请选择 进入手机版 | 继续访问电脑版

默认
回复 0

140

主题

145

帖子

442

积分

中级会员

Rank: 3Rank: 3

积分
442
QQ
Web-Shell简介 Part1[复制链接]
发表于 2018-6-14 05:48:21 | 显示全部楼层 |阅读模式
本帖最后由 Grey 于 2018-6-14 05:49 编辑


web-shell是攻击者使用的恶意脚本,目的是升级和维护已经受到威胁的Web应用程序的持久访问。Web-Shell本身无法攻击或利用远程漏洞,因此它始终是攻击的第二步(此阶段也称为后期开发)。
攻击者可以利用诸如SQL注入,远程文件包含(RFI),FTP 之类的常见漏洞,或者甚至使用跨站脚本(XSS)作为社会工程攻击的一部分来上传恶意脚本。常见的功能包括但不限于shell命令执行,代码执行,数据库枚举和文件管理。
为什么使用Web-shell?持久远程访问
Web-Shell通常包含一个后门,允许攻击者随时远程访问并可能控制服务器。这样可以节省攻击者每次访问受损服务器时必须利用漏洞的不便。
攻击者也可能选择自行修复这个漏洞,以确保没有其他人会利用这个漏洞。这样攻击者可以保持低调并避免与管理员进行任何交互,同时仍可获得相同的结果。
还值得一提的是,一些流行的web shell使用密码认证和其他技术来确保只有攻击者上传web-shell才能访问它。这些技术包括将脚本锁定到特定的自定义HTTP标头,特定的cookie值,特定的IP地址或这些技术的组合。大多数web shell还包含代码来识别和阻止搜索引擎列出shell,并因此将Web应用程序托管的域或服务器列入黑名单 - 换句话说,隐藏是关键。
特权升级
除非服务器配置错误,否则web shell将在Web服务器的用户权限下运行,这些用户权限(或者至少应该)受到限制。使用Web-Shell,攻击者可以尝试利用系统上的本地漏洞执行特权升级攻击,以便承担root权限,而在Linux和其他基于UNIX的操作系统中,root权限是“超级用户”。
通过访问root帐户,攻击者基本上可以在系统上执行任何操作,包括安装软件,更改权限,添加和删除用户,窃取密码,阅读电子邮件等等。
旋转和发射攻击
网络外壳可用于在网络内部或外部旋转。攻击者可能希望监视(嗅探)系统上的网络流量,扫描内部网络以发现活动主机,并枚举网络中的防火墙和路由器。
这个过程可能需要几天,甚至几个月,主要是因为攻击者通常寻求保持低调,并尽可能少地注意。一旦攻击者持续访问,他们可以耐心地进行移动。
受损系统也可用于攻击或扫描驻留在网络外部的目标。这为攻击者增加了一层“匿名”,因为他们使用第三方系统发动攻击。更进一步的做法是在多个系统中枢轴转换(隧道),以便几乎不可能将攻击追溯到其源头。
僵尸
web-shells的另一个用途是使服务器成为僵尸网络的一部分。僵尸网络是由攻击者控制的受损系统网络,既可以使用自己,也可以租借给其他罪犯。网络外壳或后门连接到一个命令和控制(C&C)服务器,从中可以获取命令执行的指令。
此设置通常用于需要大量带宽的分布式拒绝服务(DDoS)攻击。在这种情况下,攻击者不会有任何兴趣危害或窃取部署web shell的系统的任何内容。相反,他们只需要在任何需要的时候使用其资源。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


QQArchiver 手机版 小黑屋  

免责声明:网站所有帖子,内容均为网友提供,不代表本社区立场! , Processed in 0.214065 second(s), 28 queries .

Powered by Discuz! X3.2

Copyright © 2015 ~ 2018 maishell交易网 保留所有权利!

返回顶部