webshell

当你的才华 还撑不起你的野心时 那你就应该静下心来学习 代码审计学习线上实验，都是CE一边实操，一边整理的笔记，方便以后翻看时，可快速查阅。 目录 文件上传漏洞 简介 实例 文件上传漏洞防御 文件上传漏洞 文件上传漏洞是一个危害巨大的漏洞，通过上传WebShell更是将这种漏洞的危害无限扩大。攻击者在受影响系统放置或者插入WebShell后，可通过该WebShell更轻松，更隐蔽的在服务中为所欲为。 简介 文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。 文件上传漏洞大多是没有限制上传的文件格式，导致可以直接上传危险文件，并且部分文件上传漏洞的利用技术门槛非常的低，对于攻击者来说很容易实施。 PHP文件上传相关函数： move_uploaded_file() move_uploaded_file(file,newloc): • move_uploaded_file() 函数将上传的文件移动到新位置, 若成功，则返回 true，否则返回 false 参数 描述 file 必需。规定要移动的文件 newloc 必需。规定文件的新位置。 实例 未对上传文件格式进行限制，则可以上传危险文件 upload.php <!DOCTYPE html> <html> <head> <title>文件上传</title> </head> <meta

摘要：PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一，国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞。本文描述了常见的PHP命令注入攻击漏洞存在形式和利用方法，结合漏洞实例进行分析和漏洞利用，并针对如何防范PHP命令注入攻击漏洞给出了可行的方法和建议。 PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一，国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞。本文描述了常见的PHP命令注入攻击漏洞存在形式和利用方法，结合漏洞实例进行分析和漏洞利用，并针对如何防范PHP命令注入攻击漏洞给出了可行的方法和建议。 Command Injection，即命令注入攻击，是指由于Web应用程序对用户提交的数据过滤不严格，导致黑客可以通过构造特殊命令字符串的方式，将数据提交至Web应用程序中，并利用该方式执行外部程序或系统命令实施攻击，非法获取数据或者网络资源等。命令注入攻击最初被称为Shell命令注入攻击，是由挪威一名程序员在1997年意外发现的，他通过构造命令字符串的方式从一个网站删除网页，就像从硬盘中删除一个文件一样简单。下面我们结合PHP语言的特性，对PHP命令注入攻击进行简要的分析和描述。 PHP命令注入攻击 PHP命令注入攻击存在的主要原因是Web应用程序员在应用PHP语言中一些具有命令执行功能的函数时

各类黑客大马默认密码后门 通过goole hack 语法 搜索 incontent: xx黑客 留的后门 黑羽基地免杀asp大马 密码5201314 Hacked By CHINA! 密码china Asp站长助手6.0 密码584521 web综合安全评测 - Beta3 密码nohack 未知数X 密码45189946 baidu｝" 密码baidu 路遥知马力 密码123 黑客网站之家 美化版 密码chenxue Thé、End.゛ 密码and QQ：913720787 笑佛天下 密码cnot 西域小刚-站长助手-修改版本 密码xxoxx XXXXX 密码rinima 暗组超强功能修正去后门加强S-U提权版 密码hkk007 黑客官方-长期提供网站入侵,密码破解 数据库入侵 密码chengnuo ASPAdmin_A 密码"5556661221" '123456 火狐ASP木马(超强版)" 密码wrsk 雨夜孤魂 密码54321 Dark Security Team 密码yuemo 随风自由的泪 密码jcksyes 伟大的农民 密码521 mr.con asp小马 密码******* JspX 密码4lert 围剿专版 密码yuemo或者5201314 maek dream 密码hacker Shell 密码xxxxx 靈魂◆安全小组+" 密码10011C120105101

