臺拿WEBSHELL方法總結

一、直接上傳獲得

這種對php和jsp的一些程序比較常見，MolyX BOARD就是其中一例，直接在心情圖標管理上傳.php類型，雖然沒有提示，其實已經成功了，上傳的文 件url應該是http://forums/images/smiles/下，前一陣子的聯衆遊戲站和網易的jsp系統漏洞就可以直接上傳jsp文件。文 件名是原來的文件名，bo-blog後臺可以可以直接上傳.php文件，上傳的文件路徑有提示。以及一年前十分流行的upfile.asp漏洞(動網 5.0和6.0、早期的許多整站系統)，因過濾上傳文件不嚴，導致用戶可以直接上傳webshell到網站任意可寫目錄中，從而拿到網站的管理員控制權 限。

二、添加修改上傳類型

現在很多的腳本程序上傳模塊不是隻允許上傳合法文件類型，而大多數的系統是允許 添加上傳類型，bbsxp後臺可以添加asa|asP類型，ewebeditor的後臺也可添加asa類型,通過修改後我們可以直接上傳asa後綴的 webshell了,還有一種情況是過濾了.asp，可以添加.aspasp的文件類型來上傳獲得webshell。php系統的後臺，我們可以添 加.php.g1f的上傳類型，這是php的一個特性,最後的哪個只要不是已知的文件類型即可，php會將php.g1f作爲.php來正常運行,從而也 可成功拿到shell。LeadBbs3.14後臺獲得webshell方法是：在上傳類型中增加asp ，注意，asp後面是有個空格的，然後在前臺上傳ASP馬，當然也要在後面加個空格！

三、利用後臺管理功能寫入

上傳漏洞基本上補的也差不多了,所以我們進入後臺後還可以通過修改相關文件來寫入webshell。比較的典型的有dvbbs6.0，還有 leadbbs2.88等，直接在後臺修改配置文件，寫入後綴是asp的文件。而LeadBbs3.14後臺獲得webshell另一方法是：添加一個新 的友情鏈接，在網站名稱處寫上冰狐最小馬即可,最小馬前後要隨便輸入一些字符，http:\\網站\inc\IncHtm\BoardLink.asp就 是我們想要的shell。

四、利用後臺管理向配置文件寫

利用"""":""//"等符號 構造最小馬寫入程序的配置文件，joekoe論壇，某某同學錄，沸騰展望新聞系統，COCOON Counter統計程序等等，還有很多php程序都可以，COCOON Counter統計程序舉例，在管理郵箱處添上[email protected]":eval request(chr (35))//, 在配製文件中就是webmail="[email protected]\":eval request(chr(35))//"，還有一種方法就是寫上[url=http://www.admin8.us/][email protected][/email]"%＞＜%eval request(chr(35))%＞＜%'，這樣就會形成前後對應，最小馬也就運行了。＜%eval request(chr(35))%＞可以用lake2的eval發送端以及最新的2006 客戶端來連，需要說明的是數據庫插馬時候要選前者。再如動易2005，到文章中心管理-頂部菜單設置-菜單其它特效，插入一句話"%＞＜%execute request("l")%＞＜%'，保 存頂部欄目菜單參數設置成功後，我們就得到馬地址http://網站/admin/rootclass_menu_config.asp。

五、利用後臺數據庫備份及恢復獲得

主要是利用後臺對access數據庫的“備份數據庫”或“恢復數據庫”功能，“備份的數據庫路徑”等變量沒有過濾導致可以把任意文件後綴改 爲asp，從而得到webshell，msssql版的程序就直接應用了access版的代碼，導致sql版照樣可以利用。還可以備份網站asp文件爲其 他後綴 如.txt文件，從而可以查看並獲得網頁源代碼，並獲得更多的程序信息增加獲得webshell的機會。在實際運用中經常會碰到沒有上傳功能的時 候，但是有asp系統在運行，利用此方法來查看源代碼來獲得其數據庫的位置，爲數據庫馬來創造機會，動網論壇就有一個ip地址的數據庫，在後臺的ip管理 中可以插入最小馬然後備份成.asp文件即可。在談談突破上傳檢測的方法，很多asp程序在即使改了後綴名後也會提示文件非法，通過在.asp文件頭加上 gif89a修改後綴爲gif來騙過asp程序檢測達到上傳的目的，還有一種就是用記事本打開圖片文件，隨便粘貼一部分複製到asp***文件頭，修改 gif後綴後上傳也可以突破檢測，然後備份爲.asp文件，成功得到webshell。

六、利用數據庫壓縮功能

可以將數據的防下載失效從而使插入數據庫的最小馬成功運行，比較典型的就是loveyuki的L-BLOG，在友情添加的url出寫上＜%eval request (chr(35))%＞, 提交後，在數據庫操作中壓縮數據庫，可以成功壓縮出.asp文件，用海洋的最小馬的eval客戶端連就得到一個webshell。