基于Webshell惡意代碼注入檢測研究與分析

邢士發

(河南經貿職業學院，河南 鄭州 450046)

1 前言

Webshell的隱蔽性不僅很強，而且種類也愈來愈繁雜，讓網絡安全管理員防不勝防。從最初基于TCP和UDP的Webshell到后來基于ICMP和DNS的shell[4]，其中就包含有直接上傳Webshell、遠程文件包含(RFI)、SQL注入和FTP，可能存在跨站點腳本(XSS)作為攻擊的形式，甚至一些比較老舊的方法利用后臺數據庫備份及恢復獲取Webshell的各種數據庫壓縮權限等[5]。常用的方法有NC反彈、SSH端口轉發和Telnet反彈等，更隱藏和更強大的手段諸如利用awk來進行反彈獲得shell[6]。正是越來越多的語言支持后門的編寫，才使得Webshell隱蔽性更好[7]。

2 實驗環境及工具作用

本次實驗主要使用的工具有phpstudy、Burp Suite、中國菜刀(China chopper)、wireshark等。其中Burp Suite主要用于抓包、改包、放包，用于前端繞過；中國菜刀(China chopper)主要用于連接一句話木馬獲取shell，遍歷目錄；wireshark主要檢測Webshell惡意代碼注入的過程。

3 Webshell注入攻擊與檢測

3.1 搭建upload-labs本地靶場實驗場景

圖1為已經搭建好的靶場界面圖。

圖1 upload-labs本地靶場實驗場景

3.2 簡單的前端繞過

本實驗利用upload-labs漏洞測試環境進行一句話木馬文件上傳，首先利用前端繞過技術并上傳成功后，然后利用Web管理工具進行連接，連接成功后即可實現文件管理。利用此方法可以打開虛擬終端，對數據庫進行管理并在后臺留下后門文件，對wireshark抓取的流量包進行流量分析。如圖2所示，進行分析源碼發現上傳的文件必須是圖片的格式(若限制的是文件類型那么需要抓包修改文件類型)。

圖2 靶機web檢測源代碼

根據代碼提示，現將一句話木馬的文件格式改為jpg圖片的格式并上傳至服務器，然后用Burp Suite進行抓包、改包，然后再放包。具體實現過程如圖3所示。

圖3 抓包獲取的內容

網頁沒有顯示報錯信息，然后復制此圖片路徑進行訪問，驗證是否上傳成功，其中文件路徑選取方法如圖4所示。

圖4 獲取圖片的存放路徑

然后訪問上述圖片URL路徑，如圖5顯示上傳成功。

圖5 查看文件路徑是否成功訪問

最后使用中國菜刀連接Payload，成功獲取網站文件目錄和虛擬終端Shell，具體操作如圖6所示。

如圖7所示，通過菜刀工具成功連接后并進入系統文件管理界面，此時證明網站服務器能夠被成功訪問以及獲取到虛擬終端Shell。

圖7 連接成功獲得路徑遍歷權限

在wireshark中分析已捕獲的上傳文件過程中的數據包，可以發現菜刀在連接一句話木馬的過程中存在相關的post流量數據包?；诹髁康臋z測是不能作為檢測Webshell危險函數的唯一手段，因為Webshell帶有常見的系統調用、系統配置、數據庫、文件的操作等動作，所以這些行為方式決定了它的數據流量中可以多帶有一些明顯的特征參數，并且通過匹配行為的流量特征作為檢測方法，這也正是基于Webshell入侵后的行為特征進行檢測，除此之外，還可以從系統層面的Webshell入侵行為進行檢測。流量數據包如圖8所示。

圖8 wireshark流量分析菜刀連接過程

3.3 上傳.htaccess文件繞過

在WAMP Server安裝的目錄下進行編輯訪問控制文件.htaccess，該文件中的＜Files Match"xiaoma"＞是要匹配的內容，如果上傳的文件名字中含有“xiaoma”字符的都可以上傳，并且取得Webshell的權限，這種方式危害性會很大。服務器如果被黑客上傳此類文件，就會實現文件上傳并拿下服務器所有權限。

攻擊者首先上傳.htaccess，使得所有文件都會被解析為php，然后再上傳木馬并解析，.htaccess的編寫內容如圖9所示。

圖9 .htaccess文件內容

3.4 利用00截斷上傳文件

文件截斷有%00、0x00、/00三種常見技術，本次實驗以0x00為例，在url中%00表示ascll碼中的0，而ASCII中0作為特殊字符保留，表示字符串結束，所以當url中出現%00時就會認為讀取已結束。如在1.php文件名改為1.php%00.jpg時會被解析為1.php，這樣就能繞過后綴限制并實現上傳shell[8]。具體攻擊通過修改Hex中的上傳腳本擴展名后的內容可達到階段性的效果。具體操作如圖10所示。

圖10 修改繞過位置

3.5 其他檢測方法

除了以上方法還有如下檢測方法：

(1)動態檢測(沙箱)，即Webshell一旦被上傳到服務器，Webshell在動態執行時所表現出來的特征。這種檢測方式類似于Selenium模擬瀏覽器的行為[9]。

(2)日志檢測，使用Webshell的時候不會在操作系統日志中留下任何記錄，在網站的Web日志中可能會留下Webshell頁面的訪問數據和數據提交記錄。日志分析檢測技術通過大量的日志文件建立請求模型，從而檢測出異常文件HTTP異常請求模型檢測[10]。

4 結束語

本次實驗通過WAMP Server搭建的本地服務器upload-labs靶機，演示了攻擊者如何利用網站與服務器的Webshell漏洞并實現達到長期控制網站服務器的過程。受害者需及時修復此漏洞，以免其他人繼續利用該漏洞[11]。在服務器沒有配置錯誤的情況下，Webshell可以在Web服務器的相關用戶權限下運行。同時通過使用Webshell，攻擊者可以嘗試利用系統上的本地漏洞來執行權限提升，常見的方法有查找敏感配置文件、通過內核漏洞提權、利用低權限用戶目錄下可被Root權限用戶調用的腳本提權、任務計劃等。通過以上實驗發現，Webshell隱蔽性很強，不易被發現和查殺。在沒有記錄流量的情況下，Webshell使用post包發送，這種方式不會被記錄到系統日志中，僅會在Web日志中保留一些提交的數據記錄[12]，所以本次實驗是全程開啟wireshark來捕獲流量數據，因此可以獲取Webshell惡意代碼注入的流量包，從而進行漏洞分析與防御。