webshell有些什么权限?

一方面，webshell被站长常常用于网站管理、服务器管理等等，根据FSO权限的不同，作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。

另一方面，被入侵者利用，从而达到控制网站服务器的目的。这些网页脚本常称为WEB脚本木马，目前比较流行的asp或php木马，也有基于.NET的脚本木马。

Access数据库拿webshell：

首先看是否能找到网站漏洞进行网站的后台（sql注入等）或者通过扫描工具来看看是否网站有文件上传漏洞（在没拿到后台）。进入后台后，看看是否有数据库备份功能。

a)   如果有数据库备份功能，用一句话木马。通过各种方法，把这句话写入到数据库，再把写入这句话的数据库通过备份变为后缀名为.asp的文件。

当然要注意备份后的文件地址，然后进行访问，如果显示乱码，基本上成功了，然后通过一句话木马客户端进行连接，就连接出现乱码的那个页面，连接成功后，就可以看到webshell了。

b)   用图片上传功能。我们把asp木马的后缀改为图片的后缀名，如GIF，JPG，BMP之类的，进行上传，上传成功后，会提示上传成功，并且会给出文件位置；有时候可能不会提示，我们可以通过抓包工具进行抓包（如WSockExpert）。

抓到上传的路径；然后通过数据库备份的功能，把gif等图片的格式变为asp格式的数据库，进行访问，这时候我们通常就可以看到我们的WebShell了！但是目前目前有的网站会对这个进行检测，如果备份文件检查不出属于数据库。

则会提示“不合法的数据库”，既然要检测是否有数据库特征，那我们把图片加入数据库特征就可以了，我们可以通过DOS的COPY命令给图片加上数据库特征了，命令如下：COPY 木马图片.gif 数据库文件.mdb 合成后的文件.gif，这样，我们合成的图片就带有数据库的特征了！

