一文詳解Webshell
責編:gltian |2020-05-11 14:21:53Webshell是黑客經常使用的一種惡意腳本,其目的是獲得服務器的執行操作權限,比如執行系統命令、竊取用戶數據、刪除web頁面、修改主頁等,其危害不言而喻。黑客通常利用常見的漏洞,如SQL注入、遠程文件包含(RFI)、FTP,甚至使用跨站點腳本攻擊(XSS)等方式作為社會工程攻擊的一部分,最終達到控制網站服務器的目的。
常見的webshell編寫語言為asp、jsp和php。本文將以php Webshell為示例,詳細解釋Webshell的常用函數、工作方式以及常用隱藏技術。
Webshell為何備受黑客青睞
黑客使用Webshell的第一步通常是將其上傳到可以訪問的服務器中,例如利用用戶的CMS系統的第三方插件中的漏洞上傳一個簡單的php Webshell。當然,Webshell類型和作用也不完全相同,一些簡單的Webshell只起到連接外界的作用,允許黑客插入更加精準的惡意腳本,執行他們所需要的指令;另外一些則可能更加復雜,帶有數據庫或文件瀏覽器,讓黑客能夠從數千英里之外的地方查看受入侵系統的代碼和數據。無論何種設計,Webshell都極其危險,是網絡罪犯和高級持續威脅(APTs)的常用工具。Webshell常見的攻擊特點主要有以下幾點:
持久化遠程訪問
Webshell腳本通常會包含后門,黑客上傳Webshell之后,就可以充分利用Webshell的后門實現遠程訪問并控制服務器,從而達到長期控制網站服務器的目的。此外,在上傳完Webshell之后,黑客會選擇自己修復漏洞,以確保沒有其他人會利用該漏洞。通過這種方式,黑客就可以一種低調的姿態,避免與管理員進行任何交互,同時仍然獲得相同的結果。
提權
在服務器沒有配置錯誤的情況下,Webshell將在web服務器的用戶權限下運行,而用戶權限是有限的。通過Webshell,黑客可以利用系統上的本地漏洞來實現權限提升,從而獲得Root權限,這樣黑客基本上可以在系統上做任何事情,包括安裝軟件、更改權限、添加和刪除用戶、竊取密碼、閱讀電子郵件等等。
隱蔽性極強
Webshell可以嵌套在正常網頁中運行,且不容易被查殺。它還可以穿越服務器防火墻,由于與被控制的服務器或遠程主機交互的數據都是通過80端口傳遞,因此不會被防火墻攔截,在沒有記錄流量的情況下,Webshell使用post包發送,也不會被記錄在系統日志中,只會在Web日志中記錄一些數據提交的記錄。
Webshell常用的PHP函數
Webshell幾乎適用于所有Web編程語言。之所以關注PHP,是因為它是web上使用最廣泛的編程語言。下面是PHP中一些執行shell命令最常用的函數。
system()
system()函數將命令作為參數,并輸出結果。
下面的示例是在Windows操作系統上運行dir命令,然后返回PHP文件所在目錄的目錄列表。
類似地,在Linux機器上執行ls命令也會得到類似的結果。
exec()
exec()功能是將命令作為參數,但不輸出結果。如果指定了第二個可選參數,則返回結果為數組。否則,如果回顯,只顯示結果的最后一行。
用exec()函數執行echo命令,只會輸出最后一行命令結果。
如果指定了第二個參數,則返回結果為數組。
shell_exec()
shell_exec()函數類似于exec(),但是,其整個輸出結果為字符串。
passthru()
passthru()執行一個命令并返回原始格式的輸出。
proc_open()
proc_open()函數可能很難理解。簡單地說,我們可以使用proc_open(),創建一個處理程序(流程),實現腳本和要運行的程序之間的通信。
倒引號
很多PHP開發人員并沒有意識到這一點,但是PHP會首先執行shell命令中倒引號(`)內的內容。請注意,倒引號(`)和單引號(’)不同。
根據以上內容,下面是一個最簡單的PHP Webshell。
它使用 system()函數來執行通過 ‘cmd’ HTTP 請求中GET參數傳遞過來的命令。
我們已經確定了這些函數(以及其他一些函數)可能非常危險。更危險的是,在安裝PHP時,默認情況下會啟用所有這些內置PHP命令,而大多數系統管理員不會禁用這些函數。如果不確定在系統上是否啟用了這些函數,輸入以下內容將返回已啟用的危險函數的列表。
在采用默認安裝的情況下,下列函數是默認啟用的。
