首页 > 系统相关 >常用的getshell软件

常用的getshell软件

时间:2023-02-15 12:55:39浏览次数:49  
标签:webshell 文件 getshell web 效劳 常用 xx 软件 上传

常用的getshell软件,使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以

演示地址:https://note.youdao.com/s/Xi9S4I16

一、什么是webshell
1. webshell简介

webshell,望文生义:web指的是在web效劳器上,而shell是用脚本言语编写的脚本程序,webshell就是就是web的一个管理工具,能够对web效劳器停止操作的权限,也叫webadmin。webshell普通是被网站管理员用于网站管理、效劳器管理等等一些用处,但是由于webshell的功用比拟强大,能够上传下载文件,查看数据库,以至能够调用一些效劳器上系统的相关命令(比方创立用户,修正删除文件之类的),通常被应用,经过一些上传方式,将本人编写的webshell上传到web效劳器的页面的目录下,然后经过页面访问的方式停止入侵,或者经过插入一句话衔接本地的一些相关工具直接对效劳器停止入侵操作。

1. webshell的分类

webshell依据脚本能够分为PHP脚本,ASP脚本,也有基于.NET的脚本和JSP脚本。在国外,还有用python脚本言语写的动态网页,当然也有与之相关的webshell。

依据功用也分为大马与小马,小马通常指的一句话,例如:<%eval request(“pass”)%>通常把这句话写入一个文档里面,然后文件名改成xx.asp。然后传到效劳器上面。这里eval办法将request(“pass”)转换成代码执行,request函数的作用是应用外部文件。这相当于一句话的客户端配置。效劳器配置(即本机配置):

这里经过提交表单的方式,将提交上去,详细的做法是将定义一个对象IP,然后以文本方式写入newvalue里面的内容(newvalue的内容在textarea定义),写入以掩盖的方式产生ASP文件,然后执行这个脚本。其中客户端中的value代表的是表单的名字,必需跟效劳端(本机)的post提交中的表单名一样,所以这里的value能够为恣意字符,相当于一个之类的东西,但是这个‘’是明文的,能够截取下来。PHP的一句话原理跟以上的原理差不多,就是言语的差异招致语法不同。这就是小马的根本工作原理。

大马的工作形式简单的多,他没有客户端与效劳端的区别,就是一些脚本大牛直接把一句话的效劳端整合到了一同,经过上传将大马上传,然后复制该大马的url地址直接访问,在页面上执行对web效劳器的工作。但是有些网站对上传文件做了严厉的限制,由于大马的功用较多,所以体积相对较大,很有可能超出了网站上传限制,但是小马的体积能够控制(比方把代码复制很多遍,或者在一个乱码文件中夹入代码),但是小马操作起来比拟繁琐,能够先上传小马拿到webshell,然后经过小马的衔接上传大马拿到效劳器。

二、如何上传webshell

1.解析上传

如今关于不同的web效劳器系统对应的有不同的web效劳端程序,windows端主流的有iis,linux端主流的有nginx。这些效劳对搭建web效劳器提供了很大的协助,同样也对效劳器带来隐患,这些效劳器上都存在一些,很容易被应用。

(1)iis目录解析

比方:/xx.asp/xx.jpg

固然上传的是JPG文件,但是假如该文件在xx.asp文件夹下,那个iis会把这个图片文件当成xx.asp解析,这个存在于iis5.x/6.0版本。

(2)文件解析

比方:xx.asp;.jpg。在网页上传的时分辨认的是jpg文件,但是上传之后iis不会解析;之后的字符,同样会把该文件解析成asp文件,这个存在于iis5.x/6.0版本。

(3)文件名解析

比方:xx.cer/xx.cdx/xx.asa。在iis6.0下,cer文件,cdx文件,asa文件都会被当成可执行文件,里面的asp代码也同样会执行。(其中asa文件是asp特有的配置文件,cer为证书文件)。

 

标签:webshell,文件,getshell,web,效劳,常用,xx,软件,上传
From: https://www.cnblogs.com/luotianhe/p/17122424.html

相关文章

  • 常用的adb命令
    察看Alarm列表adbshelldumpsysalarm察看TaskStackadbshelldumpsysactivityactivities此外,某些服务还支持如下参数ACTIVITYMANAGERPENDI......
  • 一个合格的软件测试工程师应该具有的能力
    从事软件测试工作已经有一年之久了,从最初的啥都不懂,到现在能够熟练完成测试工作,我经历了很多,也成长了很多,在这一年多的日子里,我学到了很多东西。当然也许现在我还不是......
  • Linux入门及常用命令
    一、Linux学前分析1.为什么学习Linux-企业用人需要-个人发展需要2.什么是Linuxlinux是一个开源、免费的操作系统,其稳定性、安全性、处理多并发已经得到业界的认......
  • 软件测试工作经验分享
    一、测试阶段划分1、单个模块功能测试时间相对较长,但每一个项目都应该有专门的集成测试阶段,并且应该不止进行一轮。每一轮集成测试,应该都有自己的目的,比如第......
  • 常用命令
    more文件名//在终端上分屏显示文件类容cat文件名//在终端上直接输出文件类容cat//在终端上直接输入cat命令,然后再输入hello,会在终端上打印hello 输出重......
  • maven常用命令以及maven生命周期
    Maven常用命令和生命周期maven常用命令这部分内容了解即可,在maven中提供了一些命令,便于我们更便捷的去做一些事情,在不使用开发工具的情况下需要在pom.xml文件所在的目录地......
  • Maven项目管理软件
    1,MavenMaven是专门用于管理和构建Java项目的工具,它的主要功能有:提供了一套标准化的项目结构提供了一套标准化的构建流程(编译,测试,打包,发布……)提供了一套依赖管理......
  • vi常用命令
    ★命令模式移动光标h或向左方向键(←)→光标向左移动一个字元j或向下方向鍵(↓)→光标向下移动一个字元k或向上方向鍵(↑)→光标向上移动一个字元l......
  • VisionPro学习笔记(1)——软件介绍和基本使用
    前言自己使用visionPro已经有段时间了,最近也一直在研究其算子的理论,为了加深印象,计划将自己的学习笔记整理在博客园,当然其官方文档对如何使用及其各种算子都有详细的......
  • 业务-研发一体化,助力中国软件行业更新
    中国软件行业从未停止过持续的创新,线上研发效能及业务应用软件也不落后于时代进步的脚步,在持续的发展。2022年,业务应用开发正在简化,研发效能也在提升,其中不得不提软件在协同......