Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。黑客通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。


常见的webshell编写语言为asp、jsp和php。本文将以php Webshell为示例,详细解释Webshell的常用函数、工作方式以及常用隐藏技术。



Webshell为何备受黑客青睐


黑客使用Webshell的第一步通常是将其上传到可以访问的服务器中,例如利用用户的CMS系统的第三方插件中的漏洞上传一个简单的php Webshell。当然,Webshell类型和作用也不完全相同,一些简单的Webshell只起到连接外界的作用,允许黑客插入更加精准的恶意脚本,执行他们所需要的指令;另外一些则可能更加复杂,带有数据库或文件浏览器,让黑客能够从数千英里之外的地方查看受入侵系统的代码和数据。无论何种设计,Webshell都极其危险,是网络罪犯和高级持续威胁(APTs)的常用工具。Webshell常见的攻击特点主要有以下几点:


持久化远程访问


Webshell脚本通常会包含后门,黑客上传Webshell之后,就可以充分利用Webshell的后门实现远程访问并控制服务器,从而达到长期控制网站服务器的目的。此外,在上传完Webshell之后,黑客会选择自己修复漏洞,以确保没有其他人会利用该漏洞。通过这种方式,黑客就可以一种低调的姿态,避免与管理员进行任何交互,同时仍然获得相同的结果。


提权


在服务器没有配置错误的情况下,Webshell将在web服务器的用户权限下运行,而用户权限是有限的。通过Webshell,黑客可以利用系统上的本地漏洞来实现权限提升,从而获得Root权限,这样黑客基本上可以在系统上做任何事情,包括安装软件、更改权限、添加和删除用户、窃取密码、阅读电子邮件等等。


隐蔽性极强


Webshell可以嵌套在正常网页中运行,且不容易被查杀。它还可以穿越服务器防火墙,由于与被控制的服务器或远程主机交互的数据都是通过80端口传递,因此不会被防火墙拦截,在没有记录流量的情况下,Webshell使用post包发送,也不会被记录在系统日志中,只会在Web日志中记录一些数据提交的记录。



Webshell常用的PHP函数


Webshell几乎适用于所有Web编程语言。之所以关注PHP,是因为它是web上使用最广泛的编程语言。下面是PHP中一些执行shell命令最常用的函数。


system()


system()函数将命令作为参数,并输出结果。

下面的示例是在Windows操作系统上运行dir命令,然后返回PHP文件所在目录的目录列表。


一文详解Webshell_java


类似地,在Linux机器上执行ls命令也会得到类似的结果。


一文详解Webshell_java_02


exec()


exec()功能是将命令作为参数,但不输出结果。如果指定了第二个可选参数,则返回结果为数组。否则,如果回显,只显示结果的最后一行。


一文详解Webshell_java_03


用exec()函数执行echo命令,只会输出最后一行命令结果。


一文详解Webshell_java_04


如果指定了第二个参数,则返回结果为数组。


一文详解Webshell_java_05


shell_exec()


shell_exec()函数类似于exec(),但是,其整个输出结果为字符串。


一文详解Webshell_java_06


一文详解Webshell_java_07


passthru()


passthru()执行一个命令并返回原始格式的输出。


一文详解Webshell_java_08


proc_open()


proc_open()函数可能很难理解。简单地说,我们可以使用proc_open(),创建一个处理程序(流程),实现脚本和要运行的程序之间的通信。


倒引号


很多PHP开发人员并没有意识到这一点,但是PHP会首先执行shell命令中倒引号(`)内的内容。请注意,倒引号(`)和单引号(’)不同。


一文详解Webshell_java_09


根据以上内容,下面是一个最简单的PHP Webshell。


一文详解Webshell_java_10


它使用 system()函数来执行通过 ‘cmd’ HTTP 请求中GET参数传递过来的命令。


一文详解Webshell_java_11


我们已经确定了这些函数(以及其他一些函数)可能非常危险。更危险的是,在安装PHP时,默认情况下会启用所有这些内置PHP命令,而大多数系统管理员不会禁用这些函数。如果不确定在系统上是否启用了这些函数,输入以下内容将返回已启用的危险函数的列表。


一文详解Webshell_java_12


在采用默认安装的情况下,下列函数是默认启用的。


一文详解Webshell_java_13



黑客如何隐藏Webshell


修改报头


黑客使用用户代理字符串而不是通过$_POST 请求参数来传递命令的。


一文详解Webshell_java_14


然后,黑客可以通过将命令放在User-Agent HTTP报头中来制作特定的HTTP请求。


一文详解Webshell_java_15


一文详解Webshell_java_16


在服务器日志中可以看到这一行为的效果,其中第二个请求中的HTTP User-Agent被cat /etc/passwd命令替换了。


一文详解Webshell_java_17


上述方法会产生很大噪声,可以很容易地提示管理员查看服务器日志。但采用下列方法,管理员这很难发现。


一文详解Webshell_java_18
一文详解Webshell_java_19


这种方法没有留下关于执行命令的任何可见轨迹(至少在访问日志中是这样)。


一文详解Webshell_java_20


隐藏在正常文件中


黑客用来隐藏Webshell最简单的一个方法是将它们上传到深层子目录中和/或使用随机名称。


一文详解Webshell_java_21


此外,一种更有效的方法是将Webshell代码嵌入到现有的合法文件中。


一文详解Webshell_java_22


或使用CMS(例如WordPress)


