拿到webshell后怎么使用

就以海洋2006ASP木马为例说说webshell的一些基本使用方法。 首先，我们来下载海洋2006木马文件包，解压后会发现七个文件，它们分别是：2006asp、unpackvbs、2006×exe、2006×2exe、2006Zese、hididiini、ReadMeTxt。其中2006asp就是ASP木马的主文件，我们用记事本打开这个主文件，把默认密码lcxmarcos改为自己想要的密码，当然不改也行），然后用前面说的方法把这个文件放到网上去。用密码登录后，看到所示页面。这里列举了十三项大的功能，我只是就其中的一部分来讲解，其它的请各位自己去摸索。 首选看第8项功能：FSO文件浏览 *** 作器，FSO大家应该很熟了吧，点击进入后界面。如果权限足够的话，我们可以在这里对服务器上任何的盘符进行包括新建，删除，读取，修改，修改属性，运行等文件 *** 作，具体怎么做不用我教了吧？ 下面再来看wscripcshell程序运行器，进入该功能后会出现如图98所示界面，如果服务器不支持FSO，可以尝试在这里里输入cmd命令执行，例如我这里执行dir c:\，看C盘的目录是不是都列出来了呢。另外，如里用默认的cmd路径无法执行，我们可以自己上传一个cmdexe到有执行权限的目录，然后填好文件路径再执行。 下面我们再来看看海洋2006ASP木马的第1—5项功能，这些有了是帮助我们收集服务信息的，有助于我们进一步的入侵。进入“系统服务信息”后，我们就可以看到系统打开的所有服务和详细说明。 进入“服务器相关数据”后，我们就可以看到系统参数，系统磁盘，站点文件夹，终端端口等信息，如图101所示。而“服务器组件探针”则可以列出服务器上各组件的名称和支持情况 “系统用户和用户组信息”可以帮我们列出服务器上所有用户、用户组的详细信息。 客户端服务器交互信息是为我们列出服务器上Application、Session、cookies等信息的地方 另外，第十一个功能“文件打包功能是海洋2006新增的一个亮点，它可以不用winrar打包服务器上的文件夹，无论是否支持FSO都能完成，打包好后，我们可以在海洋2006木马的同级目录下找到hyfopmdb文件，下载回来后用unpackvb3解压就可以了。另外，如果服务器支持FSO，我们也可以用这个功能在服务器上解包。 海洋2006ASP木马还增加了“一些零碎的小东西”，其中比较实用的有注册表的读取功能，填斥了注册表的键值路径后，点“读取”就能读出注册表键值了。 除了海洋ASP木马的主体文件外，它的压缩包里的其它文件也是大有用途，刚才说了unpackvbs是解压打包为拥的，现在来说说，生成一句话代码的c/s端。前面讲入侵时我讲过许多次一句话木马，这个一句话木马怎么得到呢？其实可以用海洋的c/s端生成啊！运行2006×exe，运行后 所示，按“打开”选择木马文件2006-asp，再填好服务端密码，按“转换”就会生成一个名为2006asphtm的客户端，然后再按“生成服务端页面”选择好存放路径及文件名后就生成一句话木马了，把这个木马插入到服务器的一个ASP文件中，用客户端连接，我们就可以往服务器写入任意代码了。 另外，我们还可以自己定制海洋2006的功能，如我们只需要FSO文件浏览器，我们就运行2006Zexe，在“页面选择”外选FSO文件浏览 *** 作器，选择好源文件2006asp和生成后的文件各后点“生成”一个只有FSO文件浏览器功能的木马就生成了，是不是很方便啊？ （2）ASP木马的加密及防杀 随着ASP木马的泛滥，杀毒软件也打ASP木马列为严厉打击的对象。我们辛辛苦苦也得到了后台管理权上传webshell却被杀毒软件给kill了岂不太可惜了？别急，想想如果马儿被杀我们该怎么做呢？不错，要么换匹不被杀的，要么加壳。ASP木马也是一个理想，要么换，要么加密。 先说换吧，就ASP木马而言，海洋的名气最大，当然成为各杀毒厂商重点打击的对象了。既然海洋不能用，我们就用老兵的ASP站长助手60吧，不知是不是杀毒的真把这文件当成是站长的管理助手了，杀它的软件比杀海洋的少了许多，但其实这个文件的功能一点也不比海洋差。当然，ASP站长助手有时也是会被kill掉的，那我们就用海洋的一句话木马吧。可能是这一句话中的“特征码”不太好找吧，我一直没见有杀毒来杀它。 还有一个免杀的方法就是对ASP木马进行加密。这里我们要用到一个工具——ASP木马加密免杀工具，这个工具 *** 作很简单，选好木马的源文件，先点“转换”，过一会后再点“加密”就可以了，这里我就不多说了。

