网站木马＋webshell上传绕过方法

许心痕，QQ2063367671

SQL笔记还有一点内容接着讲下

如何使用SQLMAP自动化的注入

附加一个如何重新获取一个内网IP地址：cmd输入ipconifg/renew

注入的时候需要cookies登陆验证才可注入，这时候需要sqlmap神器和啊D（使用dvwa靶机进行测试的）

使用啊D，输入网址，然后登陆之后，会显示cookies，复制下来，打开sqlmap

如何检测：输入sqlmap -u “url” --cookies=“把刚才复制的cookies粘贴上去”（不是用dvwa靶机的话可以不需要用cookies登录验证，忽略掉cookie，-u后面加url就可以了，然后回车开始检测）

注入过程中会提示你选择y和n，你都选择y

如果显示一些paramter信息，说明是有sql注入点的，就可以去利用。

查看有哪些数据库文件：sqlmap -u “url” --cookies=“把刚才复制的cookies粘贴上去” --dbs

查看表： sqlmap -u “url” --cookies=“把刚才复制的cookies粘贴上去” -D 其中一个库名称 --tables

表里面查询列：sqlmap -u “url” --cookies=“把刚才复制的cookies粘贴上去” -D 其中一个库名称 -T 表名称 --colums

查看列里面的字段数：sqlmap -u “url” --cookies=“把刚才复制的cookies粘贴上去” -D 其中一个库名称 -T 表名称 -C 列 --dump （列可以多个列，每个列用逗号隔开）。然后提示你是否用字典去暴力破解，你选y回车就行了

现在讲web网站后门

web--服务器开放的web服务

shell-取得对服务器某种程度上的操作权限

webshell-匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限

webshell的特点

1、webshell大多是以动态脚本形式的出现，也可以称为网站的后门工具

2、webshell就是一个asp或者php木马后门

3、webshell可以穿越服务器防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。

4、webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员很难看出入侵痕迹。

5、黑客将这些asp或者PHP木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。黑客可以用web的方式，通过asp或者php木马后门控制的网站服务器，包括上传下载文件，查看数据库、执行任意程序命令等

webshell的主要功能

环境探针、资源管理器、文件编辑器、执行os命令、读取注册表、创建socket、调用系统组件等等

webshell扩展功能

1、权限提升：网站到系统

2、DDOS：替代传统僵尸网络

3、网页挂马：篡改网页

4、黒帽SEO：流量劫持

5、代理服务器：请求转发

6、端口扫描：隐蔽身份

7、内网检测：充分利用信息

webshell分类-基于功能强弱

1、全能型

2、文件管理

3、命令执行

4、上传型：负责上传大马

5、一句话型：极其精简

一句话木马配合中国菜刀连接

php的一句话木马：

aspx的一句话木马是：

asp的一句话木马是：

注：所有木马的密码是双引号、单引号里面的内容，也就是pass

webshell上传绕过方法

一、绕过前台脚本检测扩展名上传webshell

当用户在客户端上传文件的时候，客户端与服务器没有进行任何的信息交互

判断上传文件的类型是前台脚本文件来判断

白名单方式检测：允许jpg，png等文件上传，如果要上传php格式文件，可以后面加一个.jpg后缀，提交后用burp进行抓包拦截，把jpg后缀删除。

二、利用00截断上传webshell：利用PHP函数

1、include和require一般在网站内部读取文件

2、file_get_contents一般用于打开一个url或一个文件

3、file_exists判断文件是否存在

4、所有url中参数可以用%00控制

5、截断--本地文件包含

截断类型：php%00截断

截断条件：php版本小于5.3.4

php的magic_quotes_gpc为off状态

（1）当打开magic_quotes_gpc时，所有单引号、双引号。反斜线和null字符（%00）都会被加上一个反斜线进行转义

（2）还有很多函数有类似的作用：addslashes（）、mysql_escape_string()、mysql_real_escape_string()等

（3）当把magic_quotes_gpc关闭，PHP版本依然是5.3.10时，依然不能截断。所以证明，php版本和gpc两个条件都必须满足，才能截断。

（4）除了上面的，还有file_get_contents也能配合php％00利用。

（5）原理：利用程序员在写程序时对文件的上传路径过滤不严格，产生0x00上传截断漏洞，假设上传路径为：【http://xx.xx.xx.xx/upfiles/lubr.php.jpg】,通过抓包截断将【lubr.php】后面的【.】换成【0x00】（也就是burp抓包，利用十六进制，【.】的十六进制是2e，所以把2e替换为00，点击forword就可以上传了）。在上传的时候，当文件读到【0x00】时，会认为文件已经结束，从而将【lubr.php.jpg】的内容写入到【lubr.php】中，从而达到攻击目的。

三、构造图片马，绕过文件内容检测上传webshell

1、Windows捆绑技术:copy /b 主文件+追加文件 新生成文件

copy /b 7.jpg + 1.aspx c.jpg(将1.aspx的内容追加到7.jpg的文件中，并生成一个新的文件叫c.jpg

上传时候后缀名【.jpg】改为【.jph.aspx】

2、GetlmageSize函数

该函数是用来检测文件是否是有效的图片文件（内容特征），而非检测文件的扩展名

四、绕过服务器扩展名检测上传

1、IIS6.0解析漏洞

（1）在网站下建立文件夹的名字为*.asp、*.asa的文件夹，其目录内的任何扩展名的文件都被IIS当做asp文件来执行。例如创建目录vidun.asp，那么/vidun.asp/1.jpg将当做asp文件来执行

（2）网站上传图片的时候，将网页木马文件的名字改成“.asp;.jpg”，也同样会被IIS当做asp文件来解释执行。例如上传一个图片文件，名字叫“vidun,asp;.jpg”，该文件可以被当做ASP文件解析并执行。

2、apache解析漏洞

（1）不管文件后缀名是什么，只要是.php.*为结尾，就会被apache服务器解析成php文件。

（2）mime.type配置文件定义了apache能够解析那些文件的类型。

（3）当apache遇到xxx.php.rar或者xxx.php.111这些默认没有在mime.types文件定义的都会解析成php文件。

（4）原理：当浏览器将文件提交到服务端的时候，服务端会根据设定的黑白名单对浏览器提交上来的文件扩展名进行检测，如果上传的文件扩展名不符合黑白名单限制，则不允许上传，否则上传成功。将一句话木马的文件名【lubr.php】，改成【lubr.php.abc】。首先，服务器验证文件扩展名的时候，验证的是【.abc】(因为他是从文件名右边往左边解析的)，只要该扩展名服务器端黑白名单规则，即可上传。另外，当在浏览器端访问该文件时，apache如果解析不了【.abc】扩展名，会向前寻找可解析的扩展名，即【.php】。一句话木马可以被解析，即可通过中国菜刀连接。

完

本篇文章的编号是 ：32，在公众号聊天窗口输入编号直达本文

输入m获取文章目录

官方微信群请输入：二维码 获取二维码扫码进入，失效请联系公众号人工客服