WEBSHELL檢查.pptx

1、WEBSHELL檢查,一.了解WebSHELL 二.WebSHELL植入 三.檢查工作原理 四.檢查方法,了解WebSHELL,1.文件操作:復(fù)制文件、刪除文件、更改文件名、上傳文件、下載文件、文件瀏覽列表、文 件搜索、查看文件屬性等功能 2.目錄操作: 刪除目錄、更改目錄名 3.數(shù)據(jù)庫: 添加、查詢、刪除、更改、數(shù)據(jù)庫的連接、建立、壓縮 4.網(wǎng)絡(luò)功能: 端口掃描 5.注冊表操作:打開注冊表、讀取注冊表、刪除注冊表、寫入注冊表 6.執(zhí)行應(yīng)用程序: 如WScript.Shell 7.查看系統(tǒng)信息功能: 查看本機(jī)IP（網(wǎng)卡信息）、系統(tǒng)用戶信息、系統(tǒng)環(huán)境變量、磁盤信息、 8.Web 服 務(wù) 支 持

2、組 件 查 詢: ADOX.Catalog 、wscript.shell 、Adodb.Stream 、Scripting.FileSystemObject 9.掛馬功能等 10.web 應(yīng)用程序被加密: 使用常用的vbscrip.encode,、jscrip.encode、javascrip.encode、base64_decode、gzinflate、gzuncompress,str_rot13 等加密一些敏感代碼。 11.其他系統(tǒng)敏感函數(shù)。,WebSHELL植入,1、 利用web 上傳業(yè)務(wù)，上傳webshell 腳本，上傳的目錄往往具有執(zhí)行權(quán)限，這個(gè)缺 陷很常見。 2、 利用Web 業(yè)務(wù)

3、的其他缺陷，例如存在SQL 注入缺陷，植入Webshell 腳本。 3、 攻陷Web 服務(wù)器系統(tǒng)，在web 服務(wù)目錄中上傳webshell 文件。,檢查工作原理,基礎(chǔ)事件: 檢測到的數(shù)據(jù)庫操作: 添加、查詢、刪除、更改相關(guān)函數(shù) 檢測到數(shù)據(jù)庫操作語句,檢測到執(zhí)行SQL 語句,檢查工作原理,基礎(chǔ)事件: 檢測到執(zhí)行應(yīng)用程序操作: 如WScript.Shell、var.Run、shell_exec、exec 等 函數(shù) 基礎(chǔ)事件檢測到使用wscript.shell 組件,檢測到使用腳本使用ws.run 執(zhí)行文件,基礎(chǔ)事件: 檢測到web 頁面被加密: 使用常用的vbscrip.encode,、jscri

4、p.encode、javascrip.encode、base64_decode、gzinflate、gzuncompress,str_rot13 等 加密一些敏感代碼。 檢測到使用vbscrip.encode 加密web 應(yīng)用程序,檢查工作原理,檢查工作原理,基礎(chǔ)事件: 檢測到其他系統(tǒng)敏感函數(shù)。 檢測到使用文件操作組件,動(dòng)態(tài)特征檢測 動(dòng)態(tài)特征檢測是指webshell 已經(jīng)上傳到web 服務(wù)器,在瀏覽器打開webshell 頁面時(shí)進(jìn)行攔截，此時(shí)從網(wǎng)絡(luò)中檢測到的是web 應(yīng)用程序被解釋執(zhí)行的代碼，此種方法最大的缺點(diǎn)就是漏報(bào)，只要攻擊者對webshell 稍作改動(dòng)就輕易躲辟設(shè)備檢測，并且新的webshell 出來還要去更新這個(gè)庫,所以需要要維護(hù)的特征庫龐大,檢查工作原理,溯源,1.確定是服務(wù)器or 個(gè)人機(jī)器 2.服務(wù)器：查找所有網(wǎng)站域名和目錄； 3.拷貝所有網(wǎng)站對應(yīng)的日志信息 4.拷貝服務(wù)器系統(tǒng)日志 5.拷貝所有網(wǎng)站目錄的文件 6.拷貝數(shù)據(jù)庫日志 7.網(wǎng)站對應(yīng)的數(shù)據(jù)庫和帳號密碼做記錄 8.所有的3389鏈接信息做記錄 9.所有的運(yùn)行命令下拉菜單做記錄 10.記錄網(wǎng)站登錄后臺以及帳號密碼 11.分析被入侵痕跡以及入侵過程 12.機(jī)器所有的帳號密碼明文和hash（如果有特殊帳號獲取帳號的創(chuàng)建時(shí)間，登錄時(shí)間，