HeyBoy's Blog

Hello World,Hey Boy~ [+] Menu


拿webshell的思路总结

渗透测试

1.通过web漏洞拿webshell

能直接拿webshell的有文件上传,文件包含,sql注入,命令执行。也可以和其他漏洞配合使用。

2.进后台拿webshell

使用sql注入,xss,弱口令进后台,找文件上传,数据备份,模板编辑,文件管理,sql执行功能点进行利用。

3.通用漏洞拿webshell

确定目标网站使用的cms,寻找公开漏洞,如果有源码,可结合进行审计。如果目标网站未知cms,则参考第一条。

寻找网站的第三方组件,编辑器,phpmyadmin,中间件,框架的漏洞。

Written by Jason Wang. Published on .