拿webshell方法 webshellkiller

本文目录一览：

• 1、sql注入怎么获取webshell
• 2、怎么获得别人的webshell
• 3、利用IISPUT漏洞上传木马,获取webshell

sql注入怎么获取webshell

对于有注入点的SQL站点，我们还可以用黑客界中的丐帮帮主——就是那个臭要饭的发明的SQL写入导出大法得到webshell，其原理是在知道网站物理路径的情况下通过往SQL数据库中写入一个带木马的表，再将这个表导出，就得到webshell了。

通过该漏洞可以利用浏览器地址栏执行SQL语句来获取网站的WEBSHELL。

获得webshell首先要知道物理路径。关于物理路径的暴露有很多方法，注入也可以得到，就不再多说。

怎么获得别人的webshell

获得webshell首先要知道物理路径。关于物理路径的暴露有很多方法，注入也可以得到，就不再多说。

利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。

探测到了该网站存在漏洞之后，就要对该漏洞进行利用了。不同的漏洞有不同的利用工具，很多时候，通过一个漏洞我们很难拿到网站的webshell，我们往往需要结合几个漏洞来拿webshell。

利用IISPUT漏洞上传木马,获取webshell

1、扫描目标端口发现80端口，开放IIS服务。这里利用IISPUT漏洞的专用工具iiswrite来进行漏洞利用：（1）选择options方法探测主机所支持的请求方法 发现支持put和move方法即可进一步进行漏洞利用。

2、漏洞扫描开始检测漏洞，如XSS，XSRF，sql注入，代码执行，命令执行，越权访问，目录读取，任意文件读取，下载，文件包含， 远程命令执行，弱口令，上传，编辑器漏洞，暴力破解等。漏洞利用利用以上的方式拿到webshell，或者其他权限。

3、上传漏洞：检测Web网站的上传功能是否存在上传漏洞，如果存在此漏洞，攻击者可直接利用该漏洞上传木马获得WebShell。源代码泄露：检测Web网络是否存在源代码泄露漏洞，如果存在此漏洞，攻击者可直接下载网站的源代码。