phpdisk是目前互联网最大的网盘开源系统，采用PHP语言开发，mysql数据库架构，我们SINE安全在对其网站安全检测以及网站漏洞检测的同时，发现该网盘系统存在严重的sql注入攻击漏洞，危害性较高，可以直接获取网站的管理员账号密码，利用默认后台地址登录，可以直接获取webshell权限。 目前phpdisk最新版本为7.0版本，该网站系统可以用于公司办公，企业内部文件共享，文档存储，比传统的FTP软件更为直观，操作，简单方便，快捷，用户上传文件格式可以后台设置，人性化，满足了很多企业以及个人用户的青睐，使用的人越多，针对于该网站的漏洞挖掘也会越来越多，很容易遭受到攻击者的攻击。关于该网站的sql注入攻击漏洞的详情，我们SINE安全来详细的跟大家讲解一下： SQL注入漏洞详情 phpdisk有多个版本，像gbk版本，utf8版本，在代码当中都会相互转换代码的功能，在对代码进行转化的同时多多少少会存在漏洞，该sql注入漏洞产生的原因就在这里，我们对代码进行安全审计后发现编码转换调用的是conver_str函数，大部分的网站对编码的转换都调用这个参数，在进行转化的时候进行了多次转义操作，我们追踪代码发现iconv存在sql宽字节注入漏洞，代码截图如下： 另外的一处sql注入漏洞是在代码文件里，根目录下的ajax.php文件。我们来看下代码：

昨晚凌晨收到新客户的安全求助，说是阿里云短信提示，网站有webshell木马文件被植入，我们SINE安全公司立即成立，安全应急响应小组，客户提供了阿里云的账号密码，随即登陆阿里云进去查看到详情，登陆云盾看到有这样的一个安全提示“网站后门-发现后门(Webshell)文件”事件等级：紧急，影响资产：阿里云ECS：ID，然后贴出了网站木马文件的路径地址：/www/wangzhan/safe/indnx.php。 网站安全事件说明：云盾检测到当成有异常进程在尝试向磁盘上写入WEBSHELL后门文件，导致1次入侵，如果该行为不是您主动执行，请及时删除对应文件。 阿里云解决方案：请及时排查WWW目录下是否存在WEBSHELL，并及时清除。看到阿里云给的木马路径以及解决方案，随即登陆客户的linux服务器，查看到www目录下确实多出一个indnx.php的文件，用SFTP下载下来这个文件并打开，看到是一些加密的代码，一看就是木马代码，如下图： 这些加密的字符，也就是webshell，那到底什么是webshell?我们SINE安全来给大家普及一下，就是网站木马文件，相当于咱电脑里的木马病毒，可以对网站代码进行修改，上传，下载等木马功能。Webshell一般是asa,cer,asp,aspx,php,jsp,war等语言的脚本执行文件命名的，也可以叫做是网站后门

Metinfo CMS系统被爆出网站存在漏洞，可上传任意文件到网站根目录下，从而使攻击者可以轻易的获取网站的webshell权限，对网站进行篡改与攻击，目前该网站漏洞影响范围是Metinfo 6.2.0最新版本，以及以前的所有Metinfo版本都可以利用，关于该Metinfo漏洞的详情我们来详细的分析： 首先该网站漏洞的利用前提是windows系统，PHP语言的版本是小于5.3，相当于旧的服务器都会按照这个环境来配置网站，我们来看下出现漏洞的代码，Metinfo在上传方面写了一个专门的上传功能，非常的强大，使用doupfile进行上传，我们来看下代码，如下图所示： 我们从上面的代码中可以看出上传文件有一些模式，还有变量的信息，info这个变量是可以控制的，我们看下upfile跟upload调用的方法是什么作用，追踪分析代码发现这个是用来存储上传文件的路径信息的，这2个变量值会直接将上传的路径给改变，这也是该漏洞产生的原因，我们接着继续分析代码的漏洞，Metinfo在使用doupfile上传的时候回对上传的文件名进行安全过滤，基本的一些脚本文件都已经过滤掉了，只能上传一些图片格式的文件，使用白名单安全机制对上传进行了严格的安全限制。 看来通过改变上传文件的格式是没有办法绕过上传，我们继续分析代码，上传文件的路径这里可以进行目录的更改,发现代码有编码的转化功能，如果路径里含有.

