足,也相对更为方便。

PHP在WEB容器内的运行方式主要有三种:模块加载方式运行,CGI或FastCGI方式运行,三种方法都要经过5个阶段:模块初始化,请求初始化,代码执行,请求结束,模块结束。在PHP的代码执行过程中,通过词法分析,将PHP代码转变为语言片段(tokens),然后语法分析转化为有意义的表达式,最后将表达式编译为中间字节码(opcodes).中间字节码在Zend虚拟机执行,然后输出结果。

我们通过使用PHP内核提供的通用接口: zend_set_user_opcode_handler 来修改中间字节码对应的处理函数,达到对PHP内核HOOK的效果。 函数原型:#!c

int zend_set_user_opcode_handler(zend_uchar opcode,opcode_handler_t handler)

前者为需要的 opcode ;后者为 hook 后的处理函数。

一般将 ZEND_INCLUDE_OR_EVAL , ZEND_DO_FCALL ,ZEND_DO_FCALL_BY_NAME (参见下面举例函数)等处理函数在扩展中使用zend_set_user_opcode_handler 进行处理。

攻击者通过任意文件上传漏洞将Webshell上传到目录中。那么在文件上传后进行访问时,通过对文件所在路径是否在黑白名单中进行判断,如果不符合黑白名单规则,则视为攻击并及时拦截。

潜在的可以HOOK的危险函数:命令执行类:passthru,system,popen,exec,shell_exec等

文件系统类:fopen,opendir,dirname,pathinfo等

数据库操作类:mysql_query,mysqli_query等

回调函数:array_filter,array_reduce,usort,uksort等

反射函数:ReflectionFunction

PHP扩展采用纯C编写,给出主要代码供参考:#!c

#include“config.h”

#include“php.h”

#include“php_ini.h”

#include“ext/standard/info.h”

#include“php_waf.h”

static int le_waf;

const zend_function_entry waf_functions[] = {

PHP_FE(confirm_waf_compiled,NULL),PHP_FE_END };

zend_module_entry waf_module_entry = {

#if ZEND_MODULE_API_NO >= 20010901

STANDARD_MODULE_HEADER,

#endif

“waf”,

waf_functions,

PHP_MINIT(waf),

PHP_MSHUTDOWN(waf),

PHP_RINIT(waf),

PHP_RSHUTDOWN(waf),

PHP_MINFO(waf),

#if ZEND_MODULE_API_NO >= 20010901

PHP_WAF_VERSION,

#endif

STANDARD_MODULE_PROPERTIES

};

#ifdef COMPILE_DL_WAF

ZEND_GET_MODULE(waf);

#endif

PHP_MINIT_FUNCTION(waf)

{ zend_set_user_opcode_handler(ZEND_INCLUDE_OR_EVAL,manage); // hook eval等

zend_set_user_opcode_handler(ZEND_DO_FCALL_BY_NAME,manage); //hook变量函数执行

zend_set_user_opcode_handler(ZEND_DO_FCALL,manage); //hook命令执行

return SUCCESS;

}

int manage() /*HOOK处理函数*/

{ char* filepath = (char*)zend_get_executed_filename(TSRMLS_C);

if(strstr(filepath,”upload”))/*判断字符串“upload”是否是filepath的子串*/

{ php_printf(“请不要执行恶意代码

执行文件路径 :%s”,filepath);

return ZEND_USER_OPCODE_RETURN;}

else

return ZEND_USER_OPCODE_DISPATCH;

}

0x04 总结

除上述所采用的Webshell检测方法,目前还有基于网络的检测方式等。

例如,目前的研究有集中于在网络入口处配置IDS或者WAF来检测Webshell的方法。Fireeye[28]提出使用Snort配置特征规则来检测一句话木马.另有通过配置ModSecurty的核心规则集(CoreRule Sets)来检测上传Webshell的行为的方式。

