网站后门之WebShell技术分享

网站后门之——WebShell技术分享烂番薯@VIP议程/Agenda•WebShell基础概念•WebShell查杀与反查杀•看演示•GeneralConceptions•DetectionvsAnti-Detection•Demo什么时候需要WebShell？•拿下了一个网站•但没有系统权限•你希望长期控制•Youhackedawebsite•Youdon’thavethesystemshell•Youwanttoaccessitquietlynexttime主要功能/MainFunctions•环境探针•资源管理器•文件编辑器•执行OS命令•读取注册表•创建Socket•调用系统组件•发挥想象……•DetectSystemEnvironment•ManageResources•EditRemoteFiles•ExecuteOSCommand•ReadRegistry/Configurations•CreateSocketConnections•CallsystemModules•UseYourImagination……扩展功能/ExtendedFunctions•权限提升：从网站到系统•DDoS：替代传统僵尸网络•网页挂马：篡改网页•“黑帽”SEO：流量劫持•代理服务器：请求转发•端口扫描：隐蔽身份•内网探测：充分利用信息•PrivilegeEscalation•AnonymousDDoS•WebsiteManipulating•TrafficHijacking•RequestForwarding•InternetScanning•IntranetScanningWebShell分类——基于功能强弱•全功能型：什么都能干•文件管理：基本文件管理•命令执行：执行系统命令•上传型：负责上传“大马”•一句话型：极其精简I.FullFunctionsII.FilesManagementIII.CommandExecuterIV.UploaderforLargeFilesV.OneLineCode-VS-Demo1:cmd.asp•:uploader.asp•:ChinaChopper议程/Agenda•WebShell基础概念•WebShell查杀与反查杀•看演示•GeneralConceptions•DetectionvsAnti-Detection•DemoWebShell检测思路•关键字检查•运行特征•文件状态对比•访问行为检测•审核代码逻辑•KeywordsMatching•FeatureMatching•FileInfoComparison•AccessBehavior•CodeLogicReviewWebShell检测规避•主流方法•变量生成关键字•文件包含•奇思妙想•隐藏后缀：图片后缀、中文空格后缀•隐藏目录：虚拟目录、NTFS数据流•利用HTTP：数据通过HTTPHEAD或Cookie传递围绕特征码猫捉老鼠（1）围绕特征码猫捉老鼠（2）围绕特征码猫捉老鼠（3）还能再精彩点吗？围绕特征码猫捉老鼠（4）3种姿势监测WebShell打破规则：请求响应分离！•无请求特征•无响应特征•NoneRequestKeyword•NoneResponseKeyword远程加载指令文件总结•规避特征字符•远程载入指令•请求和响应分离•AvoidtoUseKeywords•LoadRemoteCommand•SeparateRequestandResponse批量WebShell远程管理Q&A