[ 渗透测试面试篇-3 ] Getshell常见方法总结

ops/2024/11/28 2:23:29/

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

  • 🍬 博主介绍
    • 3.1 注入getshell
      • 3.1.1 注入getshell方式
      • 3.1.2 注意
      • 3.1.3 举例
    • 3.2 上传 getwebshell
      • 3.2.1 上传 getwebshell方式
      • 3.2.2 注意
      • 3.2.3 上传过程可能遇到的问题
      • 3.2.4 举例
    • 3.3 RCE getshell
      • 3.3.1 RCE getshell方式
      • 3.3.2 注意
    • 3.4 包含getwebshell
      • 3.4.1 包含getwebshell 方式
      • 3.4.2 注意
      • 3.4.2 举例
    • 3.5 漏洞组合拳getshell
      • 3.5.1 漏洞组合拳getshell方式
      • 3.5.2 绕过既有认证+后台漏洞
      • 3.5.3 登录逻辑绕过、越权类
      • 3.5.4 XXE
      • 3.5.5 SSRF + RCE
      • 3.5.6 任意文件读取Getshell
    • 3.6 系统层getcmdshell
    • 3.7 钓鱼 getcmdshell
    • 3.8 cms后台getshell
    • 3.9 红队shell竞争分析

3.1 注入getshell

3.1.1 注入getshell方式

1.写权限+知路径:写shell
2.执行命令反弹CS马
3.后台SQL功能

3.1.2 注意

当然注入不一定都能拿到webshell,比如站库分离。但不管是否站库分离,只要权限够能够执行系统命令,反弹cmdshell 也是不错的选择。

3.1.3 举例

比如sa权限结合xp_cmdshell 存储过程(常见提权方式),直接执行powershell,反弹到cobalt strike。oracle成功率受限于与数据库版本以及注入点

3.2 上传 getwebshell

3.2.1 上传 getwebshell方式

1.前后台
2.上传功能
3.后台:备份、导入导出,模板

3.2.2 注意

上传漏洞对于getshell还是高频的,无论是前台上传点,还是后台(通过口令进入、或者XSS到后台、逻辑漏洞越权)上传点,当然也有可能要结合一些Web Server的解析漏洞。但像IIS和Apache解析漏洞因为太老,现在成功概率都小很多。
类似直接的上传漏洞就可以getshell的漏洞,例如IIS PUT上传、Tomcat PUT 上传,因为落脚点最终都跟上传有关系,这个就不单独去枚举。
还有一批像一些编辑器(FCK、editor、CKedtor…)存在上传漏洞可以getshell。这一系列,一般是基于信息收集确定是否存在漏洞,然后进一步利用。(发现漏洞比利用漏洞更艺术)

3.2.3 上传过程可能遇到的问题

这个期间可能涉及逻辑绕过、WAF对抗、杀软绕过、执行层,主要解决四点:

逻辑绕过:

代码或逻辑问题,可以上传脚本文件。

WAF对抗:

一躲过WAF对脚本文件及 上传内容的校验。

杀软绕过:

解决落地杀。

执行层:

本地js验证上传、服务器mime绕过、执行层、服务器文件头绕过、服务器filepath上传、双文件上传、%00截断上传、上传其他脚本类型。

3.2.4 举例

上传插件:

将shell添加到安装的插件中上传服务器拿shell。典型如wordpress

修改允许上传类型:

进入网站后台后找到上传点发现对上传有白名单限制,正好又可以添加白名单,可以将脚本格式写入白名单然后进行上传。如果容器允许的情况下,尝试上传与网站源码不同类型的脚本格式拿shell.

