[collect]关于PHP webshell的一些[bak]

本文最后更新于2014年7月8日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

1.b374k

b374k是一款国外较轻便的开源的php类webshell,项目地址为:https://github.com/b374k/b374k/

并且在这里还有以前老版本的各种样式的webshell:
https://code.google.com/p/b374k-shell/downloads/list

2.weevely

weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序 的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web 页面式的管理,weevely生成的服务器端php代码是经过了base64编码的,所以可以骗过主流的杀毒软件和IDS,上传服务器端代码后通常可以通过weevely直接运行。

3.一些搜集的webshell

……

更多内容请参见后来写的文章:常见的PHP Webshell集合[bak]

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/477.html

6 thoughts on “[collect]关于PHP webshell的一些[bak]”

  1. 腾讯lake2 :Webshell检测的前世今生
    https://mp.weixin.qq.com/s/n72QEX_reaDcY4_iXZgeWA
    `
    Web时代,ASP、PHP这种新兴的动态脚本技术被大量网站使用,即由服务端执行脚本程序返回结果给客户端,客户端的浏览器仅展示结果。如果服务端执行的脚本是一个控制服务器的后门程序呢?那这就是被称为WebShell的Web后门程序(相对传统的命令行Shell而言,这是一种基于Web的Shell)。

    WebShell是与冰河、灰鸽子这种传统二进制木马不同的一类木马,它是文本文件,由Web Server运行环境解释执行的。跟所有的新技术一样,它给安全行业带来了新的挑战:1)当时基于特征检测的杀毒软件根本没见过这种新木马,更不要说查杀了;2)它本身是一个CGI文件,控制走的HTTP协议,对网络层的防火墙来说这就是一次网页浏览行为,查不了也拦不住。

    后来我加入腾讯安全中心,正好参与建设服务器安全系统“洋葱”,就把PHP、JSP、ASP、ASPX这些语言的WebShell特征全部提取了一遍,基本上可以发现当时市面上所有的WebShell,连见多识广的乌云白帽之王“猪猪侠”ring04h尝试后也不得不承认“腾讯在PHP安全领域的防护实力,当属国内第一”。当然,要纵深防御,更要在事前防御,送你一个Web安全秘诀:“目录默认不可写,可写目录不解析,Web Server非root,管理页面不对外”。

    有检测就有对抗,WebShell进入对抗时代,各种针对性的新的变形方法被提出来,脚本语言松散的语法使得简单地通过特征字符串来检测WebShell越来越显得吃力,急需新的检测方案。新的方案大致可以分为以下几类:

    1. 动态执行。采用RASP方式,把脚本运行起来,各种危险函数都hook掉,各种混淆就失效了,还可以实时阻止后门行为。xti9er、bghost一直在做这方面的研究,取得一些成绩,后面让他们分享下;

    2. 语义分析。把代码进转换成语法树,然后去进行分析,还可以带上污点追踪和虚拟执行,各种奇怪语法和混淆最终会现形。从代码分析安全漏洞常使用这种方法;

    3. 统计分析。通过对文件信息熵、元字符、特殊字符串频率等统计方式发现WebShell有别于正常文件的规律,老牛曾经尝试过用贝叶斯;

    4. 机器学习。通过机器学习方法来对各类样本做训练生成模型,发现异常。不过这种方法需要大量样本做基础训练,而有些算法可解释性比较差,不利于运营。职业欠钱在腾讯时也带队实测过,AI在一定场景下有效;另外就是算法人员需要了解一定的安全知识,我还记得当时算法团队说样本不足以训练,要flyh4t给出十万个WebShell样本来,flyh4t气得把桌子都摔了;
    `

发表评论

电子邮件地址不会被公开。 必填项已用*标注