防范这些WEBSHELL，首先是设置服务器的权限，禁止他们越权访问东西。服务器权限设置可以参考沉睡不醒整理的IIS FAQ （ http://fox.he100.com/showart.asp?art_id=121&cat_id=1），我这里就直接引用原文的内容了9.如何让iis的最小ntfs权限运行? 依次做下面的工作: a.选取整个硬盘： system：完全控制 administrator：完全控制 (允许将来自父系的可继承性权限传播给对象) b.program filescommon files： everyone：读取及运行 列出文件目录 读取 (允许将来自父系的可继承性权限传播给对象) c.inetpubwwwroot： iusr_machinename：读取及运行 列出文件目录 读取 (允许将来自父系的可继承性权限传播给对象) e.winntsystem32： 选择除inetsrv和centsrv以外的所有目录， 去除“允许将来自父系的可继承性权限传播给对象”选框，复制。 f.winnt： 选择除了downloaded program files、help、iis temporary compressed files、 offline web pages、system32、tasks、temp、web以外的所有目录 去除“允许将来自父系的可继承性权限传播给对象”选框，复制。 g.winnt： everyone：读取及运行 列出文件目录 读取 (允许将来自父系的可继承性权限传播给对象) h.winnttemp：（允许访问数据库并显示在asp页面上） everyone：修改 (允许将来自父系的可继承性权限传播给对象) 再单独对cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exetftp.exe telnet.exe设置为只允许administrators组访问，这样就可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了，再删除cacls.exe这个程序，防止有人通过命令行来修改权限，呵呵。 再来去掉一些ASP WEBSHELL需要使用的一些组件，这些组件其实普通的虚拟主机用户也是用不上的。 很多防范ASP木马的文章都提到要删除FileSystemObject组件，但删除了这个组件后，很多ASP的程序可能会运行不了，其实只要做好了前面的工作，FileSystemObject组件能 *** 作的，只能是自己目录下的文件，也就构成不了什么威胁了！ 现在看来，还比较有威胁的组件就是Shell.Application和Wscript.Shell这两个组件了，Shell.Application可以对文件进行一些 *** 作，还可以执行程序，但不能带参数，而Wscript.Shell可以 *** 作注册表和执行DOS命令。 防范Wscript.Shell组件的方法： 可以通过修改注册表，将此组件改名。 HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1 改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值 HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值 也可以将其删除，来防止此类木马的危害。 防范Shell.Application组件的方法： 可以通过修改注册表，将此组件改名。 HKEY_CLASSES_ROOTShell.Application 及 HKEY_CLASSES_ROOTShell.Application.1 改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了。 也要将clsid值也改一下 HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 也可以将其删除，来防止此类木马的危害。 还可以用现在绝大多数的虚拟主机都禁用了 ASP 的标准组件：FileSystemObject，因为这个组件为 ASP 提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等 *** 作（当然，这是指在使用默认设置的 Windows NT / 2000 下才能做到）。但是禁止此组件后，引起的后果就是所有利用这个组件的 ASP 将无法运行，无法满足客户的需求。 如何既允许 FileSystemObject 组件，又不影响服务器的安全性（即：不同虚拟主机用户之间不能使用该组件读写别人的文件）呢？这里介绍本人在实验中获得的一种方法，下文以 Windows 2000 Server 为例来说明。 在服务器上打开资源管理器，用鼠标右键点击各个硬盘分区或卷的盘符，在d出菜单中选择“属性”，选择“安全”选项卡，此时就可以看到有哪些帐号可以访问这个分区（卷）及访问权限。默认安装后，出现的是“Everyone”具有完全控制的权限。点“添加”，将“Administrators”、“Backup Operators”、“Power Users”、“Users”等几个组添加进去，并给予“完全控制”或相应的权限，注意，不要给“Guests”组、“IUSR_机器名”这几个帐号任何权限。然后将“Everyone”组从列表中删除，这样，就只有授权的组和用户才能访问此硬盘分区了，而 ASP 执行时，是以“IUSR_机器名”的身份访问硬盘的，这里没给该用户帐号权限，ASP 也就不能读写硬盘上的文件了。 下面要做的就是给每个虚拟主机用户设置一个单独的用户帐号，然后再给每个帐号分配一个允许其完全控制的目录。 如下图所示，打开“计算机管理”→“本地用户和组”→“用户”，在右栏中点击鼠标右键，在d出的菜单中选择“新用户”： 在d出的“新用户”对话框中根据实际需要输入“用户名”、“全名”、“描述”、“密码”、“确认密码”，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”。本例是给第一虚拟主机的用户建立一个匿名访问 Internet 信息服务的内置帐号“IUSR_VHOST1”，即：所有客户端使用 http://xxx.xxx.xxxx/访问此虚拟主机时，都是以这个身份来访问的。输入完成后点“创建”即可。可以根据实际需要，创建多个用户，创建完毕后点“关闭”：现在新建立的用户已经出现在帐号列表中了，在列表中双击该帐号，以便进一步进行设置： 在d出的“IUSR_VHOST1”（即刚才创建的新帐号）属性对话框中点“隶属于”选项卡： 刚建立的帐号默认是属于“Users”组，选中该组，点“删除”： 现在出现的是如下图所示，此时再点“添加”： 在d出的“选择 组”对话框中找到“Guests”，点“添加”，此组就会出现在下方的文本框中，然后点“确定”： 出现的就是如下图所示的内容，点“确定”关闭此对话框： 打开“Internet 信息服务”，开始对虚拟主机进行设置，本例中的以对“第一虚拟主机”设置为例进行说明，右击该主机名，在d出的菜单中选择“属性”： d出一个“第一虚拟主机 属性”的对话框，从对话框中可以看到该虚拟主机用户的使用的是“F:VHOST1”这个文件夹： 暂时先不管刚才的“第一虚拟主机 属性”对话框，切换到“资源管理器”，找到“F:VHOST1”这个文件夹，右击，选“属性”→“安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制（视不同情况显示的内容不完全一样），首先将最将下的“允许将来自父系的可继承权限传播给该对象”前面的对号去掉~~

---