webshell实际上是网页后门，本质上是一种网页文件，一般由asp，php，jsp，asp.net 等语言开发

顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作命令。

使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站和服务器的管理。

正因如此，也有小部分人将代码修改后当作后门程序使用，以达到控制网站服务器的目的

webshell有哪几种种类？

我们在做web渗透的时候经常用到webshell，常见的webshell有小马，大马，一句话木马

小马的功能通常是围绕文件管理的功能，比较简单，如：文件上传、文件修改、新建文件等，都是围绕方便上传一个体量大的木马来做的。

大马的功能比较齐全，有几个木马大家可能都用过，像：phpSpy、jspSpy 以及 aspxSpy等

一句话木马

自从菜刀出现之后，渐渐的一句话木马成为了主流，体量小，

还有一个界面版的客户端进行管理操作，极大的方便的大家对于 web 服务器的管理，

随后由于菜刀不再更新，慢慢的出现了很多类似的变种，

像：c刀，蚁剑，菜刀，Hatchet，xise，QuasiBot，

WeBaCoo，Weevely、k8飞刀等，其核心功能包含文件管理、

命令执行其实就够用了。

webshell有那些作用？

一方面，webshell被站长常常用于网站管理、服务器管理等等，

根据FSO权限的不同，作用有在线编辑网页脚本、上传下载文件、

查看数据库、执行任意程序命令等。

另一方面，被入侵者利用，从而达到控制网站服务器的目的。

webshell常见检测方式：

静态检测：通过匹配特征码、特征值、危险函数来查找webshell，

但只能查找已知的webshell。主流的检测方法有关键字检查（Keywords Matching）、

审核代码逻辑（Code Logic Review）等。 动态检测：webshell在执行时表现出来的特征，我们称为动态特征。

主流的检测方法有文件状态对比（File Info Comparison）、

运行特征（Feature Matching）、访问行为检测（Access Behavior）等