mysql低权限用户getshell_GetShell的姿势总结

原文来自SecIN社区—作者：WiHat

0x00 什么是WebShell

渗透测试工作的一个阶段性目标就是获取目标服务器的操作控制权限，于是WebShell便应运而生。Webshell中的WEB就是web服务，shell就是管理攻击者与操作系统之间的交互。Webshell被称为攻击者通过Web服务器端口对Web服务器有一定的操作权限，而webshell常以网页脚本的形式出现。常见的WebShell使用asp、jsp和php来编写，提供了如执行系统命令、文件上传下载、数据库管理等功能。

0x01 获取WebShell的方式

获取WebShell的动作又叫做GetShell，是渗透测试各项能力的综合体现，也是渗透测试一个重要的阶段性目标。
GetShell方式众多，常见如文件上传、SQL注入、命令执行、文件包含、解析漏洞等等。有时候一个漏洞即可GetShell，有时候则需要各种漏洞打一套组合拳方可。So，多交流，才能掌握更多GetShell骚姿势。

1.文件上传漏洞GetShell

通过利用任意文件上传漏洞可以最快获取WebShell，一般常见有三种情况：（1）直接上传木马文件到目标服务器；（2）绕过防护（以下不包括绕过WAF防护，以后有时间再介绍绕过WAF的姿势）限制上传木马文件；（3）CMS等的通用任意文件上传漏洞。在对目标进行渗透测试时，可从前后台头像修改、文件导入、图片上传等处寻找文件上传接口。此外，还需要根据识别的站点指纹寻找是否存在文件上传漏洞。以下是针对不同情况下上传WebShell的方式。

（1） 站点没有任何防护，且上传点未做安全校验，则可直接上传WebShell文件。

（2） 站点存在简单防护：

a) 前端校验文件后缀时，可先传允许的文件类型，然后抓包修改文件后缀。
b) MIME校验时，抓包修改Conten-Type为允许MIME类型。

（3） 绕过黑名单的方式：

a) 利用特殊文件后缀。如.php3、.php5、.php7、.phtml；asa、cer、cdx、aspx；jspx、 jsw、jsv、jspf等，但不一定都能被解析。
b) 配合Windows/Linux特性使用特殊字符，如上传.php::$DATA、“.php空格”等后缀的文件到Windows服务器，由于Windows的文件后缀中不能包含一些特殊符号，使得这些文件在保存在Windows服务器上时后缀只剩下.php。
c) Apache 1.x、2.2.x版本文件解析漏洞，.php.xx。
d) 后缀大小写，如pHp。
e) 在数据包中使用双filename，如filename=“1.jsp”; filename=“1.php”。

（4） 绕过白名单：

a) 00截断，要求PHP<5.3.4且magic_quotes_gpc为OFF状态。
b) 配合解析漏洞（见解析漏洞getshell