WebShell,顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问这些asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的(可以上传下载文件,查看数据库,执行任意程序命令等)。由于webshell其大多是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门!!!
原理:
向服务器端发送恶意代码写成的文件(即:shell),客户端通过远程连接,利用shell连接到服务器,并可对服务器进行操作。
现在基本上使用的都是一句话shell,如:
<?php echo shell_exec($_GET['cmd']);?> webshell一直被IDS、AV、WAF、扫描器软件发现查杀,防护与webshell每时每刻都在做斗争,但也会存在各种各样的方式突破防护机制,如:shell编码、一句话插入图片、代码编写等等方式。
下面利用两个实例说明webshell连接:
使用的工具:Kali、metasploitable靶机、中国菜刀
首先:中国菜刀(http://www.maicaidao.co/)
中国菜刀是比较厉害的一款中国的创作,但因为网上版本很多,很难找到原著所以很有可能找到的工具已经被人植入了木马,一运行很容易被控制,据说上面的是官网,没常用菜刀,所以不怎么关注。
优点:可连接密码、可视化界面、支持php ASP ASP.NET环境、功能较为齐全。
缺点:简单的shell容易被杀掉
将这么一句话新建并写成一个php文件,这里直接再将这个文件上传到了metasploitable靶机里面,然后用菜刀输入密码连接。
#这里只是说明并解释原理操作,并没有展示具体的渗透过程,仅仅了解webshell作用。
这样,菜刀的原理过程介绍完毕,但是存在的问题还是比较明显的,比如容易被查杀,最好做编码并且能被服务器端接受且使用。
其次:Kali工具webacoo
这个工具是kali自带工具,比菜刀可以说是旗鼓相当,而且有一个优势就是这个工具生成的shell会自动编码,它的通信内容并不是说会经过数据,而是编码通信内容通过cookie头传输、隐蔽性较强。
cm: base64编码的命令
cn:服务器用于返回数据的cookie头的名
cp:返回信息定界符
与之菜刀相比,缺少了密码连接并且是一个纯命令行工具。
下面简单演示其用法,并且展示抓包中http头内容:
生成服务端
webacoo -g -o a.php客户端连接
webacoo -t -u http://1.1.1.1/a.php 其他参数
webacoo --help
这样就简单的完成了对webacoo的使用操作。
下面请看头信息,
cookie明显变化,圈起来的就是传输的内容,终端对服务器的命令是:cat /etc/passwd,查看内容显示在终端,在tcp流中传输内容即是终端内容的base64编码。
最后:
webshell作用强大,但并不是知晓一点即可,更加深入的东西需要去仔细探寻。