习科小黑板 - Silic Wiki

平日里有很多朋友、群友、习科论坛的会员来问问题，更多的是一些新手来问。但是有些问题确实挺让人无语的。
例如：0day怎么挖，注入怎么找，什么是webshell，发现管理员后台该怎么办等等。这些问题不但提问的人难受，被提问的人也难受。
所以我开了个科普贴，用来纠正一些新手以及部分老手对概念上理解的错误。

很多初学者在一些教程、教材中经常会看到或者听到一个词就是图片马。

误解：一张具备木马功能的图片。
解释：图片格式文件不具备后门执行的能力。

在早期windows中对于图片格式文件的解析确实存在过多种安全问题，但每种文件都有自己特定的格式规范，最终也罕有利用漏洞将图片构造成木马的情况出现。

所谓图片马有两种。

第一种是从刚刚更新到XP时代时候兴起的。Windows 98和Windows XP的时代到来以后，桌面操作系统一开始都是不显示后缀名的。
于是就出现拿图片默认ico标识做程序图标的木马，也就是早期的“图片马”。后来XP时代到来，QQ的兴起，逐渐出现了在QQ上发送xxx.jpg.src这类木马的盗号潮流。
这其中还有一些大神级别的团队使用class后缀名来隐藏执行后缀，例如xxx.jpg.{class编号}，这样即使做了显示后缀名等处理，class文件仍然不会显示后缀名，右键属性或其他方式才能看到其class属性。

至于第二类图片马则兴起于第一代之后，是在Web方向的。
web图片马主要是将体积小的webshell后门和图片绑在一起，后缀则多种多样，有.asp .cer .asa .php等等。
如果没记错，应该是南方数据要不然就是动网的网站CMS系统对上传的文件进行比对，通过验证上传文件的文件头来确认上传的是正常的图片还是后门文件。
根据GIF图片格式的规范，每个GIF都会以GIF??a作为开头然后以分号;作为整个文件的结束，其中的??表示的是哪个版本的规范，一般是GIF89a最为常用。

在现在的IPv4协议上，不管公网还是内网ip一共有4个段：ABCD分别表示4个段。
一些小黑写教程的时候，日某某某网站日不下来，扫一下C段。其实这种话很有歧义。
典型的ip格式如下：

AA.BB.CC.DD

假定AA.BB.CC.DD是目标服务器，我们无法得手，理论上我们可以从AA.BB.CC.XX服务器上面找突破点。
那么突破点服务器和目标服务器就是同一个C段的机器。一些人经常会口述或者笔述：“整个C段都很难搞”云云的话。。。
整个C段和同个C段查的很大的：

同C段:AA.BB.CC.XX
整个C段:AA.BB.XX.XX

仔细看，同C段和整D段才是一样的。

另外，不是每个同C段的机器都属于同一个子网，只有在同一个子网才有机会进行嗅探。至于是否处在同一个子网，就要看子网掩码了。
如果子网掩码是255.255.255.0就没问题，如果是别的。。。自己算范围好了。

误解：拿webshell就是拿shell
解释：webshell一词其实是web和shell的结合。

早在Web还不平民化的时候，像2001年中美黑客大战，都是拿shell拿shell的，拿的是服务器的shell。
当然了，我们平常也会说这个服务器的shell是t c s h的，这个服务器的shell是b a s h的。。。shell其实并不是特指webshell。
我们日常口中所说的拿shell才是特指，特指拿webshell。而webshell则是基于web层实现类似shell功能的一种统称。

误解：菜刀就是一句话
解释：一种菜刀是在现实生活中切菜砍人用的，一种是在计算机中管理后门用的。

需要注意的是，菜刀 ≠ 一句话。菜刀是管理工具，可以管理多种类型的webshell，其中以一句话形式的后门最为经典，变形过的“一句话”不一定只有一句话，但是都可以用菜刀来管理。

除此以外，菜刀支持的最简JSP后门需要49行代码，包括习科的大马也是支持菜刀来连接和管理的。一句话后门是菜刀的经典，但是菜刀并不是一句话，可以“上个一句话用菜刀连”但是“上个菜刀一句话”是不准确的，菜刀和一句话不是一体的，在菜刀之前其实也有很多一句话后门工具，如顶端海洋，零魂等等。

还有论坛会员问我，说朋友让他从后台上个“菜刀一句话”，但是他打开菜刀以后，不会用。
菜刀是个管理工具，可以管理webshell，可以管理数据库，可以执行远程终端，可以扩展插件等等，但不是前端突破工具更不是挖洞工具，“上个菜刀一句话”只能证明说这句话的人习惯使用菜刀管理后门，而不是让你打开菜刀去搞这个站。