黑客入侵日记小白入门拿权限webshell
黑客花无涯带你走进黑客天下系列文章
学习黑客经典册本网络好坏某宝有售
对于渗出方面的各种教程,看了也不少了,此中黑客攻防技能宝典web实战篇这本对我资助甚大,真正让我入门了。brupsuite,w3af,sqlmap,nmap,metasploit,xssbeef,各种工具也都根本会用。近来国内某闻名安全公司的工程师来我们公司与我们举行了安全技能交换,交换中展示了一种基于PHP内核来检测php的webshell的demo,简直很牛,但访问一个页面就会出现很多信息,在页面较多访问量较大的环境下会产生海量日记,感觉真正投入利用还必要举行较多优化。
这里我先容一下我从前利用的两种方法来检测webshell,应该说结果比这个显着很多,一旦有人利用webshell实行下令都会被发现,在先容我的思绪之前,有爱好的也可以关注一下花无涯微博。我们先简单小结一下常见的webshell检测方法。
但是接下来有点不知道该怎么办。各种sql注入,xss,phpinfo,robots.txt纵然是一些老网站也找不出弊端。固然对各种弊端都知道,就是找不出来,不知道怎样攻下本身的第一个站点。
关于webshell的检测与绕过,网上有较多的文章举行过讨论。我按本身的明白简单总结如下:
基于特性码对文件举行扫描
Webshell与正常的网页文件肯定存在着一些特定的区别,利用这些区别就可以找到webshell,我们把这些特定的区别称之为特性码。Webshell的特性码包罗:一些关键的函数如eval、system、shell_exec等;也包罗一些黑客的版权信息比如4ngel、wofeiwo、c99shell等。这种方法存在着误报和漏报的题目,误报重要在于正常的页面大概也会调用eval等函数,漏报在于特性码网络的是否全面以及存在着相应的规避步伐。
比如下面这个某牛的webshell:
我本身写的webshell扫描工具能发现它重要由于我把preg_replace这个函数也做为了特性码,不太明白preg_replace函数作用的人大概就不会认识到这一点。固然假如扫描发现了一些黑客版权特性那根本上断定是webshell了。下图为我从前本身写的一个webshell扫描工具的结果图:
基于文件属性变革
除了扫描文件特性码之外,还可以连合文件变革来举行,比如html目次正常环境下不会有动态文件但忽然哪天多了一个xx.php,大概别的目次多出一个属主为nobody的文件等。
一种思绪就是监控文件的变革,当有变革的时间主动调用检测脚本举行检测等。
基于网络访问特性
如今有一些IPS会将webshell.php、diy.asp、cn99.php等做为特性报警,着实是在网络上截获url然后匹配特性举行。顺着这个思绪,假如开辟一套体系对网络上的http流量举行分析,提取出全部的访问页面、参数、访问方式等信息存入数据库,当有新增的页面或页面新如来一个访问参数大概哀求方式由GET变为POST时就大概存在非常。但是这种方案实行和运维工作量会比力大,而且无法支持https网站(除非导入网站证书解密)。
基于php内核的检测
不管webshell代码怎么变形,终极都要颠末php分析引擎分析后实行,在这个时间全部的操纵对你都是可见的。基于这个思绪,一些牛人开始计划基于php内核的检测方式,如今还没有一款相对成熟的产物,本次某安全公司过来演示的也只是一个demo。
另类思绪检测webshell
上传webshell上来之后,黑客会举行什么操纵?用webshell的欣赏目次功能到处逛?还是会用到其实行下令的功能比如反弹个shell?实行这些操纵与正常的用户访问页面到底有什么区别?基于此,在和一些朋侪的讨论下,我提出了基于进程上下文的方案,而且在真实环境举行了测试。背面我又研究了基于体系调用的方案而且在真实环境举行了测试,这里一并先容给各人。
基于进程上下文的检测
linux上的webshell根本上都具备反弹shell功能,一旦有人利用此功能反弹shell,体系上就会出现相应的进程变革,利用这种变革就能发现一些非常。比如某体系是nginx以php-cgi方式运行php,而且nginx以nobody权限运行,那实行:ps-ef|grep
nobody|grep-vphp-cgi|grep-vnginx|grep-vgrep就能获取到可疑的进程,写一个脚本把可疑的进程记录并发邮件出来,然后做个crontab一分钟实行一次这个脚本。以安全天使的phpwebshell为例举行测试,得到以下数据:当利用c代码模式反弹时会发现。
当我得到一个网站的webshell:检测到了,服务器存在安全软件。各种杀各种拦阻,然后你各种实行,各种工具上传测试。末了只能跪求某大牛,抽了根烟后,某大牛不想语言并向你扔了个管理员权限的账户。案例分析:像这种环境,第一思绪要清楚,网络好服务器各种信息。第二学会模仿服务器环境,题目大概不在安全软件,而是在于体系的安全战略。第三实行无果可以实行下一个思绪,比如人的安全题目第四很多不乐成的缘故起因在于你履历不敷和你对服务器体系的不认识,尚有要懂得思绪扩展。
当我用工具找到一个CMS(PHP)的文件包罗弊端:百度谷歌各种搜刮,各种实行,找不到相干的弊端。但是能下载到这个CMS的源码,然后去看内里的代码,发现怎么看都是天文乱码,末了还是得扔给某大牛抽根烟。某大牛说了句你是猪吗,那么显着都看不到并向你扔了个webshell。
以是说学习还是非常紧张的,技能入门到夺目。学习黑客经典册本网络好坏某宝有售。
中国黑客协会遍及网络安全知识,让更多的人学习并器重网络安全和信息安全。
中国黑客协会是一种精力的传承,黑客代表是一种精力,它是一种热爱故国、对峙公理、开辟进取的精力。
CopyrightYourWebSite.SomeRightsReserved.
京ICP备2023016396号-1PoweredByESCLINK.
我要评论