webshell

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 我是研究防御方向的，所以很多时候看的搞攻击的出身做防御产品觉得有点悲哀，想的产品设计完全不贴合实际。 作为反感的就是做皮毛功夫，以及拿一句“甲方需求多种多样”敷衍人。 看看老前辈教教你老一辈黑产们是怎么抵御webshell的 http://www.xoslab.com/ 打开这个网站，下载一个装好 按照下面的图，锁定phpstudy的目录设置可读不可写，然后点红框的按钮启动！ 这个工具是内核级的,不论是手工还是ring3程序写文件都会失败 Linux上面怎么搞,好好去学学selinux :-) 原创来自于：https://my.oschina.net/9199771/blog/3145572 来源： oschina 链接： https://my.oschina.net/9199771/blog/3145572

子域名枚举扫描器或爆破工具 https://github.com/lijiejie/subDomainsBrute(lijiejie开发的一款使用广泛的子域名爆破枚举工具) https://github.com/ring04h/wydomain (猪猪侠开发的一款域名收集全面，精准的子域名枚举工具) https://github.com/le4f/dnsmaper (子域名枚举爆破工具以及地图位置标记) https://github.com/0xbug/orangescan(提供web界面的在线子域名信息收集工具) https://github.com/TheRook/subbrute(高效精准的子域名爆破工具，同时也是扫描器中最常用的子域名API库) https://github.com/We5ter/GSDF (基于谷歌SSL透明证书的子域名查询 脚本 ) https://github.com/mandatoryprogrammer/cloudflare_enum (使用CloudFlare进行子域名枚举的 脚本 ) https://github.com/guelfoweb/knock(Knock子域名获取，可用于查找子域名接管漏洞) https://github.com/exp-db/PythonPool/tree/master/Tools/DomainSeeker

临近2019年底，客户的公司网站被百度网址安全中心拦截了，公司网站彻底打不开了，影响范围很大，于是通过朋友介绍找到我们SINE安全公司寻求帮忙解封，关于如何解除百度的安全拦截提示，下面就将我们SINE安全的解决办法分享给大家，希望能对您有所帮助。 事件回忆:12月初，客户刚从公司下班回家，接到领导的电话说是网站在百度怎么打不开了，客户第一时间用手机访问网站，发现网站正常，随后又用百度去搜索公司网站域名，发现网站竟然被百度网址安全中心拦截了并提示：违法违规网页，建议关闭,您访问的是：//公司域名，此网页可能为违法违规网页，包含非法信息以及不健康内容，请谨慎访问。如下图所示： 整个客户公司的网站在百度无法打开，彻底的被百度拦截掉了，百度提示的肯定是有原因的，我们SINE安全工程师通过百度搜索发现，网站在搜索结果里被标注了： 百度网址安全中心提醒您：该站点可能受到黑客攻击，部分页面已被非法篡改！下图所示： 点击去后，弹出百度的拦截页面，提示：该站点可能由于受到黑客攻击，部分页面已被非法篡改，可能会威胁到您的财产和信息安全，建议您谨慎访问。我们处理了太多像这种情况的网站了，我们打开百度网址安全中心https://bsb.baidu.com/扫描看一下是什么原因导致网站被百度拦截，输入客户公司网址点查询，发现网站被标记危险，并提示：危险，网站网页中含有恶意信息！

严格的D盾 D盾说，我是个严格的人，看到eval我就报木马，“看着像“=”就是“木马，宁可错杀一千，绝不放过一个。好了，多说无益，一起看看严格的D盾是如何错杀的。 我随手写一个php文件：代码如下： <?php function encode($para0){ return $para0; } $b = encode("aaaa"); $a = "ccc"; eval($a); ?> 很明显没有传参呀，GET和POST都没有，压根儿就不是木马的，但是D盾竟然给我直接报了已知后门，我哭辽，如下： 大家最初的绕过应该大多都是基于”assert”的拆分和隐藏绕过的，但是在php7.1后assert已经被移除了，那么我们这些渗透测试er该何去何从呢？，能否找到新的技巧呢？当然，技巧千千万，找一些少见的函数，少见的特殊字符都是不错的选择。但是我们能否借助在php7.1之前的隐藏和拆分”assert“的思路呢？答案是肯定的，我们可以尝试隐藏和拆分传入eval中的参数来直面eval函数绕过。 隐藏POST和GET 在php7.1之后，如果我们转换思路，不再纠结于隐藏assert，eval等命令执行函数(因为assert已经失效，也无法隐藏了，无需隐藏了)，而是直接面对eval，在我上述的例子中大家很容易看到，我就随便往eval中传了一个参数“ccc”，D盾就直接报已知后门了

