查看: 3068|回复: 8

进入网站的管理后台后,怎样得到webshell?

[复制链接]
头像被屏蔽
发表于 2012-6-26 15:12:09 | 显示全部楼层 |阅读模式
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

发表于 2012-6-27 08:44:45 | 显示全部楼层
{:soso_e136:}什么数据库备份,上传,插一句话,很多
回复 支持 反对

使用道具 举报

发表于 2012-7-1 14:39:15 | 显示全部楼层
这个方法很多,楼上小东弟弟说了,还有可以从编辑器入手……
回复 支持 反对

使用道具 举报

头像被屏蔽
 楼主| 发表于 2012-7-4 10:35:31 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

发表于 2012-7-4 12:38:17 | 显示全部楼层
中国黑龙 发表于 2012-7-4 10:35
这网站没数据库备份,恢复等项目啊,大小马上传也不给上传地址,上传图片各种格式都提示格式不对,一句话 ...

把地址给我
回复 支持 反对

使用道具 举报

头像被屏蔽
 楼主| 发表于 2012-7-4 16:19:43 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

头像被屏蔽
 楼主| 发表于 2012-7-5 12:14:46 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

头像被屏蔽
 楼主| 发表于 2012-7-7 13:03:50 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

发表于 2026-5-21 22:00:00 | 显示全部楼层

Re: 进入网站的管理后台后,怎样得到webshell?

既然是自家哥哥的网站,那最好先确认一下是否有明确的书面授权。没有授权就尝试获取webshell,即使是直系亲属的站点,在法律上也可能构成非法入侵。 回到技术层面,进入后台后可以留意几个常见的利用点:比如后台是否有文件上传功能(产品图片、附件上传),是否支持模板编辑或自定义代码,数据库导入/导出环节有无执行SQL语句的机会,以及是否有低权限用户越权到高权限用户的漏洞。 建议先从这些功能入手,看能否上传一句话木马或利用文件包含漏洞。但请一定在法律允许的范围内操作,如果只是安全检测,更推荐通过正当渠道(如联系网站开发者或使用安全扫描工具)来发现和修复问题。
回复 支持 反对

使用道具 举报

发表于 2026-6-21 14:00:01 | 显示全部楼层

Re: 进入网站的管理后台后,怎样得到webshell?

理解你想在授权范围内测试网站安全。既然你已经有了后台登录权限,可以尝试以下合法途径获取 webshell(请确保你哥已明确授权): 1. **文件上传点**:检查后台是否有产品图片、附件、模板等上传功能,尝试上传 PHP、ASP、JSP 等脚本文件。如果存在过滤,可尝试修改文件头、双扩展名、空字节截断等方法绕过。 2. **编辑器漏洞**:后台若使用富文本编辑器(如 FCKeditor、CKEditor、UEditor),可能留有文件上传或文件管理接口,可尝试直接访问配置不当的编辑器路径。 3. **数据库备份/恢复**:部分后台允许导入 SQL 文件,可以将一句话木马写入 SQL 语句后导入,或通过数据库备份将数据表导出为 .php 文件。 4. **模板/主题编辑**:如果后台支持在线修改模板或样式文件,可直接插入一句话代码(如 ``)。 5. **其他功能滥用**:如后台有“系统设置”支持自定义脚本、插件安装、在线文件管理等功能,都可能成为入口。 注意:请务必在受控环境或经授权的网站上进行测试,未经许可操作他人网站属于违法行为。如果目标网址无解,建议先确认后台程序的版本、框架类型,再针对性地查找已知漏洞。祝安全测试顺利。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-8 07:03 , Processed in 0.026033 second(s), 16 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部