第十九章：web安全之webshell知识分享——webshell木马的上传

四、webshell木马的上传

黑客通过一些手段获取了webshell，常有的手段有：

1）网站出现远程执行命令bug，对表单参数验证不严谨，请求个别路径携带一句话木马参数就可以入侵网站拿到webshell。类似这种：

http://127.0.0.1:89/mingfang/index.php?q=${${@eval%28$_POST[cmd]%29}}

2）利用SQL注入漏洞获取webshell。

黑客可以通过执行select..in To outfile 查询输出php文件，然后通过把代码插入到mysql，从而导致生成了webshell的木马。

3）假设我们有个智障网站有这样的漏洞:

利用系统前台的上传业务，上传WebShell脚本。在web中有上传图像、上传资料文件的地方，由于未采用白名单过滤文件类型（可能只是在前端做了验证类型），就有可能上传脚本文件成功。上传完后通常会向客户端返回上传的文件的完整URL信息，有时候不反馈，我们也可以猜到常见的image、upload等目录下面，如果Web对网站存取权限或者文件夹目录权限控制不严，就可通过url访问这个脚本，脚本就被执行。然后就会导致黑客可以上传webshell到网站的任意目录中，从而拿到网站的管理员控制权限。

4）黑客获取管理员的后台密码，登陆到后台系统，利用后台的管理工具向配置文件写入WebShell木马，或者黑客私自添加上传类型，允许脚本程序类似asp、php的格式的文件上传。

5）同服务器其他站点被攻陷，导致整个服务器沦陷。

6）网站程序没有问题，服务器存在其他漏洞。

7）程序源码获取渠道有问题。站点部署时混入了Webshell文件。大量的用户在使用从网上下载的第三方开源代码时，其代码本身已经混入了Webshell的恶意脚本，造成二次入侵或多次入侵。所以在部署前期，如果不是新开发的代码，都需要对代码进行恶意文件扫描查杀，防止上线后被入侵。