如何获得webshell，能直接获取到webshell的方式

webshell本来是网站管理工具，直接传到网站目录然后就可以对网站进行增删改查等操作，但是目前的性质已经变了，变成了黑客的主流工具，获取到网站的webshell意味着网站全部内容都可以随便修改，而利用webshell还可以进行提权操作，进而获取服务器权限，而webshell一般都是在已经进入网站后台才进一步得到的，今天就讲讲怎么在后台获取webshell。

直接上传webshell

这种漏洞可能只有初级程序员才能写得出来了，通常第一步都会在后台找上传点，然后先尝试能不能直接上传，如果成功了，那就简单了，而能直接上传的话，也说明这个网站程序写得非常的差，连基本的过滤都没有。

配置文件

在网站找到系统设置的配置文件，直接插入一句话，如果成功了，再用菜刀连接，菜刀都能连接成功了，还怕拿不到webshell吗。

修改上传类型

有的后台会对文件类型进行各种过滤，但是也不妨碍我们获取webshell，这里就涉及到很多东西了，毕竟上传漏洞是非常重要的学习内容，里面包含很多种类型，简单举几个，扩展名验证绕过、mime类型验证绕过、截断上传等等。详细可以观看本站的文件上传漏洞专题课程。

网站栏目

上传一个图片格式的一句话，然后添加一个新栏目，在模板路径里填写图片的地址，然后预览新添加的栏目，再用菜刀连接。

cms拿shell

如果已经拿下了后台，一般也能知道是什么系统的网站程序了，这时候直接百度指定程序的拿webshell方法，如果非冷门或独立开发的cms，一般能找到方法的。

编辑器拿shell

一般编辑器都是使用第三方开发好的编辑器，找到编辑器的名字，在网上找相关漏洞，也能找到方法。例如FCKeditor、ewebeditor都是常见的有漏洞的编辑器。


上面讲到了一些主流的方法，但还不是全面的，对此小风教程网专门开发了这方面的教程，通过演示一些常见的后台获取webshell，让大家能通过视频学习到全部方法。详情进 后台获取webshell思路学习

• 06-03华为砖机如何自救？
• 12-20PHP代码审计入门篇bluecms
• 05-23键位与字根你了解多少？
• 01-11渗透测试前十培训机构有哪些？渗透测试培训机
• 06-10在线视频播放问题轻松解决，快来看看吧！
• 09-20web安全检测工具有哪些,web漏洞检测工具
• 03-21解析qq盗号网站的多种盗号方式
• 05-31盘点世界上最出名的十大黑客(每个都能改变历
• 02-21看黑客是如何获取你电脑最高权限的，shell提
• 05-11媒体调查学位论文查重乱象（为降重导致论文面
• 04-29如何让小学生成为黑客,小学生黑客怎么学,小
• 06-19做一名黑客需要哪些技能？黑客入门知识
• 09-16加密算法有几种形式,各有什么不同？
• 12-07Linux逆向之调试和反调试