2023-08-21 技战法系列-内存马的Webshell联合对抗技战法.pdfVIP

技战法系列-内存马的Webshell联合对抗技战法

原创BeatRex

2023-08-21原文

一、技战法概述

Webshell是黑客经常使用的一种后门，其目的是获得服务器的执行操

作权限，常见的Webshell编写语言为ASP、JSP、PHP。主要用于网站

管理，服务器管理，权限管理等操作。使用方法简单，只需要上传一

个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了

使用者对网站的服务器的管理。

在日常的网络攻击以及实战攻防中，攻击者往往倾向于反序列化攻击

、代码执行、命令执行、Webshell上传等攻击成本低但快速有效获取

权限的方式。且随着防御手段的不断提升，对Webshell的检测也在不

断深入，从文件落地型Webshell的明文到编码加密传输规避安全设备

的检测，当新的绕过手段出现时，不久便会出现对其的检测手段。现

在大部分Webshell利用反序列化漏洞进行无文件落地形式的攻击，即

内存马。

内存马这种方式难以检测且需要较高的技术手段进行处置，因此对于

Webshell攻击的对抗与检测处置，不仅需要针对文件落地型Webshell

开展对抗，更需要注意无文件的内存马攻击。

二、Webshell对抗手段

2.1落地文件型Webshell检测与对抗

在安全从业者进入行业的初始阶段，通常会针对文件上传漏洞进行