50-webshell获取总结(cms获取方法、非cms获取方法、中间件拿Webshell方法)
获取Webshell的方法有很多,这里根据不同的获取途径进行分类:
CMS获取方法:
- 搜索引擎:通过搜索网站的CMS类型,然后查找相关漏洞。
- 社交媒体:通过分析客户、员工的社交媒体来获取内部信息。
- 第三方服务:如果网站使用第三party服务,可能存在未授权的访问。
- 网站分析工具:使用网站分析工具获取网站的CMS类型和版本。
非CMS获取方法:
- 登录面板漏洞:通过后台登录页面的漏洞获取Webshell。
- 文件包含漏洞:通过文件包含漏洞执行恶意代码。
- 编辑器漏洞:如果网站使用了编辑器,可能存在上传漏洞或者xss漏洞。
- 数据库漏洞:通过数据库的备份和恢复功能,上传恶意文件。
中间件拿Webshell方法:
- 应用程序服务器漏洞:如IIS、Tomcat、JBoss等中间件的远程代码执行漏洞。
- 数据库服务器漏洞:如Oracle、MySQL等数据库服务器的远程代码执行漏洞。
- 网络设备漏洞:如Cisco、Juniper等网络设备的远程代码执行漏洞。
具体的获取步骤和方法会根据目标的具体情况而有所不同,但以上提到的方法是在内网渗透中常用的一些手段。
评论已关闭