1拿到webshell 一般就拿到了网站服务器GUEST权限（IIS>60的情况），tomact默认windows情况下是SYStem权限，WEBSHELL对爱提权的人来讲是 GUSTES 权限到administrator权限的过度。
2对不爱提权的人来讲，可以挂马（挂上自己的盗号木马），可也改主业 等等。，
3还可以上传文件，打包源码等等。如上传文件的利用可以用来提权，那些功能都是相互交叉的 呵呵。。。
END

一方面，webshell被站长常常用于网站管理、服务器管理等等。根据FSO权限的不同，作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。另一方面，被入侵者利用，从而达到控制网站服务器的目的。这些网页脚本常称为web。脚本木马，目前比较流行的asp或php木马，也有基于NET的脚本木马。对于后者我本人是极度反对的，毕竟人要厚道。3、webshell的隐蔽性有些恶意网页脚本可以嵌套在正常网页中运行，且不容易被查杀。webshell可以穿越服务器防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。虽然很多后门都可以被杀毒软件等检查出来，但是很多入侵者会把webshell后门代码加密等处理，以使webshell免于被查杀，这被成为免杀，相应的后门被成为免杀后门4、常见webshell提到webshell，那就一定要提到“海阳顶端网asp后门”这应该是asp后门中最有名的了，后面还有“杀手十三”等功能丰富的后门出现！一句话后门 <%eval request("value")%> 或者 <%execute request("value")%> 或者 <%execute(request("value"))%> 或者他们的加密变形！当然webshell还有jsp，php等多种脚本形式的从根本上解决动态网页脚本的安全问题，要做到防注入、防暴库、防COOKIES欺骗、防跨站攻击等等，务必配置好服务器FSO权限。希望看过本词条的人，希望您们能到百度的“webshell”贴吧进行讨论。今天我们就讲讲这个话题！webshell是web入侵的脚本攻击工具。简单的说来，webshell就是一个asp或php木马后门。黑客在入侵了一个网站后，常常在将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。

如何防止网站被上传WebShell网页木马

1 )网站服务器方面，开启系统自带的防火墙，增强管理员账户密码强度等，更改远程桌面端口，定期更新服务器补丁和杀毒软件。

2）定期的更新服务器系统漏洞（windows 2008 2012、linux centos系统），网站系统升级，尽量不适用第三方的API插件代码。

3）如果自己对程序代码不是太了解的话，建议找网站安全公司去修复网站的漏洞，以及代码的安全检测与木马后门清除，国内推荐SINE安全公司、绿盟安全公司、启明星辰等的网站安全公司，做深入的网站安全服务,来保障网站的安全稳定运行，防止网站被挂马之类的安全问题。

4）尽量不要把网站的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号组合。

5）网站后台管理的路径一定不能用默认的admin或guanli或manage 或文件名为adminasp的路径去访问。

6）服务器的基础安全设置必须要详细的做好,端口的安全策略，注册表安全，底层系统的安全加固，否则服务器不安全,网站再安全也没用

其实也不难``
你上传一个cmdexe
文件
到webshell里``!
然后点cmd命令``
前面有一个根据什么文件打命令``
看你是什么ASP木马`
`~
然后你就能打dos命令了``
就可以运行你上传的文件了``

1Microsoft
NetMeeting
是为全球用户提供了一种通过Internet进行交谈、召开会议、工作以及共享程序的全新方式。NetMeeting具备以下多种功能：通过Internet或Intranet向用户发送呼叫通过Internet或Intranet与用户交谈看见您呼叫的用户与其他用户共享同一应用程序在联机会议中使用白板画图检查快速拨号列表，看看哪些朋友已经登录发送在交谈程序中键入的消息在自己的Web页上创建呼叫链接向参加会议的每位用户发送文件。这个回答您知道了么

2顾名思义，"web"
-
显然需要服务器开放web服务,"shell"
-
取得对服务器某种程度上 *** 作权限。
webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上 *** 作的权限,由于其大多是以网页脚本的形式出现，也有人称之为网站后门工具。

3在Windows
XP中，“
信使服务
”在服务列表中名称为“Messenger”，该服务用来传输客户端和服务器之间的Net
Send和Alerter（报警器）
需要注意的是只有在xp
sp2及其以其版本才存在，从sp2之后微软就取消了，vista和win7上根本就不存在了。
默认情况下，“信使服务”是打开的，所以当你的电脑连接到Internet上时，一些网站（包括厂商网站）可以通过该服务发送一些信息，在目标用户的计算机上会d出一个名为“信使服务”的对话框。
关闭方法
：单击Windows“开始”菜单，单击“运行”。在“打开”框中，键入“net
stop
messenger”。单击“确定”按钮。

---