用Web系统语言(如:ASP、PHP、JSP等)编写的WebShell,WebShell上传服务器后当成页面被攻击者访问,常当做后门。
WebShell危害
做后门; 文件、数据库操作; 修改Web页面......
WebShell的特点
特点一:Web木马可大可小。 特点二:无法有效隐藏。 特点三:具有明显特征值。
命令执行函数:ebval、system、popen、exeshell_exec等。
文件功能函数:fopen、opendir、dirname、pathinfo等。
数据库操作类函数:mysql_query、mysqli_query等。
WebShell必须为可执行的网页格式。
一、冰蝎(Behinder)简介演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell 正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。
这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。
"冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v3.0 bate,兼容性较之前的版本有较大提升。加密不再依赖PHP openssl扩展功能,同时支持了简单的ASP。
主要功能为:基本信息、命令执行、虚拟终端、文件管理、Socks代理