3.3 RCE getshell

3.3.1 RCE getshell方式

1.反序列化(java8php&aspx)
2.表达式注入OGNL/EL
3.PHP代码/章令执行

3.3.2 注意

RCE是统称,包括远程代码执行、远程命令执行。当然这两个概念还是有意思的,比如struts2漏洞有的叫命令执行有的叫代码执行。这都不重要。一般根据触发点来命名。 Java系的OGNL 表达式注入、EL注入、反序列化 PHP系列的eval 类、伪协议类 代码执行、system类命令执行 当然反序列化漏洞基本上编程语言都有,除了漏洞利用getshell,用作免杀后门webshell也是一个不错的思路推荐。正由于代码执行的部分结果是执行了系统命令,在命令执行的加持下,可以直接拿到应用或系统的shell,也是正统策略。

3.4 包含getwebshell

3.4.1 包含getwebshell 方式

1.PHP
2.ASPX/JSP后门系列
3.JSP包含+上传系列AJP .

3.4.2 注意

JSP、ASPx、PHP 都有文件包含,但PHP的包含好用:可以包含任意路径的任意后缀,能控制include类函数的输入结合系统特性文件或者上传的文件结合,可以拿到webshell。
JSP包含,默认情况下动态包含WEB路径下的JSP文件(静态包含可以包含任意后缀的文本文件,但不支持变量动态赋值暂不说明),比如CVE-2020-1938 Tomcat 文件包含漏洞,这个漏洞看上去是包含了任意格式的文件,但其实是因为AJP协议。
文件包含 可绕过waf拿webshell。借助文件包含躲避waf拦截。一般用来上大马用

3.4.2 举例

asp 包含代码

<!--#include file="123.jpg"-->:#调用的文件必须和被调用文件在同一目录,如果不在同一目录,用下面的语句:<!--#include virtual="文件所在目录/123.jpg"-->

php包含:

<?Php include('123.jpg'); ?>

命令执行:

echo ^<^?php @eval($_POST['cmd']);?^>^ > c:\1.php 
^<^%eval request("cracer")%^>^ > c:\1.php

3.5 漏洞组合拳getshell

3.5.1 漏洞组合拳getshell方式

XXE (+SSRF)
SSRF+RCE
文件读取+源码+vuls
弱口令+后台+上传
XSS/CSRF+后台+上传
逻辑漏洞&越权+上传

3.5.2 绕过既有认证+后台漏洞

口令爆破,进入后台多种漏洞的利用,包括前面提到的漏洞常见高危系列,还有一些备份还原、导入导出、模板编辑等功能。

3.5.3 登录逻辑绕过、越权类

搞定后台。进行典型漏洞利用 通过XSS钓到cookie,或者利用CSRF类漏洞“借刀杀人”搞到后台权限。进行典型漏洞利用。

3.5.4 XXE

XXE漏洞,最理想的状态就是直接可以代码执行(类似PHP expert);大多数还是以文件读取信息收集为主,结合源码或者配置文件(例如/etc/shadow、tomcat-users.xml等)getshell;还可以通过XXE的SSRF进行隔山打牛式getshell。
当然对于漏洞挖掘来讲,无论是xml格式还是json格式的POST数据包都值得多关注下。说不定就有惊喜呢。

3.5.5 SSRF + RCE

原理上SSRF可以结合所有RCE(反序列化、smysql … ;github 搜索SSRFmap、ssrf_proxy)的漏洞进行组合利用,只是我们在平常实例角度用SSRF+redis未授权用的多一些。

3.5.6 任意文件读取Getshell

正常的一般是通过读取web.xml 获取class文件,然后反编译,找到代码的一些漏洞。进而拿到系统的权限。当然还有文件读取加文件上传的曲折配合(任意文件读取漏洞的曲折历程)

3.6 系统层getcmdshell

暴力破解系统shell

3.7 钓鱼 getcmdshell

发送钓鱼邮件,捆绑的马,访问即加载、点击即执行类的马。 这一类攻击一般结合社工,例如借用IT管理员发送或某领导的账号去发送(所以这时候的邮箱的0day就非常重要了,当然如果在邮箱内部找到类似VPN或者密码表类,也不需要这么麻烦,一把梭…),可信度就高很多。对于红队来讲,钓的鱼儿还是以IT部门系列为主,普通办公区的主机权限还需要做更多的工作。

