Web木马的特点有哪些
Web木马的特点有哪些?
Web木马主要有以下几个主要特点:
1. 木马可大可小
根据功能不同,Web木马自身的文件大小也各不相同。最小的木马可利用一行代码进行实现。大的木马在提供各类丰富的功能基础之上,自身的大小也会超过10KB。因此无法根据文件的代码量判断木马。
2. 无法有效隐藏
Web木马执行时必须按照中间件支持的Web格式进行解析并执行。
在真实攻击中,攻击者通常会将木马命名为一个近似系统文件或正常文件的名字,并在其中填充大量与当前站点中相似的无效代码,以迷惑管理员。若攻击者没有系统权限,木马在服务器端无法真正隐藏。
3. 具有明显特征值
Web木马的特点有很多,主要表现在其特殊功能方面。
如针对数据库的大量操作功能、文件创建修改功能等都可被攻击者使用。在使用过程中,攻击者的操作行为会利用外部参数传入到Web木马中,Web木马再将攻击者传入的参数拼接成系统命令并执行。
在Web木马中,需调用系统的关键函数用以执行本身的功能,这些关键函数在木马中起着无法替代的作用,因此这些关键函数可作为Web木马的明显特征。
在Web木马中常见的关键函数如下:
●命令执行类函数:eval、system、popen、exec、shell_exec等。
●文件功能类函数:fopen、opendir、dirname、pathinfo等。
●数据库操作类函数:mysql_query、mysqli_query等。
需要注意的是,多数木马会对当前的关键函数进行类型隐藏,如先拆分结构,在调用时再进行拼接。因此,需要跟踪整体功能流程后,再根据执行效果进行确认,这一点需要注意。
4. 必须为可执行的网页格式
木马需在当前服务器的Web容器中执行,因此必须为网页格式。无论是一句话木马还是大型木马,均需如此。
当然,在极端情况下可配合文件包含漏洞实现木马执行,但最终执行环境必须为网页。极端情况下(如木马可被上传,但无法解析时),可配合htaccess实现对执行名称后缀名的替换,实现特定后缀名的执行。
