前言
费尽心思上传了webshell,上传下载都没问题,却发现命令执行总是失败?最近也打点也遇到了这些问题,网上有部分文章,但都是零碎知识点并且实战不一定能用,今天就结合我个人经验剖析webshell上线后cmd命令执行失败的几种常见原因和解决方法,有其他方法欢迎在评论区分享交流。
命令执行失败场景
当你上传webshell执行命令失败时,以哥斯拉为例,报错一般如下:
表示不能fork一个进程去调用cmd去执行命令,可能是webshell的问题,也可能是杀毒软件的问题。
1.用编程语言内置命令函数执行命令
以php的webshell为例,我们可以先查看phpinfo的disable_fuctions选项,表示执行命令的函数是否有被禁用的:
像这张图就是没有禁用任何函数,如有禁止的函数会在对应的地方写上禁止的函数,如eval(),exec(),system()等,针对这种情况,我们可以梭哈一波,把常用的执行函数全部跑一遍,一般webshell都会有相应的执行php代码的地方:
<?php
$test1=exec('whoami');
echo $test1;
$test2=system('ipconfig');
echo $test2;
$test3=passthru('whoami');
echo $test3;
$test4=shell_exec('net user');
echo $test4;可以看见在这个目标下四个函数都没被禁止,通过这种方式不用起cmd也可以执行命令。
2 上传cmd或利用平替程序执行命令
1.上传自己的cmd
有些杀毒软件可能对在webshell下执行本地system32下的cmd.exe有拦截,我们可以考虑自己上传一个本地的cmd.exe去执行,你可以尝试上传本机的cmd.exe,或者自己写一套调用cmd的api,这里可以给一段代码参考,可以让deepseek自己生成一份:
另外,如果你只是要做信息收集,你可以直接执行system32下的netstat.exe、whoami.exe、tasklist.exe,并不一定要执行cmd。
甚至你可以直接运行你的C2,直接跳过执行命令这步,在C2上在进行更多的操作:
这里的prevhost.exe是我的loader,Microsoft是我设置的一个抗沙箱的参数,我在命令行中敲个1,目标就会上线到我的cobaltstrike上。
2.cmd.exe的平替选项
另外cmd.exe还有一些平替的程序,如forfile.exe,也是可以执行命令的:
大家可以举一反三自己搜集一下平替程序,如mshta.exe、msxsl.exe等等
3 利用大马绕过杀软对进程链查杀执行命令
有些杀毒软件对进程链查杀是相当严格的,比如你在php环境下用冰蝎、哥斯拉等工具去执行一个systeminfo,你的进程链是这样的,可以看到是通过webshell的cmd.exe再起一个cmd.exe:
这里的php-cgi.exe会被部分杀软认为是灰进程(IIS下是w3wp.exe),在会进程下连续起两个cmd.exe是相当可疑的,在有杀软的环境下大概率都会被查杀:
在这种情况下,我们可以通过免杀大马去代替webshell连接工具,一是消除掉webshell工具的特征,二是减短进程链,直接用大马执行命令会少一层cmd.exe。
也可以直接利用大马直接上线
大马github有很多开源项目,deepseek也可以自己生成,实战效果都还不错。
结语
webshell上线之后执行不了命令是红队实战过程中相当常见的问题,总结起来无非就是webshell工具、杀软进程链、cmd工具三个方面的问题。以上思路都是个人在实际环境中用到的,效果都还可以,希望能对师傅们有所帮助。