webshell管理工具 -- Webshell_Generate

0x01 工具介绍PyShell是多平台Python WebShell。该工具可以帮助您在web服务器上获得shell式的界面，以便远程访问。与其他webshell不同的是，该工具的主要目标是在服务器端使用尽可能少的代码，而不考虑使用的语言或服务器的操作系统。您可以在 Windows 和 Linux 中使用不同类型的 shell，具有命令历史记录、上传和下载文件，甚至可以像在目录中一样移动标准外壳。

场景：己经拿到了一个webshell，但是无法正常执行命令，因为被360安全大脑的主动防御拦截了。由于目标是 java 环境，这里可以尝试利用 jsp 执行系统命令上线，具体做法是先写一个 jsp的脚本然后放到 weblogic 的 webshell 路径下，如果找不到 webshell 可以使用文件查找命令dir c:\ /s /b |find "fuck4.jsp"

Webshell-Sniper是一款使用Python编写的基于终端的Webshell管理器，和以往我们分享的Webshell管理工具有所不同，所有操作都在终端中完成。使用它可对您的网站进行远程管理。虽然它没有图形化的GUI也没有WEB界面，但这样的操作也是另有一翻感觉。功能基于终端的shell交互反向连接shell数据库管理Webshell-Sniper安装与使用环境服务端 :. 需要注意的是，Webshell-Sniper服务端只支持Unix系统环境。

0x01 工具介绍该工具没什么技术含量，学了一点javafx，使用jdk8开发出了几个简单功能用来管理webshell。工具整合并改写了各类webshell，支持各个语言的cmd、蚁剑、冰蝎、哥斯拉，又添加了实际中应用到的一些免杀技巧，以方便实际需要。0x02 安装与使用直接下载releases版即可。

通过Webshell，攻击者可以在目标服务器上执行一些命令从而完成信息嗅探、数据窃取或篡改等非法操作，对Web服务器造成巨大危害。Webshell恶意软件是一种长期存在的普遍威胁，能够绕过很多安全工具的检测。许多研究人员在Webshell检测领域进行了深入研究，并提出了一些卓有成效的方法。本文以PHP Webshell为例。

动态函数PHP中支持一个功能叫 variable function ，变量函数的意思。//最终是system;当一个变量后边带括号，那他就被视作一个函数。编译器会解析出变量的值，然后会去找当前是否存在名为“system()”的函数并执行它。这里就不给实例了，很多免杀案例中都用到了这个特性。也是被疯狂查杀的特征。回调函数回调函数，简单来说就是一个函数不是由我直接调用，而是通过另一个函数去调用它。

前言提到webshell免杀，方法无外乎对静态特征的变形，编码，或利用语言特性绕过。计算机中有很多符号，它们在编程语言中占据一席之地，这些符号作为运算符号，标识符号或起到特殊含义。本文以PHP为例介绍一些利用符号免杀方法。免杀WAF检测通过对安全狗、护卫神、D盾等常见软WAF的测试，发现WAF查杀主要依赖两种检测方法1.静态检测：通过匹配特征来查找webshell。如危险函数，文件特征码等。例如 ${$my_var[8]}与${$my_var}[8]的区分${xxx} 括起来的要当成变量处理。

通过URL信息获取如果能获取到恶意请求的URL信息，就可以根据URL信息定位到Webshell文件。URL信息可以通过态势感知、WAF等监测预警系统获取，也可以通过对系统异常时间段的Web日志进行审计获取。通过扫描工具扫描获取通过Webshell查杀工具进行扫描，可以定位到部分免杀能力不强的Webshell文件。默认情况下，Windows将仅在索引位置中查找最近修改的文件。

webshell免杀之传参方式及特征绕过传参方式 在这里解释一下为什么，需要讲述传参方式，由于在很多情况下，以请求头作为参数传递并非waf和人工排查的重中之重且非常误导和隐藏