一文详解Webshell_java_23
一文详解Webshell_java_24

注意:黑客通常会在函数前使用@运算符,以防发生任何错误,写入错误日志。


混淆


黑客使用各种混淆技术,以避免被管理员检测到。他们不断提出新的更复杂的方法来隐藏其代码并绕过安全系统。下面是我们看到的一些最常用的技术:


删除空格换行符

通过从代码块中删除空格换行符,代码看起来像一个大字符串,这就使得代码的可读性降低并且更难识别脚本要实现什么目的。


一文详解Webshell_java_25


加密技术

该技术可以对代码进行加密,降低代码的可读性,并且充分利用运行时可以重建代码的各种函数。


一文详解Webshell_java_26


使用Hex进行混淆

ASCII字符的十六进制值也可以用于进一步混淆Webshell命令,下面的例子可以很好地说明混淆技术在Webshell中的应用。


一文详解Webshell_java_27


以下是上述字符串的十六进制值。


一文详解Webshell_java_28


因此,以下代码可用于接受十六进制编码的字符串并将其转化为PHP代码。


一文详解Webshell_java_29


输出结果类似于下图。


一文详解Webshell_java_30


通过可控输入

PHP常用的可控输入包括: $_GET、$_POST、$_REQUEST、$_FILES、$_SERVER、$_COOKIE等,是PHP预定义的变量,可以将黑客自定义的值传递给浏览器中。


以下示例很简单,但很实用。虽然未对代码进行编码或加密,但由于它没有使用任何可疑的函数名(例如eval()或assert())、冗长的编码字符串、复杂的代码,因此与之前的代码相比,可检测性仍然较低。最重要的是,当管理员查看日志时,它不会引起任何危险。


一文详解Webshell_java_31


一文详解Webshell_java_32



Webshell如何使用


我们以Weevely为例,来分析Webshell是如何使用的。Weevely是一个类似PHP telnet的轻量级Webshell,具有多个选项,在本示例中我们将使用这些选项。


为进行演示,我们将使用Weevely创建后门代理,部署在目标服务器上。我们只需要指定一个密码和一个文件名即可。然后用密码来访问后门。


一文详解Webshell_java_33


agent.php 包含以下编码文件。


一文详解Webshell_java_34


将agent.php重命名为ma.php,然后将其上传到失陷的服务器。然后,我们不使用浏览器访问文件,而是使用shell连接到该文件。

一文详解Webshell_java_35


一文详解Webshell_java_36


现在我们已经拥有了访问目标服务器的后门,可以执行命令了。


一文详解Webshell_java_37


检查服务器的访问日志,我们会注意到有些奇怪。


一文详解Webshell_java_38


发送的请求已编码,来源网址也似乎是Google。如果我们要分析日志中是否有恶意活动,这非常有可能对我们造成困扰,因为Google应该是合法的引荐来源。当然,这是防止被检测出来的Webshell策略的一部分。


我们使用的Webshell的另一个有趣功能是反弹TCP Shell选项。这是指失陷的服务器将反向与我们建立连接,或者我们请求连接到Webshell。


在源计算机上,我们在端口8181上设置了Netcat侦听器。


一文详解Webshell_java_39


使用已经建立的后门shell连接,启动反弹TCP请求。


一文详解Webshell_java_40


现在已经建立了反弹shell连接(192.168.5.25 → 192.168.5.26)。


一文详解Webshell_java_41


通过使用反弹TCP Shell控制服务器,而访问或错误日志中没有任何痕迹,因为通信是通过TCP(第4层)而不是HTTP(第7层)进行的。



总结


Webshell编码简单、使用方便,但由于许多Web服务器的设置方式问题,即使是一个简单的脚本也足以造成严重的破坏。这就是为什么有成千上万的公开Webshell的原因所在。Webshell存在如此多的变种,导致入侵检测和入侵防御系统(IDS/IPS)很难检测到它们,尤其是当使用签名来检测此类Webshell时。有些Webshell非常复杂,即使进行行为分析,也几乎无法检测到。


话虽如此,但Webshell只是漏洞利用后的实施工具,这就意味着首先要尽早检测出Webshell,防止其上传后进行漏洞利用。