我就给大家讲几个常用的webshell获取方法。
1 上传
说到上传获得webshell,就不得不提大名鼎鼎的动网7.0SP2之前的文件上传漏洞了,那可是连官司方都没能幸免于难的啊!其中的成因吗不太好说,大概地说就是字符截断的问题。我们还是来看看怎么利用吧。这里我们要请出老兵的万能上传工具呢(图76),为什么叫万能上传工具呢?很简单,因为连大名鼎鼎的动网论坛都没有注意到这个严重漏洞,其它许多系统自然也避免不了,所以说这个工具是“万能”的,下面我们找一个没打过SP2补丁的dvbbs,注册一个帐号,登录进去后看有没有禁止上传,如果没有禁止,我们就是提取当前cookies保存起来(怎么提取?又忘了不是,前面不是说过可以用修改cookies浏览器提取吗?)然后在万能上传工具处填好漏洞url,欲上传的文件和cookies等信息(图77),点“上传”,不一会就提示成功了(图78),我们现在来访问这个上传后的文件,看,是不是得到一个shell呢(图79)
当然,并不是所有的系统都能用这个方法上传的。下面我再总结几个常见的上传方法。
1、进入后台直接上传。有些系统对管理员可是十分信任的哦,进了后台只要找到有上传的地方你就可以直接选匹马放上去,绝不会有任意阻拦(图80)。
2、添加上传类型上传。如果不能直接上传,可找找看有没有添加上传类型的地方,有的话添加一个ASP就可以了。当然,有些系统在代码中就限定了不允许上传ASP文件,不要紧,我们可以添加允许上传ASA、CER等文件,然后把.asp的后缀改为ASA或CER上传,一样可用的(图81)。
3、抓包上传。这里就要利用Win2000的一个小漏洞了,如果文件名的结尾是空格或“.“号,那么windows会自动把这个符号“吃”掉。那么,我们就可以添加允许上传“ASP ”文件,注意ASP后有个空格,ASP 可不等于ASP啊,所以代码里的限制就没用了。然后我们来到文件上传界面,选择一个ASP文件,先别上传。我们打开抓包工具Wsock Expert(图82),选择监控IE的上传窗口,然后回到上传界面,点击上传,提示上传失败。预料之中。我们来到Wsock Expert,找到刚才提交的数据包(图83),看到那个mm.asp没有,我们在这个后面加个空格,再用NC提交,成功上传!
4、利用表单冲突上传。用这个方法最典型的就是动力3.51的上传了。我们同样注册一个用户,来到发表文章处。切换到“源代码”模式,输入下面的代码:
<FORM name=form1 onsubmit="return check()" action=upfile_article.asp method=post encType=multipart/form-data><INPUT class=tx1 type=file name=FileName> <INPUT class=tx1 type=file name=FileName><INPUT style="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit></FORM>
再来到“预览”模式,是不是看到了两个选择上传文件的框却只有一个上传按钮啊(图84)?我们在第一个框处选择一个ASP文件,第二个框处选择一个jpg文件,然后点上传。可能会提示冲突,但我们返回“源代码”模式,就可以看到我们上传后的Webshell地址了。
5、利用代码对文件类型的限制上传。现在许多代码为了安全都限制了上传ASP文件,但一些代码的限制方法实在令我不敢恭维。我见过有些代码的限制方式是一遇到ASP就把它去掉的。那么,我们完全可以添加一个上传类型“ASASPP”,这样一来,在上传过程中代码会把中间为ASP去掉,后缀的自然也就变为ASP的了。
6、利用其它上传工具。老兵的万能工具虽名为万能,但因为有些系统的上传代码与动网的是有差异的,所以这个工具对它就失效了。我这里还收集了别的一上上传利用专用程序。比如去缘雅境的,操作起来也十分简单,相信大家都会用的。
(2)写入过滤不完全,
因为现在许多系统都是可以用FSO功能直接写入其文件的,如果写入文件的过滤不完全,也可以直接往里写个webshell,如动易的conife.asp。这里我要讲的是leadbbs后台友情链接添加处写入webshell,我们来到后台的添加友情链接处,点“新增友情链接”(图85),然后在“网站名称处填上冰方后浪子微型ASP后门式海洋的一句话木马,其它乱填(图86),然后我们用客户端连接,成功了吧!(图87)
除了对文件写入的过滤外,还有对数据库写入的过滤。当我们暴库得知数据库后缀为ASP,但用网际快车能下载时,我们就可以确定这个数据库里不包含ASP语句,那么我们只要找到一个可以写入数据库的地方,写入一句话木马,再用客户端连接,一样可以成功的。
3、后台备分及恢复
说起后台的备分和恢复获取webshell,我可算是颇有研究,也可以说是从这里起步学习技术的,先说说常规的方法吧,一般地,我们就是把一个ASP木马改为gif后缀上传,然后记下上传后的地址,下面,我们来到数据备分页面(图88),在“数据库路径”处填自己刚才上传的文件名,在“备分后路径”处填自己想要种马的地址,注意后缀为ASP(图89),点“备分”后我们就得到了自己想要的webshell。
但是,如果像动力一样不允许定义当前数据库地址呢?一样可以的,我们通过暴库术式后台看到动力的数据库地址,因为ASP的话,我们一样可以把一个ASP木马改为gif的型式,然后上传,现在,我们来到“数据库恢复”页面,看到没有,可以自定义恢复数据库的路径(图90),我们选择我们刚才上传的文件路径,恢复(图91),恢复成功后整个系统是用不了,但我们只须直接访问数据库地址就可以得到webshell了,当然,为了不被别人发现最好还是先把数据库备分好,得到shell后再用shell恢复回去。
上面一般说的方法就是我发表的第一篇文件《利用ACCESS得到webshell一文的补充》,至此,数据备分和恢复的利用似乎完了,其实还没有,还是那个动力系统,如果我们无法得到数据库地址,或者数据是mdb的,出放到了web外,我们不就用不了上面的方法了吗?
别急,再绕个弯子,我们来仔细看看这个动力系统,备分处限制了只能备分当前的数据库,不能备分其它文件,且备分后文件后缀限为ASA,但可以自定义文件名。恢复处只能把数据恢复到当前数据库文件,如果遇上本段开头提的那三种情况,我们把一个shell恢复出来也是没用的。既然不能直接弄出来,我们就老老实实恢复一个比较正常的数据吧。说是比较正常,那是因为这个数据库虽然对系统没有影响,但还是做过一些手脚的。
我们拿一个相同系统的空数据库,把<%nodownload%>表中的内容改为一句话木马(图92),然后再在后台添加允许上传MDB文件,上传。下面到数据恢复处把刚上传的文件恢复回去,这时系统仍是正常运行的。我们重新用默认的用户名admin,密码admin888登录后,再到数据备分的地方,把数据备分出来,然后用客户端连接这个备分的文件就可以了。
对于限制没那么严的动网,我们可以直接备分就行了。虽然7.1中对备分处做了限制(图93),但恢复处可设限制(图94),条件比动力宽松多了。
4、SQL导出。对于有注入点的SQL站点,我们还可以用黑客界中的丐帮帮主——就是那个臭要饭的发明的SQL写入导出大法得到webshell,其原理是在知道网站物理路径的情况下通过往SQL数据库中写入一个带木马的表,再将这个表导出,就得到webshell了。为了不让管理人员发现,我们还要删掉这个新建的表。那个臭要饭的还专门对此写了工叫getwebshell的工具(图95),使用起来也并不复杂,我也就不再说了。
温馨提示:答案为网友推荐,仅供参考