WebShell的检测技术.pdf

WebShell 的检测技术 -启明星辰 Leylo Trent 一、一、Webshell 的常见的常见植入方法植入方法 一一、、 的的常见常见植入方法植入方法 WebShell 攻击是常见的用来控制 Web 服务器的攻击方法，WebShell 文件通常是可 执行的脚本文件，例如 asp, php, jsp 文件，有些还可利用 web 服务器缺陷，伪装为图片文 件或者其他文件类型也是有效的。WebShell 是 web 攻击最常用手法之一，所以 WAF 产品 具备 Webshell 的检测和防护能力很有必要。常见的 Webshell 植入手法： 1、利用 web 上传业务，上传 webshell 脚本，上传的目录往往具有执行权限，这个缺 陷 很常见。很多 Web 网站都有允许用户上传数据的业务，例如上传头像，上传 共享资料等，这些文件上传以后有时候会向客户端反馈上传文件完整 URL 信息， 有些虽然不反馈，但是存放的文件路径可以被猜测出来，例如常见的目录有/photo， /image，/upload 等等。如果该 Web 网站对存取权限或者文件夹目录权限控制不 严，就可能被利用进行 webshell 攻击。例如在上传头像时上传个脚本文件，然后 再通过 url 访问这个脚本，结果这个脚本被执行。 2、利用 Web 业务的其他缺陷，例如存在 SQL 注入缺陷，植入 Webshell 脚本。 注入漏洞攻击本质上是通过该漏洞，使得攻击者能在 Web 服务器上使用一定的权 限来执行命令。一旦发现 Web 服务存在注入漏洞，攻击者很容易利用脚本来操作 目录或者文件，往指定的目录下写入 webshell 脚本。 3、攻陷 Web 服务器系统，在 web 服务目录中上传 webshell 文件。 Web 服务器除了存在 Web 应用漏洞本身的隐患，同时作为一个服务器，同样可能 存在系统层面漏洞，如果服务器系统被攻陷，攻击者获得权限，则可以随意操作 Web 服务器。攻击者攻陷 Web 服务器以后很可能会在该服务器上留下 Webshell 脚本，便于以后持续控制。 植入的Webshell还可能被其他的攻击者利用，攻击者可以猜测已经存在的webshell文件， 例如 webshell 常见的文件名有 diy.asp，wei.asp，2006.asp，newasp.asp，myup.asp， log.asp，phpspy.php 等等，一旦猜测成功，则可以利用前人得“攻击成果”来实施攻击。 如果 webshell 设置了密码，可以通过分析 Webshell 源文件的一些注释等信息进一步猜测 密码。攻击者还可以通过一些主要的有哪些信誉好的足球投注网站引擎来有哪些信誉好的足球投注网站到一些存在的 webshell，以 google 为例，在有哪些信誉好的足球投注网站栏中输入 inurl:phpspy.php，则可以看到很多需要输入密码的页面，这些 页面大部分都是植入的 webshell。 二、二、Webshell 的检测的检测 二二、、 的检测的检测 webshell目前特征检测方法有动态特征检测和静态特征检测两种方法,静态特征检测是指攻 击者上传 webshell 文件时通过特征匹配的方式来发现 webshell，即先建立一个恶意字符 串特征库，不同的 web 语言会有不同的然后通过在各类脚本文件中检查是否匹配。 通常 webshell 所有的功能都是独立文件中出现的，可以跟据不同的 web 程序语言建 立不同的脚本函数接口作为特征串，如果一个文件包含下列两大功能以上通常此文件可以认 定为具有 webshell 的特征了: 1.文件操作:复制文件、删除文件、更改文件名、上传文件、下载文件、文件浏览列表、文 件有哪些信誉好的足球投注网站、查看文件属性等功能 2.目录操作: 删除目录、更改目录名 3.数据库: 添加、查询、删除、更改、数据库的连接、建立、压缩 4.网络功能: 端口扫描 5.注册表操作:打开注册表、读取注册表、删除注册表、写入注册表 6.执行应用程序: 如 WScript.Shell 7.查看系统信息功能: 查看本机 IP（网卡信息）、系统用户信息、系统环境变量、磁盘信息、 8.Web