上述两种方法都是通过分析http请求中是否包括特殊关键词(例如 、 

萌芽研究所BUD
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebShell特征值汇总与检测工具
悦分享
08-01 1060
一、WebShell检测方式webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以是指定以服务端动态脚本形式存在的一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。Webshell一般是指以服务端动态脚本形式存在的一种网页后门。Webshell的运行流程注①文件的创建时间采用这种检测工具。...
网络攻击之WebShell
qq_44887910的博客
09-05 1244
WebShell 攻击
【转】Webshell入侵检测初探
tpriwwq的专栏
06-13 1452
0×01:Webshell简介 攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命...
分享几个PHPwebshell免杀思路
2401_84466225的博客
05-29 1318
ps:远程获取的时候,其实也可以用fopen读取远程文件,更加方便点,但是感觉这个函数貌似比较常用,可能会被一些waf或者查杀工具查到,所以用到了远程获取的地方,分别使用了fopen函数和curl进行。
php后门拿下当前目录
aici0819的博客
03-26 373
Weevely是一个模拟类似telnet的连接的隐形PHP网页shell。它是Web应用程序后期开发的必备工具,可以作为隐形后门程序,也可以作为一个web外壳来管理合法的Web帐户,甚至可以免费托管。 weevely是一款针对PHPwebshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似tel...
安全实践:webshell检测
围城
03-24 850
2020/03/07 - 引言 最近在看webshell检测的相关文章,最初的搜索的关键词是webshell +cnn,通过找了一些论文来看看具体的检测效果,这里看了几篇文章感觉不错。 基于机器学习的 Webshell 发现技术探索[1] 这篇文章算是看到的比较早的文章了,文章中将多种webshell检测方法都进行了说明,并将前期的代码处理方式也进行了完整的说明。 前期预处理三种方法:直接使...
基于python开发的webshell检测工具
最新发布
06-28
【作品名称】:基于python开发的webshell检测工具 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: 使用说明 Usage: ...
php在线查杀扫描webshell后门 对接WEBDIR+ Api
10-04
使用PHP对接百度 WebDir在线查杀接口 作者来源:https://mubaisu.com/webdir.html 并处理判断返回结果,使在线查杀文件不在是梦想~ 无需任何扩展和依赖限制 只要你服务器可以跑php 缺点:每次查杀都需要上传文件到...
PHP常见过waf webshell以及最简单的检测方法
01-20
前言 之前在Webshell查杀的新思路中留了一个坑 ,当时没有找到具体找到全部变量的方法,后来通过学习找到了个打印全部量的方法,并再次学习了下PHP webshell绕过...为了验证该检测机制,首先了解下目前PHP webshell
基于PHP扩展的webshell检测研究.pdf
01-06
基于PHP扩展的webshell检测研究.pdf
php扩展初探(三): taint解析
vspiders的博客
05-28 603
前言 终于可以抽点时间说下taint了。 源码解析 taint的安装就不提了,普通的扩展安装即可。 taint主要由三部分构成,污点标记、污点传播、污点沉降。 污点标记 taint在php7中的标记是在_zend_string中的内存回收u.v.flags字段中,如下: typedef union _zend_value { zend_long lval; /* long value */ double dval; /* ...
一款基于python开发的webshell检测工具+源代码+文档说明
12-01
## 工具简介 findWebshell是一款基于python开发的webshell检查工具,可以通过配置脚本,方便得检测webshell后门。 ## 使用说明 Usage: main.py [options] Options: -h, --help show this help message and exit -p PATH, --path=PATH input web directory filepath -o OUTPUT, --output=OUTPUT create a html report -e php|asp|aspx|jsp|all, --ext=php|asp|aspx|jsp|all define what's file format to scan ## 示例 python main.py -e php -p /var/www/test -o output -e 网页格式 -p 扫描的路径 -o 生成的html文件名,默认生成report.html ## 开发文档 ### 字典添加 - directory目录下的sensitiveWord.py定义的是后门中的敏感关键字,可以手动添加,格式为{"关键字":"类型"} ``` php_sensitive_words = { "www.phpdp.org":"PHP神盾加密后门", "www.phpjm.net":"PHP加密后门" } ``` -------- 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! <项目介绍> 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
关于PHPwebshell免杀小结
小王的储物间
02-23 908
我们可以通过我们自定义的函数方式,搭配php的版本和可替换函数绕过WAF的拦截,达到免杀的目的!由于在PHP函数中函数名、方法名、类名不区分大小写,但推荐使用与定义时相同的名字的时候还可以使得大小写进行绕过,所以大大提升了免杀效果!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
kali下的webshell工具-Weevely
@小张小张的博客
09-29 3641
kali下的webshell工具-Weevely weevely是适用于php网站的webshell工具,使用weevely生成的木马免杀能力较强,而且使用加密连接,往往能轻松突破WAF拦截。 Weevely工具使用Python语言编写,集生成木马与连接于一身,相当于Linux中的中国菜刀,但只适用于php网站,支持图片与.htaccess两种绕过方式。生成的木马文件进行了base64加密处理。它实现了SSH 风格的终端界面,并有大量自动化的模块。测试人员可用它执行系统指令、远程管理和渗透后期的自动渗透;
Webshell的常见检测方法与靠谱工具推荐
王教主的博客
06-11 2684
Webshell简介 安全人员所说的Webshellweb指的是在web服务器,而shell是用脚本语言编写的脚本程序,Webshell通常是一个可执行的脚本文件。攻击者在入侵时,通常要通过各种方式取得webshell,从而获得网站的控制权,然后进行之后的进一步入侵行为。 Webshell常见的获取手法包括:直接上传webshell、SQL注入上传、远程文件包含(RFI)、FTP、通过后台提供的数据恢复等功能、数据库压缩等。 Webshell的通用功能包括但不限于shell命令执行、代码执行、数据库枚举和
WebShell后门检测WebShell箱子反杀
永远是少年
10-28 1003
今天继续给大家介绍渗透测试相关知识,本文主要内容WebShell后门检测WebShell箱子反杀。 一、WebShell后门检测 二、WebShell后门原理 三、WebShell箱子反杀
基于机器学习的 Webshell 检测+源代码+文档说明
下载完,不懂运行可以私聊,看到会回
11-30 2099
本课题旨在研究机器学习在 Webshell 检测中的应用,以目前应用广泛的服务器端语言 PHP 为例,通过学习和研究 PHP Webshell检测中的对抗手段,收集充分的黑白样本用于机器学习模型训练,采用较为有效的方式进行特征化工程,清洗出可用于机器学习的带有标签的标准化特征向量,从而进行监督式机器学习。
PHP 的 HOOK 实现原理
yolo_yyh的博客
02-20 3806
PHP HOOK OPCode 是通过 int zend_set_user_opcode_handler(zend_uchar opcode, opcode_handler_t handler) 接口替换了 PHP 内置的 OPCode 的 handler (函数指针),那 PHP 是如何执行到我们替换后的 handler 的呢? 一、zend_user_opcodes 和 zend_user_opcode_handlers 以 PHP 5.1 版本为例,zend_set_user_opcode_h
php马-bypass _ alin'Blog1
08-03
本文主要关注的是如何绕过现有的PHP Webshell检测工具和平台,以实现更隐蔽的PHP Webshell,即“零提示、无警告、无法被检测到的一句话木马后门”。 首先,我们要了解Webshell的基本概念。Webshell,又称为网站后门...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值