(提示:文中照片较多,很可能需要一段时间加载。)
Webshell在威胁领域并不是什么新鲜事物。Webshell是一种用PHP、ASL、Perl等语言编写的脚本(选择的语言取决于可用的地理环境)。可以强行上传到web服务器,方便远程登录。一般来说,安装webshell的目的并不好。攻击者通常将其安装在被盗的服务器上。一旦安装,webshell很可能允许攻击者完全连接受害者的服务器,它还可以用于攻击内部系统。
在最近的一次调查中,我发现在一个信息共享服务平台上,一个被盗的网站地址已经被中间人分发来攻击网页。我想尽办法拿到了包括钓具在内的档案,却发现里面还包括一个网壳。也是安装在服务器里的,位置很好找。这个webshell的全称是“RC-SHELL”。它并不是一个新的脚本(我在2013年之前就讲过了),但它在VT中的诊断率极低(4/55),几个小时前才首次提交。也许早就改进或升级了?
新的webshell非常强大,它可以向攻击者展示各种功能。因为照片比文字更能激发灵感,下面我就来详细讲解一下webshell的网页,并呈现一下它们的特点。像往常一样,这个webshell是用PHP编写的,因为凭证是死写的,所以它对网页的访问会受到限制。帐户的登录密码位于源代码中。有必要根据快速搜索彩虹表检查登录名、用户名和密码吗?不是,是因为访问权限扩大开放(根据修订号,严禁认证)。需要注意的是,源代码还包括用户的具体电子邮件地址。
如果您访问该URL,它是默认网页:
在这个网页上,你可以看到服务器的信息和基本的PHP设置,比如“安全管家”的状态和可用的数据库。最上面一行的菜单包括了所有的功能,这样每个人都可以一个一个的浏览。
“文件”菜单用于访问文件浏览器,可以浏览本地安装的文件,或执行各种 *** 作(复制、删除、重命名、移动等。)在文本文档上:
“搜索”菜单用于实现文件搜索 *** 作过程,还可以查找文本文档中包含的独特内容(如“grep”):
上传菜单用于传输本地安装文件中的文本文档。可以根据本地控制板(在攻击者的计算机上)提交文档,也可以从远程 *** 作位置取下文档(使用HTTP和FTP等一般合同):
“Cmd”菜单用于将shell指令推送到目标(这是webshell的一个非常重要的功能)。运行命令后,将输出返回到浏览器:
“Eval”菜单的功能和“Cmd”菜单一样,只是实现了机器的PHP编号。这是一个“PHP外壳”:
“FTP”菜单显示了一个强大的FTPapp客户端,如WinSCP和其他用于图像的特殊工具:
“SQL”菜单显示了一些特殊的工具,比如PHPMysqlAdmin。可以与SQLserver交互:
“Mailers”菜单,简而言之就是专门推送骚扰短信的工具。这种活动基于CSV文本文档,可以推送简单的电子邮件消息:
“Calc”菜单是一个辅助软件,显示hach测量方法、交流伺服电机、转换器和其他专用工具:
工具菜单是我的首选。展示了很多用来攻击其他资源的特殊工具,比如超强攻击、号码导入、端口扫描器等。:
后两个菜单用于管理方案的全过程,并显示系统服务器的信息,如CPU、存储和安装文件等。:
可以看到,新的webshell非常强大。为了更好地减少危害,最好是:
在受限的地理环境(虚拟机、Docker容器)中运行web服务器。
不允许根据sudo命令获取访问控制权限。
不需要扩展开放数据库的所有DBA访问权限,限制数据库/表的访问权限,只批准必要的SQL命令。
使用进出口过滤系统限制与外界的交流。
维护你需要的网络服务器。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)