网站被黑，打开网站竟然跳转到博cai网站上去了，一开始以为自己看错了，多次从百度点击自己网站进去，还是会跳转到彩piao网站上，第一反应是自己的网站被黑了，经营网站很多年了，从来未遇到过这种情况。 先来看下网站被黑的情况，从百度里输入自己的网站域名，发现自己网站的快照被改成什么北京sai车，北京pk10等等内容，还被百度提示，说什么百度网址安全中心提醒您：该页面可能已被非法篡改！搞的我头都大了，我说呢最近网站的排名下降的厉害，原来是网站被黑，导致网站被降权，客户都搜索不到我们公司网站了。 那么该如何解决网站被黑？ 防止网站被黑呢？ 我从百度里查询了好多关于网站为什么被黑的原因，总结了一下，首先网站被黑的最根本原因是网站存在着漏洞，攻击者利用网站的漏洞，进入了网站的后台。再一个原因是网站的后台管理员账号密码比较容易猜测到，FTP的账号密码也被容易猜测到，还有就是网站存在上传的漏洞，导致可以上传网站木马后门进来。 大体上我了解清楚了，网站被黑的主要原因是：我的网站有漏洞，这个网站一开始的建设，设计都是我在负责，采用的是ecshop商城系统，php+Mysql数据库架构开发的，网站存在漏洞，那就要检查网站的漏洞到底是在哪里，包括网站存在哪些后门，病毒什么的。连接我们网站的FTP，下载了所有代码，图片，数据库文件到自己的电脑里，百度搜索ecshop漏洞

镜像下载地址： https://www.vulnhub.com/entry/lampsecurity-ctf6,85/ 主机扫描： ╰─ nmap -p- -sV -oA scan 10.10.202.130 Starting Nmap 7.70 ( https://nmap.org ) at 2019-10-21 08:57 CST Nmap scan report for 10.10.202.130 Host is up (0.0029s latency). Not shown: 65525 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 4.3 (protocol 2.0) 80/tcp open http Apache httpd 2.2.3 ((CentOS)) 110/tcp open pop3 Dovecot pop3d 111/tcp open rpcbind 2 (RPC #100000) 143/tcp open imap Dovecot imapd 443/tcp open ssl/http Apache httpd 2.2.3 ((CentOS)) 624/tcp open status 1 (RPC #100024) 993/tcp open ssl/imap Dovecot

K8工具集 比较全，底部有下载网址。 综合工具 [+] 扫描工具 K8Cscan5.3 大型内网渗透扫描器内置27个功能,支持Cobalt Strike [+] 综合工具 K8飞刀Final.rar [+] K8data.mdb K8飞刀漏洞数据库20190402 [+] K8expList.txt K8飞刀漏洞利用列表 提权工具 [+] 提权工具 CVE-2019-0803.exe Win32k漏洞提权工具 [+] 提权工具 iislpe.exe IIS全版本提权(仅限IIS帐户、服务帐户) [+] 提权工具 pr.exe pr有参版 pr0无参版（巴西烤肉:国内10年所说的PR或IIS6提权） [+] 提权工具 k8uac_20181125[K8].rar 目前还支持全版本WIN7-Win10 [+] 提权工具 bypassUAC_Win7_10[K8team].rar 13还是15年？Win10打补丁失效 [+] 提权工具 bypassUACexe_0419[K8].rar 13年的吧 打补丁的WIN7好像不支持了 [+] 提权工具 Lpk提权_K8.rar DLLHijack [+] 提权工具 Usp10提权_K8.rar DLLHijack [+] 提权工具 MS11-046.exe [+] 提权工具 MS11-080.exe [+] 提权工具 MS14-068

1，SER-TU提权（通常是利用SERFTP服务器管理工具，首先要在安装目录下找到INI配置文件，必须具备可写入的权限） 2，RADMIN提权（大家并不陌生，我们在扫描4899空口令后，同样需要他来连接） 3，PCANYWHRER提权（也是远程客户端软件，下载安装目录的CIF文件进行破解） 4，SAM提权（SAM系统帐户，通常需要下载临时存放的SAM文件，然后进行HASH破解） 5，NC提权（利用NC命令，反弹一个端口，然后TELNET远程去连接一个端口，虽然权限不够大，但结合巴西烤肉，也是能够成功的） 6，PR提权（PR提权，这个就不多说了，最好是免杀的PR大杀器，这样更方面我们去操作） 7，IIS提权（IIS6.0提权，首先需要获取IIS的配置信息，利用工具进行添加后门用户） 8，43958提权（如果SER-TU有直接读入和执行的权限，那么我们就可以直接提权） 9，PERL提权（PERL提权通常是针对PERL文件夹下的提权方式，利用DIR目录%20NET USER这样来建立后门用户） 10，内网LCX提权（转发工具LCX，通常需要先本地监听一个端口，然后转发，针对内网，用本地的127连接对方的3389） 11，启动提权（如果服务器启动项有能够执行的权限，那么应该说管理员的技术肯定不精湛） 12，替换服务提权（替换某个服务EXE，比如SER-TU，可将原有的删除