轻松理解什么是 webshell

学安全基础很重要,安全中有很多的特有的关键字,理解这些关键字至关重要,今天给大家分享一下我对于 webshell 的理解。

理解 webshell 是什么

理解 webshell 我们可以从字面上去理解,将其拆分成 web 和 shell 来分别进行理解,web 在百度百科的解释如下:

web(World Wide Web)即全球广域网,也称为万维网,它是一种基于超文本和 HTTP 的、全球性的、动态交互的、跨平台的分布式图形信息系统。 是建立在 Internet 上的一种网络服务,为浏览者在 Internet 上查找和浏览信息提供了图形化的、易于访问的直观界面,其中的文档及超级链接将 Internet 上的信息节点组织成一个互为关联的网状结构。

web 对于我们来说都不陌生,是从事安全行业的同僚接触最多,也是入门必学的基础,为什么会是必学的基础呢?

因为这个在企业中是应用最广泛,也是最容易暴露在攻击者面前的东西,任何人都能找到任何企业暴露在外面可供入侵者攻击的应用,所以学习 web 安全没有错。

那么 shell 是什么呢?百度百科的解释如下:

在计算机科学中,Shell 俗称壳(用来区别于核),是指“提供使用者使用界面”的软件(命令解析器)。它类似于 DOS 下的command.com 和后来的 cmd.exe。 它接收用户命令,然后调用相应的应用程序。

对于 shell 的理解,我们也可以理解为一个接口,用来管理某些应用程序。

webshell 就是两者的集合,合起来的意思可以理解为 web 应用管理工具,正常情况下,运维人员可以通过 webshell 针对 web 服务器进行日常的运维管理以及系统上线更新等,那么攻击者也可以通过 webshell 来管理 web 应用服务器。

两者在使用上并没有太多区别,但是在叫法上可能就不大一样了,管理员使用可以叫服务器管理工具,而在攻击者手里就可以叫做后门程序了。

webshell 常见分类

在做 web 渗透的时候,经常会用到 webshell,从以前的小马拉大马时代到现在的一句话木马,一共可以分为三类:小马、大马和一句话木马,下面对于这些名词做一下简单的解释。

小马拉大马

在以前菜刀没有出现的时候,我们想要获取 webshell 的时候,通常都是直接上传一个 web 木马并且直接用这个木马进行管理,由于这种大型木马的体量比较大,上传过程中容易被检测且不方便进行上传绕过测试,所以大家就想了一个办法,先上传一个体量小,功能少的小型木马然后再通过小马的简单的上传或者文件修改等单个功能进行大马的上传,这就是当年的小马拉大马的由来。

小马的功能通常是围绕文件管理的功能,比较简单,如:文件上传、文件修改、新建文件等,都是围绕方便上传一个体量大的木马来做的。

大马的功能比较齐全,有几个木马大家可能都用过,像:phpSpy、jspSpy 以及 aspxSpy等

一句话木马

自从菜刀出现之后,渐渐的一句话木马成为了主流,体量小,还有一个界面版的客户端进行管理操作,极大的方便的大家对于 web 服务器的管理,随后由于菜刀不再更新,慢慢的出现了很多类似的变种,像:c刀,蚁剑,菜刀,Hatchet,xise,QuasiBot,WeBaCoo,Weevely、k8飞刀等,其核心功能包含文件管理、命令执行其实就够用了。

其原理的区别

小马拉大马这个阶段使用的木马都是将功能函数写死在木马文件中,然后执行固定的功能,而一句话木马的原理则是在服务端就一句话,然后使用菜刀等客户端通过发送功能函数到服务端,服务端将功能函数进行执行并将结果返回给客户端,然后解析并显示结果,这就是这两种阶段的核心区别。

总结

本文的目的是让大家理解一下什么是 webshell,知道它是干什么的,有什么用,其中的价值可能没有那么大,作为一个科普文,希望对大家有所帮助,各位老司机如果有更好的建议请下方留言,我们一起帮助大家学习,入门。

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2018-02-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏野路子程序员

【解决方案+问题分析】微信分销会员上下级关系出现混乱,剖析全过程

3827
来自专栏腾讯技术工程官方号的专栏

你不知道的Android SDK安全测试

image.png 作者介绍:anglia,2014年加入腾讯TEG,一直致力于信鸽和MTA两款产品的移动终端 引言 作为Android手机用户中的一枚残粉...

2695
来自专栏网络安全防护

墨者安全分享:CC攻击的变异品种--慢速攻击

对网络安全有过一定了解的人肯定都听过DDOS攻击和CC攻击,DDOS主要针对IP攻击,CC攻击主要是用来攻击网页的,两者都是通过控制大量僵尸网络肉鸡流量对目标发...

1823
来自专栏安恒信息

超过1万台Linux服务器感染了恶意程序

杀毒软件公司Eset的研究人员披露了一个正在进行中的恶意程序攻击,被取名为Operation Windigo(PDF) 的恶意攻击感染了超过1万台L...

3055
来自专栏喔家ArchiSelf

IoT固/软件更新及开源选项

物联网的迅速发展涌现了数十亿与互联网连接的无线嵌入式设备。 从医疗设备到坦克传感器, 智能恒温器, 智能路灯, 水监视器等等, 物联网比以往任何时候都应用广泛。

1562
来自专栏阮一峰的网络日志

DDOS 攻击的防范教程

6603
来自专栏Java帮帮-微信公众号-技术文章全总结

在Windows上用Java代码模仿破解WIFI密码【大牛经验】

本文纯属技术探索,与真正的破解还有很大差距,请广大网友切勿利用本文内容做出任何危害网络安全的行为。若有违法行为,均与本人无关。

6262
来自专栏FreeBuf

一大波iCloud钓鱼网站来袭 果粉们会分辨吗?

国外的FireEye实验室有一套自动化系统,这套系统能够主动侦测最新注册的恶意域名。所谓的恶意域名,绝大部分都是伪装成很多人知道的常用域名,以此来达到“恶意”的...

3455
来自专栏逸鹏说道

探索ASP.NET MVC5系列之~~~3.视图篇(下)---包含常用表单和暴力解猜防御

其实任何资料里面的任何知识点都无所谓,都是不重要的,重要的是学习方法,自行摸索的过程(不妥之处欢迎指正) 汇总:http://www.cnblogs.com/d...

4285
来自专栏云计算D1net

从各“瘫痪”事件看如何安全备份数据库到云存储

近几周互联网企业频繁暴出各类“瘫痪”事件,网易、支付宝也身负重伤,而5月28日携程网站服务及App全站瘫痪,从事故发生至恢复长达近12小时,造成的损失不言而喻。...

3849

扫码关注云+社区

领取腾讯云代金券