webshell

8月10日至8月16日，国际人工智能组织联合会议IJCAI 2019（International Joint Conference on Artificial Intelligence 2019）在中国澳门召开。 阿里云4篇AI研究论文在诸多论文中脱颖而出，其中一篇被主论坛收录，三篇被AIBS Workshop 收录。 论文深入解析了AI技术在网络安全、数据安全和内容安全领域研究成果和场景化应用，展示了阿里云安全在智能安全领域的领导性。 自1969年首次在华盛顿特区举办以来，IJCAI已成为人工智能领域最重要的顶级学术会议之一。每年被IJCAI成功收录的论文均是AI领域最前沿的研究成果。今年IJCAI主论坛的论文收录率仅为17.9%，比去年收录率更低。阿里云被主论坛收录的论文《Locate Then Detect：Web Attack Detection via Attention-based Deep Neural Networks》， 首次解决了深度学习在Web攻击检测领域的结果可解释性问题，具有前所未有的创新意义 ，证明阿里云在安全AI技术的学术研究和应用方面业界领先。 《Locate Then Detect：Web Attack Detection via Attention-based Deep Neural Networks》（Tianlong Liu, Yu Qi,

上传一句话木马，发现只能上传jpg、png、gif文件格式 打开burpsuite，把php文件改为*.jpg格式，上传，在burpsuite截断上传的数据包 把上传的jpg文件后缀改为php，然后在burpsuite点击forward 木马上传成功，在uploads目录下 打开菜刀连接http://219.153.49.228:48433/uploads/muma.php 得到key 来源： https://blog.csdn.net/qq_36933272/article/details/100531831

下载源码包，用nodepad++一个一个看，发现cn-right.php存在变形的一句话木马 菜刀连接，地址http://219.153.49.228:45566/www/cn-right.php?POST=assert，密码有一句话木马得知是GET 连接成功，发现key的php文件，打开得到key 来源： https://blog.csdn.net/qq_36933272/article/details/100531848

编写php一句话木马 上传php文件，发现不能上传，改后缀.php5 上传成功，保存在uploads目录下面 打开菜刀，输入路径连接，进入var/www/html目录下看到key的php文件 打开得到key 来源： https://blog.csdn.net/qq_36933272/article/details/100531863

目前越来越多的服务器被入侵，以及攻击事件频频的发生，像数据被窃取，数据库被篡改，用户数据被脱裤，网站被强制跳转到恶意网站上，网站在百度的快照被劫持，等等的攻击症状层出不穷，当我们的服务器被攻击，被黑的时候我们第一时间该怎么去处理解决呢？ 如何排查服务器被入侵攻击的痕迹呢？是否有应急处理方案，在不影响网站访问的情况下，很多客户出现以上攻击情况的时候，找到我们SINE安全来处理解决服务器被攻击问题，我们sine安全工程师总结了一套自有的办法，分享给大家，希望大家能在第一时间解决掉服务器被黑的问题。有些客户遇到这种情况，第一时间想到的就是先把服务器关机，通知机房拔掉电源，有的是直接先关闭网站，这些措施只能先解决目前的问题，解决不了问题的根源，所以遇到服务器被攻击的情况，我们应该详细的检查日志，以及入侵痕迹，溯源，查找漏洞，到底是哪里导致的服务器被入侵攻击。 首先我们应该从以下方面入手： 检查服务器的进程是不是有恶意的进程，以及管理员账号是否被恶意增加，对服务器的端口进行查看，有没有开启多余的端口，再一个对服务器的登陆日志进行检查，服务器的默认开启启动项，服务以及计划任务，检查网站是否存在木马后门，以及服务器系统是否中病毒。 如何查看进程？打开服务器，在cmd命令下输入tasklis，或者是右键任务管理器来进行查看进程，点显示所有用户的进程就可以，我们综合的分析，根据这个内存使用较大