（在拿到webshell的时候，想办法获取系统信息拿到系统权限） 一、通过常规web渗透，已经拿到webshell。那么接下来作重要的就是探测系统信息，提权，针对windows想办法开启远程桌面连接，针对linux想办法使用反弹shell来本地连接。 ① Webshell应该都可以调用系统cmd执行一些简单的命令，那么whoami（查看当前权限），netuser（查看用户/组），systeminfo（查看系统补丁修复情况）等常见命令应该是首先被执行 探测的。 I: 不具备系统权限： ① Serv-U提权，现在很多的webshell都集成了Serv-U一键提权功能，只需要点击一下就拥有了系统权限，简单快速。 ② SQL Server提权，利用webshell的目录翻阅功能，查找网站根目录下的数据库配置文件，以php为例则为config.php；查看文件内容一般都会发现数据库的登陆信息用户名/密码，（密码md5或者其他的加密方式解密一下即可），通过webshell或者数据库端口开放的话利用数据库连接工具Navicat等工具来连接数据库。 连接数据库检查xp_cmdshell是否存在，扩展存储过程是否打开，再利用xp_cmdshell来执行系统命令，添加用户、开启远程桌面等。 常用命令： select count(*) from master.dbo.sysobjectswhere

webshell就是以 asp 、 php 、jsp或者cgi等 网页 文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与 网站服务器 WEB 目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者 php后门 ，得到一个命令执行环境，以达到控制网站服务器的目的。 顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。 外文名 webshell 简 称 web 类 别 工具 命令行 解 释 web入侵的 脚本 攻击工具 目录 1 作用 2 隐蔽性 3 安全防范 作用 编辑 一方面，webshell被站长常常用于网站管理、 服务器管理 等等，根据 FSO权限 的不同，作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。 另一方面，被入侵者利用，从而达到控制网站服务器的目的。这些 网页脚本 常称为WEB脚本木马，比较流行的 asp 或 php 木马，也有基于 .NET 的脚本木马与JSP脚本木马。国内常用的WebShell有海阳ASP木马，Phpspy，c99shell等。

实验主机：Os-hackerNos靶机一台/Kali linux攻击机一台 实验网络：桥接网络 实验目标：获取靶机的Root权限 难易程度：简单 前期工作： 1：下载Virtualbox虚拟化软件(也可以使用Vmware导入靶机的OVA文件) 下载地址：https://www.virtualbox.org/wiki/Downloads 2：下载目标靶机并导入Virtualbox 下载地址：https://www.vulnhub.com/entry/hacknos-os-hacknos,401/ 将Os-hackNos-1.ova下载下来之后打开Virtualbox按下快捷键Ctrl+i将其导入 导入之后需要修改几个地方： 3：安装并配置好自己的Kali linux主机，这里我用的版本是最新版201904 Target:信息收集 思路：既然是要对目标主机进行入侵，就要找出目标主机的真实性IP地址的所开放的端口， 因为服务器或者个人主机对外提供服务都是通过端口来进行数据之间的通行； 注意：一个服务可以占用多个端口，但是一个端口只能被一个服务占用 首先确定我们是谁？ 扫描我们的目标在哪里？？？ 给几个有意思的截图吧…猜下这些都是什么设备，嘻嘻 看到这，我只想说：放下苹果手机我们还能做朋友 想必，已经猜出来那个是我们的目标了吧！！！ targetIP:172.16.1.16

