滲透測試webshell是什么

webshell是以asp、php、jsp等網頁文件形式存在的一種命令執行環境，也稱其為一種網頁后門。一般說來，當Hacker入侵一個網站后，會把這些asp、php木馬的后門文件放在該網站的web目錄中，和正常的網頁文件混雜，其命名可能和正常的文件命名很類似，讓人無法通過文件名判斷其為后門文件。

顧名思義，“web”的含義是顯然需要服務器開放web服務，“shell”的含義是取得對服務器某種程度上操作命令。webshell主要用于網站和服務器管理，由于其便利性和功能強大，被特別修改后的webshell也被部分人當作網站后門工具使用。

一方面，webshell被站長常常用于網站管理、服務器管理等等，根據FSO權限的不同，作用有在線編輯網頁腳本、上傳下載文件、查看數據庫、執行任意程序命令等。

webshell是以asp、php、jsp等網頁文件形式存在的一種命令執行環境，也稱其為一種網頁后門。一般說來，當Hacker入侵一個網站后，會把這些asp、php木馬的后門文件放在該網站的web目錄中，和正常的網頁文件混雜，其命名可能和正常的文件命名很類似，讓人無法通過文件名判斷其為后門文件。

滲透測試包括以下這些階段：

• 情報的搜集階段：情報是指目標網絡，服務器，應用程序等的所有信息,如果是黑盒測試，信息搜集階段是最重要的一個階段，一般通過被動掃描或主動掃描兩種技術。

• 威脅建模階段：如果把滲透測試看做一場對抗賽，那么威脅建模就相當于指定策略。

• 漏洞分析階段：漏洞分析階段是從目標網絡中發現漏洞的過程。這個階段我們會根據之前搜集的目標網絡的操作系統，開放端口及服務程序等信息，查找和分析目標網絡中的漏洞。這個階段如果全靠人手工進行，那么會非常累。不過Kali Linux 2提供了大量的網絡和應用漏洞評估工具。不光是網絡的漏洞，還要考慮人的因素長時間研究目標人員的心理，以便對其實施欺騙，從而達到滲透目標。

• 漏洞利用階段：找到目標網絡的漏洞后，就可以對其進行測試了。在漏洞利用階段我們關注的重點是，如果繞過網絡的安全機制來控制目標網絡或訪問目標資源。如果我們在漏洞分析階段順利完成任務，那么我們就可以在此階段準確，順利的進行。漏洞利用階段的滲透測試應該有精確的范圍。這個階段我們主要的目標就是獲取我們之前評估的重要的資產。進行滲透測試時還需要考慮成功的概率和對目標網絡造成的最大破壞。

• 后滲透攻擊階段：后滲透攻擊階段和漏洞利用階段連接十分密切，作為滲透測試人員，必須盡可能地將目標網絡滲透后可能產生的結果模擬出來。

• 報告階段：報告階段是滲透測試最后一個階段。要簡單，直接且盡量避免大量專業術語向客戶匯報測試目標網絡出現的問題，以及可能產生的風險。這份報告應該包括目標網絡最重要的威脅，使用滲透數據產生的表格和圖標，以及對目標網絡存在問題的修復方案，當前安全機制的改進建議等。