黑客如何隱藏Webshell
修改報頭
黑客使用用戶代理字符串而不是通過$_POST 請求參數來傳遞命令的。
然后,黑客可以通過將命令放在User-Agent HTTP報頭中來制作特定的HTTP請求。
在服務器日志中可以看到這一行為的效果,其中第二個請求中的HTTP User-Agent被cat /etc/passwd命令替換了。
上述方法會產生很大噪聲,可以很容易地提示管理員查看服務器日志。但采用下列方法,管理員這很難發現。
這種方法沒有留下關于執行命令的任何可見軌跡(至少在訪問日志中是這樣)。
隱藏在正常文件中
黑客用來隱藏Webshell最簡單的一個方法是將它們上傳到深層子目錄中和/或使用隨機名稱。
此外,一種更有效的方法是將Webshell代碼嵌入到現有的合法文件中。
或使用CMS(例如WordPress)
注意:黑客通常會在函數前使用@運算符,以防發生任何錯誤,寫入錯誤日志。
混淆
黑客使用各種混淆技術,以避免被管理員檢測到。他們不斷提出新的更復雜的方法來隱藏其代碼并繞過安全系統。下面是我們看到的一些最常用的技術:
刪除空格換行符
通過從代碼塊中刪除空格換行符,代碼看起來像一個大字符串,這就使得代碼的可讀性降低并且更難識別腳本要實現什么目的。
加密技術
該技術可以對代碼進行加密,降低代碼的可讀性,并且充分利用運行時可以重建代碼的各種函數。
使用Hex進行混淆
ASCII字符的十六進制值也可以用于進一步混淆Webshell命令,下面的例子可以很好地說明混淆技術在Webshell中的應用。
以下是上述字符串的十六進制值。
因此,以下代碼可用于接受十六進制編碼的字符串并將其轉化為PHP代碼。
輸出結果類似于下圖。
通過可控輸入
PHP常用的可控輸入包括: $_GET、$_POST、$_REQUEST、$_FILES、$_SERVER、$_COOKIE等,是PHP預定義的變量,可以將黑客自定義的值傳遞給瀏覽器中。
以下示例很簡單,但很實用。雖然未對代碼進行編碼或加密,但由于它沒有使用任何可疑的函數名(例如eval()或assert())、冗長的編碼字符串、復雜的代碼,因此與之前的代碼相比,可檢測性仍然較低。最重要的是,當管理員查看日志時,它不會引起任何危險。
Webshell如何使用
我們以Weevely為例,來分析Webshell是如何使用的。Weevely是一個類似PHP telnet的輕量級Webshell,具有多個選項,在本示例中我們將使用這些選項。
為進行演示,我們將使用Weevely創建后門代理,部署在目標服務器上。我們只需要指定一個密碼和一個文件名即可。然后用密碼來訪問后門。
agent.php 包含以下編碼文件。
將agent.php重命名為ma.php,然后將其上傳到失陷的服務器。然后,我們不使用瀏覽器訪問文件,而是使用shell連接到該文件。
現在我們已經擁有了訪問目標服務器的后門,可以執行命令了。
檢查服務器的訪問日志,我們會注意到有些奇怪。
發送的請求已編碼,來源網址也似乎是Google。如果我們要分析日志中是否有惡意活動,這非常有可能對我們造成困擾,因為Google應該是合法的引薦來源。當然,這是防止被檢測出來的Webshell策略的一部分。
我們使用的Webshell的另一個有趣功能是反彈TCP Shell選項。這是指失陷的服務器將反向與我們建立連接,或者我們請求連接到Webshell。
在源計算機上,我們在端口8181上設置了Netcat偵聽器。
使用已經建立的后門shell連接,啟動反彈TCP請求。
現在已經建立了反彈shell連接(192.168.5.25 → 192.168.5.26)。
通過使用反彈TCP Shell控制服務器,而訪問或錯誤日志中沒有任何痕跡,因為通信是通過TCP(第4層)而不是HTTP(第7層)進行的。
總結
Webshell編碼簡單、使用方便,但由于許多Web服務器的設置方式問題,即使是一個簡單的腳本也足以造成嚴重的破壞。這就是為什么有成千上萬的公開Webshell的原因所在。Webshell存在如此多的變種,導致入侵檢測和入侵防御系統(IDS/IPS)很難檢測到它們,尤其是當使用簽名來檢測此類Webshell時。有些Webshell非常復雜,即使進行行為分析,也幾乎無法檢測到。
話雖如此,但Webshell只是漏洞利用后的實施工具,這就意味著首先要盡早檢測出Webshell,防止其上傳后進行漏洞利用。