什么是webshell?
web:万维网
shell:是指一种应用程序,为用户和系统之间建立连接,通过这个界面访问操作系统内核的服务
webshell:是以asp、aspx、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。找到Web站点漏洞后,通常会在Web站点上传WebShell程序,从而实现对目标站点的控制。(网站是用什么语言写的就会以什么形式存在)
webshell特点
1.可提供持续性的远程访问
2.提权
3.隐蔽性强
webshell分类
大马:功能强大。如提权、打包、脱库增删文件,进行内容编码、CMD命令操作、克隆、代理等功能
小马:体积小,便于隐藏;功能简单一般只有长传功能
一句话木马:(如图片马)代码短,使用场景大,可单独生成文件,可插入文件安全性高,隐藏性强,可变形免杀,数据执行,数据传递
内存马:无文件马,利用中间件的进程执行某些恶意代码
一句话木马常见写法
PHP: <?php @eval($_POST[value]);?>
<?php ?>:PHP代码标识(告诉计算机为PHP代码同理其余几个也为对应标识)
@:即使程序执行错误也不报错
eval():把字符串作为PHP代码执行
$_POST[value]:PHP超全局变量,用post方式接收数据(还可以使用get,cookie等),value标识变量值
常见的webshell管理工具
蚁剑,菜刀,冰蝎,哥斯拉等
1.蚁剑(AntSword)
是一款开源的跨平台WebShell管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。
核心功能
Shell代理功能;Shell管理;文件管理;虚拟终端;
数据库管理;插件市场;插件开发
下载地址:
源码包: https://github.com/AntSwordProject/antSword
加载器:https://github.com/AntSwordProject/AntSword-Loader
2.中国菜刀(Chopper)
下载地址:GitHub - raddyfiy/caidao-official-version: 中国菜刀官方版本,拒绝黑吃黑,来路清晰
3.冰蝎(Behinder)
采用二进制动态加密传输数据的网站管理工具。(特点是加密)
特点:加密WebShell防止被发现.由于流量加密,传统的WAF、WebIDS设备难以检测
下载地址:GitHub - rebeyond/Behinder: "冰蝎"动态二进制加密网站管理客户端
若双击Behender.jar文件打开不了。
1.排查:
beta7版本客户端不再内置JavaFX库。java11以后版本移除了JavaFX库,要运行冰蝎需要自己下载
JavaFX库。
2.下载JavaFX.
下载官网:https://gluonhq.com/products/javafx/ 根据需求下载对应版本
在冰蝎日录下新建txt。将以下代码粘贴到txt文件中然后将path 修改为javaFX下 lib 目录的路径。
start javaw --module-path "用自己的lib路径" --add-modules=javafx.base --add-modules=javafx.controls --add-modules=javafx.fxml --add-modules=javafx.graphics --add-modules=javafx.media --add-modules=javafx.swing --add-modules=javafx.web -jar Behinder.jar
将这里改为自己的lib路径
然后将txt文件名改为start.bat双击打开