以下内容根据i春秋平台陈小兵老师的公开课整理（ https://www.ichunqiu.com/open/61711 ），仅用于学习目的。 一，内网渗透感受 1.现在被神话了，本质还是渗透的延伸，只是中间涉及了很多综合的技术 2.内网渗透必须要有耐心，要细心 3.内网渗透非常耗费时间和精力 4.成功的内网渗透会带来很大的成就感 二，内网渗透的性质 1.偶然性：概率性，证明和验证技术 2.针对性的渗透：获取内网核心数据和资料，控制某台或多台计算机，获取公司或者个人私密信息（邮件，研究成果，代码，顾客名单，运营情况，敌手打击等） 三，内网渗透的目的 1.商业目的：获取内网某些资料或者某个人的资料 2.战略目的：政治等需要，例如2016希拉里邮件门事件可通过身边人，枕边人，同事等进行侧面攻击。 3.到此一游：偶然发生，个人爱好 四，内网渗透思路 1.正面攻击 被渗透目标在外网有网站，网站服务器跟内网相连，对服务器所有CMS进行渗透，对服务器入口进行渗透，对同网段服务器渗透后嗅探。 2.迂回攻击 正面网站防范很严格，从旁站进行渗透，从CMS开发商开始渗透，从托管服务器商开始渗透，从服务器所在地方，从公司个人计算机（前台MM，销售员，公司小白），公司无线网络。 3.社工（APT）攻击 社工是最为直接和高效攻击，需要有好的多款远程控制软件，对木马进行免杀，0天效果比较好，给员工发送邮件

1、0day拿webshell 2、 来源： https://www.cnblogs.com/steven9898/p/11396164.html

批处理遍历webshell可访问目录 opendir、readdir、is_dir、is_writable这几个遍历文件夹的函数，在php限制的情况下，找可执行目录就没有优势了。 代码 @echo off (For /r c:\ %%a in (*) do echo %%~ta %%~za %%~fa)>list.txt 来源： https://www.cnblogs.com/17bdw/p/11384569.html

原文地址： http://maoqide.live/post/cloud/kubernetes-webshell/ 通过 client-go 提供的方法，实现通过网页进入 kubernetes pod 的终端操作。 client-go remotecommand websocket xterm.js remotecommand k8s.io/client-go/tools/remotecommand kubernetes client-go 提供的 remotecommand 包，提供了方法与集群中的容器建立长连接，并设置容器的 stdin，stdout 等。 remotecommand 包提供基于 SPDY 协议的 Executor interface，进行和 pod 终端的流的传输。初始化一个 Executor 很简单，只需要调用 remotecommand 的 NewSPDYExecutor 并传入对应参数。 Executor 的 Stream 方法，会建立一个流传输的连接，直到服务端和调用端一端关闭连接，才会停止传输。常用的做法是定义一个如下 PtyHandler 的 interface，然后使用你想用的客户端实现该 interface 对应的 Read(p []byte) (int, error) 和 Write(p []byte) (int, error) 方法即可

文件包含漏洞触发前提： allow_url_fopen = On && allow_url_include = Off 此时才可以触发本地文件包含漏洞 allow_url_fopen = On && allow_url_include = On 此时才可以触发远程文件包含漏洞 其中，allow_url_fopen一直都是默认开启的，而allow_url_include从PHP5.2之后就是默认关闭的了 涉及到的危险函数： include(),include_once() require(),require_once() include()&&require() 的区别： 　　　　　　　　　　　　include() 产生一个警告而 require() 则导致一个致命错误。也就是include()包含不到文件时还是会继续运行脚本，而require()包含文本时却又没有这个文本就会终止运行脚本。 include_once()&&require_once() 的区别： 　　　　　　　　　　　　他俩就是保证在代码被包括后就不会再包括，保证了在文件包含时只能包含一次。 　　当前期的系统配置支持的情况下，不合理的使用文件包含，就可能造成文件包含漏洞。 一.本地文件包含 　　比如当我们的127.0.0.1/include/fi_local.php文件中有下面源码