一句话木马绕过和防御

若有错误欢迎指正，非常感谢！

若有疑问欢迎讨论，共同学习！

·WebShell

WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。中国菜刀可以连接asp、aspx、php、jsp的一句话木马。

·常见的一句话木马

Asp：

aspx: 

php: 

密码均为x

·前台文件扩展名检测（弹小框框的一般就是该检测了）（本地漏洞 客户端漏洞 改扩展名，burp抓包，改回来即可）

四种办法绕过，

   1 . 00截断（两种方式实现，但实质都一样）

00截断原理：计算机遇到'\0'字符，就认为字符串结束了。（可以联系c语言字符串后面自动添加了一个‘\0’来判断是否到达末尾 来理解）

 方法一：在hex中修改（在16进制中修改）

找到文件名pass.php.jpg对应的地方

把2e改为00（【2e】是字符【.】对应的hex值）

方法二

直接在.php后面加上%00然后选中%00，对其进行url-decode处理

方法三：直接用在.php后面加上【’\0’】（但此方法是有时无效）

方法四：直接把【pass.php.jpg改为pass.php】

·content-type参数检测 （修改数据包content-type）

ContentType 一般参数有

application/x-cdf 应用型文件

text/HTML 文本

image/JPEG  jpg 图片

image/GIF  gif图片

把ContentType 由application/x-cdf改为image/gif

·文件内容检测 ：文件内容检测脚本中getimagesize(string filename)函数会通过读取文件头，返回图片的长、宽等信息，如果没有相关的图片文件头，函数会报错，是一种比较严的防御措施。

读取的文件头指的是用notepad++打开的可以看到GIF89A这些

所以经常要将一句话木马插入到图片中，打开cmd，进入该文件夹，

输入copy doram.jpg/b+lubr.php/a xiaoma.jpg生成图片马xiaoma.jpg，

注意：要将文件名改为【xiaoma.jpg.php】再上传，因为上传jpg文件菜刀是无法识别的，一定要上传php，asp等这些类型的脚本文件

（图片马）(生成图片马 copy 1.jpg/b+1.php/a xiaoma.jpg)

·解析漏洞：

搭建平台：iis apache uginx

iis6.0 7.x

iis6.0

文件

logo.jpg

logo.asp;.jpg或logo.asp;.xx.jpg (分号截断绕过)

文件夹

image/logo.jpg

image.asp/logo.jpg

iis7.x

/logo.jpg

/logo.jpg/*.php（星号*代表任意字符）

apache

www.xx.com/xxx.jpg

www.xx.com/xxx.php.dasdsad

nginx 和iis的7.x 一致

一、IIS 5.x/6.0解析漏洞利用方法有两种

1.目录解析

/xx.asp/xx.jpg

漏洞原理：在网站下建立名字为 xx.asp的文件夹，其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。（php的也是一样）

漏洞利用：

 例如创建目录 images.php，那么如果把这个写有一句话木马的1.jpg文件上传进images.php这个目录下面，那么http://127.0.0.1/images.php/1.jpg 这个就是一个后门地址，可以直接用菜刀去连接

2.文件解析

xx.asp;.jpg （分号截断）

漏洞原理：在IIS6.0下的服务器默认不解析;号后面的内容,

          也就是说xx.asp;.jpg会被服务器看成是xx.asp,解析成了asp文件

漏洞利用：上传一个写有一句话的1.asp;.jpg木马文件就可以直接用菜刀连接了（或者直接上传一个大马也可以直接访问了）

IIS6.0 默认的可执行文件除了asp还包含这三种

/xx.asa

/xx.cer

/xx.cdx

二、IIS 7.x/ Nginx

的文件（其实就是利用了fputs这个函数），然后访问1.jpg/.php,在这个目录下就会生成一句话木马 shell.php

·IIS7.5解析漏洞

IIS7.5的漏洞与nginx的类似，都是由于php配置文件中，开启了cgi.fix_pathinfo，而这并不是nginx或者iis7.5本身的漏洞。

漏洞防御： （Nginx用户可以选择方案一或方案二，IIS用户应使用方案一） 方案一，修改php.ini文件，将cgi.fix_pathinfo的值设置为0。完成后请重启PHP和NGINX（或IIS）。 方案二，在Nginx配置文件中添加以下代码然后重启服务器： if ( $fastcgi_script_name ~ \..*\/.*php ) { return 403; }

这行代码的意思是当匹配到类似test.jpg-w600/a.php的URL时，将返回403错误代码。

 三、Nginx