3.8 cms后台getshell

Cms 后台rce

3.9 红队shell竞争分析

拼信息收集,漏洞点,别人找不到,我找的到(例如移动端、物联网等接口信息,当然这种shell,一般距离核心应用可能也远一些); 拼利用速度,自动化一条龙(基本属于日常漏洞和工程化的积累); 拼0day (VPN — Mail — OA — java组件 — CMS — 关键设备 ); 拼细节漏洞,组合利用。(这是一篇“不一样”的真实渗透测试案例分析文章 ) 以上为本次所感所想,当然除了这种按照漏洞类型大类去分类,还有一些具体的漏洞也可以直接getshell,本次分析意义,就是在没有思路的时候,有个相对体系性思考框架。毕竟储备充足才会看上去像运气一样水到渠成,其实都是局部真相。


http://www.ppmy.cn/ops/137237.html

相关文章

RGB/INT8 输入注意事项

01 技术背景 在大多数情况下&#xff0c;我们都推荐用户在编译处理图像任务的模型时&#xff0c;将 input_type_rt 参数配置 nv12&#xff0c;这是考虑到视频通路传来的数据通常都是 nv12 类型&#xff0c;这样配置可以最大化地节约耗时&#xff0c;提高全流程的处理效率。 但…

三、计算机视觉_07YOLO图像分类

0、前言 在《LeNet5及手势识别案例》文章中&#xff0c;我们基于LeNet-5网络结构&#xff0c;根据【gestures】手势数据集做了模型训练和预测 YOLO作为目前CV领域的扛把子&#xff0c;分类、检测等任务样样精通&#xff0c;本文将根据之前的gestures】手势数据集&#xff0c;…

英文版本-带EXCEL函数的数据分析

一、问题&#xff1a; 二、表格内容 三、分析结果 四、具体的操作步骤&#xff1a; 销售工作表公式设计与数据验证 类别&#xff08;Category&#xff09;列公式&#xff1a; 在Category列&#xff08;假设为D列&#xff09;&#xff0c;根据ProductCode在Catalogue工作表中查找…

unity使用笔记

Build and Run, Player settings里面的设置或需要修改的内容如下&#xff1a; unityhub license过期解决办法&#xff1a;先登录账号&#xff0c;然后打开项目&#xff0c;跳转选择get free personal license即可使用&#xff0c;总之&#xff0c;要先登录&#xff0c;再弄li…

YB2503HV:高效率降压IC,助力电动车、太阳能设备等领域的能源转换

今天我要向大家介绍一款引人注目的产品—— YB2503HV 100V 3A SOP8内置MOS 高效率降压IC。这款单片集成芯片具备可设定输出电流的开关型降压恒压驱动器功能&#xff0c;可广泛应用于电动车、太阳能设备、电子电池充电等领域。让我们一起来看看它的特点和应用吧&#xff01; 首先…

IM项目-----ElasticSearch

文章目录 前言ES介绍建立索引创建索引 新增文档删除文档修改文档查询文档ES和Mysql数据如何保证一致 前言 ES介绍 在IM项目中通过引入ES,支持了用户搜索和历史消息的搜索。传统的关系型数据库主要是用于事务的复杂操作&#xff0c;对于这种需要模糊匹配的查询语句&#xff0c;…

Java 对象头、Mark Word、monitor与synchronized关联关系以及synchronized锁优化

1. 对象在内存中的布局分为三块区域&#xff1a; &#xff08;1&#xff09;对象头&#xff08;Mark Word、元数据指针和数组长度&#xff09; 对象头&#xff1a;在32位虚拟机中&#xff0c;1个机器码等于4字节&#xff0c;也就是32bit&#xff0c;在64位虚拟机中&#xff0…

跨子网通信的具体流程

TCP/IP 数据包的封装&#xff08;发送方&#xff09;&#xff1a; TCP 封装&#xff1a;应用程序的数据被 TCP 协议封装为一个 TCP 数据段&#xff0c;包含序列号等信息。IP 封装&#xff1a;TCP 数据段被 IP 协议封装为一个 IP 数据包&#xff0c;包含源 IP 和目标 IP 地址。M…