介绍 在现代互联网网站中，上传文件基本上是一种常见的功能，允许用户上传一些图片，视频以及其他类型的文件。如果网站出现文件上传漏洞，那么恶意用户就可以将可执行脚本程序上传到web服务器中，获得网站权限，进一步 gongji web服务器。 当上传文件时，如果服务端未对客户端上传的文件进行严格的验证和过滤，就容易造成文件上传漏洞，即上传任意文件（包括脚本文件php,jsp,asp,aspx等格式） 恶意用户可以利用上传的webshell控制整个网站甚至控制服务器 绕过 js检测绕过 js检测绕过漏洞常见于用户上传文件时，如果后缀不允许，则弹窗告知，此时上传文件的数据包并没有上传到服务端，只是在客户端浏览器使用JavaScript进行检测 此时有两种方法进行绕过 1.使用浏览器插件删除检测文件后缀的JavaScript代码，然后上传文件 2.先把需要上传的文件后缀改为允许上传的后缀绕过JavaScript代码的检测，再抓包修改为原来的后缀即可成功 可以看到成功绕过js检测上传文件成功 文件后缀绕过 文件后缀绕过是服务端限制了某些后缀的的文件不允许上传，but 有些Apache是允许解析其它文件后缀的，例如在Apache配置文件httpd.conf中有以下代码则能够解析php和phtml文件 AddType application/x-httpd-php .php .phtml

临近2019年底，客户的公司网站被百度网址安全中心拦截了，公司网站彻底打不开了，影响范围很大，于是通过朋友介绍找到我们SINE安全公司寻求帮忙解封，关于如何解除百度的安全拦截提示，下面就将我们SINE安全的解决办法分享给大家，希望能对您有所帮助。 事件回忆:12月初，客户刚从公司下班回家，接到领导的电话说是网站在百度怎么打不开了，客户第一时间用手机访问网站，发现网站正常，随后又用百度去搜索公司网站域名，发现网站竟然被百度网址安全中心拦截了并提示：违法违规网页，建议关闭,您访问的是：//公司域名，此网页可能为违法违规网页，包含非法信息以及不健康内容，请谨慎访问。如下图所示： 整个客户公司的网站在百度无法打开，彻底的被百度拦截掉了，百度提示的肯定是有原因的，我们SINE安全工程师通过百度搜索发现，网站在搜索结果里被标注了： 百度网址安全中心提醒您：该站点可能受到黑客攻击，部分页面已被非法篡改！下图所示： 点击去后，弹出百度的拦截页面，提示：该站点可能由于受到黑客攻击，部分页面已被非法篡改，可能会威胁到您的财产和信息安全，建议您谨慎访问。我们处理了太多像这种情况的网站了，我们打开百度网址安全中心https://bsb.baidu.com/扫描看一下是什么原因导致网站被百度拦截，输入客户公司网址点查询，发现网站被标记危险，并提示：危险，网站网页中含有恶意信息！

网站渗透测试是指在没有获得网站源代码以及服务器的情况下，模拟入侵者的攻击手法对网站进行漏洞检测，以及渗透测试，可以很好的对网站安全进行全面的安全检测，把安全做到最大化。在挖掘网站漏洞的时候我们发现很多网站存在域名跳转的情况，下面我们来详细的讲解一下。 域名劫持跳转，也可以叫做url重定向漏洞，简单来讲就是在原先的网址下，可以使用当前域名跳转到自己设定的劫持网址上去。URL跳转漏洞，大多数被攻击者用来进行钓鱼获取用户的账号密码，以及COOKIES等信息。我们SINE安全在对客户网站进行安全检测的时候，很多公司网站在登录接口，支付返回的页面，留言的页面，充值页面，设置银行卡等操作的页面都存在着域名跳转的漏洞。 我们来模拟下真实的渗透测试，本地搭建一个网站环境，域名地址//127.0.0.1/ 最简单的也是最容易通俗易懂的，我们在用户登录网站的时候，进行跳转劫持，将我们设计好的钓鱼页面伪造成跟客户网站一模一样的，然后代码是：http://127.0.0.1/login.php?user=&pswd=&url=http://我们构造好的钓鱼地址/websafe.php，我们把这个地址发给用户，让他们去登录即可。 如下图所示： 从上面的2个图中，可以看出URL跳转漏洞被利用的淋漓尽致，有些网站可能会对跳转的代码进行防护，但是我们可以利用免杀的特征码进行绕过。比如 @号 ，问号？，#，斜杠绕过