WEBSHELL檢查.pptx

1、WEBSHELL檢查,一.了解WebSHELL 二.WebSHELL植入 三.檢查工作原理 四.檢查方法,了解WebSHELL,1.文件操作:復制文件、刪除文件、更改文件名、上傳文件、下載文件、文件瀏覽列表、文 件搜索、查看文件屬性等功能 2.目錄操作: 刪除目錄、更改目錄名 3.數(shù)據庫: 添加、查詢、刪除、更改、數(shù)據庫的連接、建立、壓縮 4.網絡功能: 端口掃描 5.注冊表操作:打開注冊表、讀取注冊表、刪除注冊表、寫入注冊表 6.執(zhí)行應用程序: 如WScript.Shell 7.查看系統(tǒng)信息功能: 查看本機IP（網卡信息）、系統(tǒng)用戶信息、系統(tǒng)環(huán)境變量、磁盤信息、 8.Web 服 務 支 持

2、組 件 查 詢: ADOX.Catalog 、wscript.shell 、Adodb.Stream 、Scripting.FileSystemObject 9.掛馬功能等 10.web 應用程序被加密: 使用常用的vbscrip.encode,、jscrip.encode、javascrip.encode、base64_decode、gzinflate、gzuncompress,str_rot13 等加密一些敏感代碼。 11.其他系統(tǒng)敏感函數(shù)。,WebSHELL植入,1、 利用web 上傳業(yè)務，上傳webshell 腳本，上傳的目錄往往具有執(zhí)行權限，這個缺 陷很常見。 2、 利用Web 業(yè)務

3、的其他缺陷，例如存在SQL 注入缺陷，植入Webshell 腳本。 3、 攻陷Web 服務器系統(tǒng)，在web 服務目錄中上傳webshell 文件。,檢查工作原理,基礎事件: 檢測到的數(shù)據庫操作: 添加、查詢、刪除、更改相關函數(shù) 檢測到數(shù)據庫操作語句,檢測到執(zhí)行SQL 語句,檢查工作原理,基礎事件: 檢測到執(zhí)行應用程序操作: 如WScript.Shell、var.Run、shell_exec、exec 等 函數(shù) 基礎事件檢測到使用wscript.shell 組件,檢測到使用腳本使用ws.run 執(zhí)行文件,基礎事件: 檢測到web 頁面被加密: 使用常用的vbscrip.encode,、jscri

4、p.encode、javascrip.encode、base64_decode、gzinflate、gzuncompress,str_rot13 等 加密一些敏感代碼。 檢測到使用vbscrip.encode 加密web 應用程序,檢查工作原理,檢查工作原理,基礎事件: 檢測到其他系統(tǒng)敏感函數(shù)。 檢測到使用文件操作組件,動態(tài)特征檢測 動態(tài)特征檢測是指webshell 已經上傳到web 服務器,在瀏覽器打開webshell 頁面時進行攔截，此時從網絡中檢測到的是web 應用程序被解釋執(zhí)行的代碼，此種方法最大的缺點就是漏報，只要攻擊者對webshell 稍作改動就輕易躲辟設備檢測，并且新的webshell 出來還要去更新這個庫,所以需要要維護的特征庫龐大,檢查工作原理,溯源,1.確定是服務器or 個人機器 2.服務器：查找所有網站域名和目錄； 3.拷貝所有網站對應的日志信息 4.拷貝服務器系統(tǒng)日志 5.拷貝所有網站目錄的文件 6.拷貝數(shù)據庫日志 7.網站對應的數(shù)據庫和帳號密碼做記錄 8.所有的3389鏈接信息做記錄 9.所有的運行命令下拉菜單做記錄 10.記錄網站登錄后臺以及帳號密碼 11.分析被入侵痕跡以及入侵過程 12.機器所有的帳號密碼明文和hash（如果有特殊帳號獲取帳號的創(chuàng)建時間，登錄時間，