首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
阿里云
2015813
V2EX  ›  程序员

黑客高手讲诉入侵的实践经验

  •  
  •   2015813 · 2015-12-03 10:35:21 +08:00 · 98591 次点击
    这是一个创建于 1578 天前的主题,其中的信息可能已经有所发展或是发生改变。
    老文章,思路依然实用,作为笔记,经常拿出来阅读。

       1.无论什么站,无论什么语言,我要渗透,第一件事就是扫目录,最好一下扫出个上传点,直接上传 shell ,诸位不要笑,有时候你花很久搞一个站,最后发现有个现成的上传点,而且很容易猜到,不过这种情况发生在 asp 居多!

       2.asp ( aspx )+MSSQL 先考虑注入,一般的注入都有 DBowner 权限可以直接写 shell ;如果写不了,或者 web 与数据库分离,那就猜数据,从后台下手了,后台可以上传或者改配置文件;

       3.asp ( aspx )+ACCESS 拿 shell 一般只有 3 种方法,一是前台上传或者注入进后台上传;二是注入进后台改配置文件;三是注入进后台备份数据库或者暴库后知道是 asp 或者 asa 数据库于是直接写一句话;

       4.php+MYSQL 一般是注入进后台上传,偶尔运气好些权限够高可以注入 select into outfile ;然后包含,分本地与远程,远程包含在高版本 php 是不支持的,于是想办法本地上传图片文件或者写到 log 里;然后 php 程序某某未公开的漏洞,运气好可以直接写 shell 。

       5.jsp+MYSQL 利用数据库拿权限方面基本同 php ,而且 jsp 的上传基本很少检查文件后缀,于是只要有注入点与后台,拿 shell 相当的容易。 jsp+ORACLE 的站我碰到的不多,碰到的也是猜出用户名与密码从后台下手的。

       6.无论什么大站,主站一般都很安全(不然早被人玩了),于是一般从二级域名下手,猜出主站的某些用户名与密码或者搞到主站的源代码,或者旁注得到同网段服务器后 cain 或 arp 。

       7.一般的大站很少有用现成的 CMS 的,于是如果你有幸找到源码,那你就发了,注入漏洞啊,上传漏洞啊,写文件漏洞啊,都掌握在你手里。多看看那些大站新出来的测试分站点,那些站还在测试中,可以很轻松拿下。

       8.上传有个文件名截断,这包括 2 个方面,一是 00 截断,二是长文件名截断(曾经利用这个搞下 hw );然后很多写文件的地方,都可以 00 ,屡试不爽。上传别忘了.asp (当然.asa ,.cer ,.cdx 都可以啦)目录的妙用。

       9.php 站无论 windows 还是 linux ,都有 magic_quotes_gpc 的问题, magic_quotes_gpc 为 on 的时候,在 server 变量注入的时候还是可以 select into outfile ,今年我搞过某未开源 cms 就是这个情况,一般情况下为 on 就别考虑写文件了,不过有这个权限别忘了读文件源码,因为 load_file 的参数是可以编码的。

       10.猜路径或者文件在入侵中非常必要,猜不到路径的时候别忘了 google ( baidu 太烂, google 很全),于是你可以考虑看站点下的 robot.txt 或者 robots.txt ,会有惊喜。

       11.工具的使用很重要,入侵之前用 WVS 扫扫会有助入侵;注入工具虽然很多,但不见得都好使,现在的软硬防火墙、防注入越来越厉害,那时候你就别偷懒,多手工有助你成长。

       12.遇到过一流监控么,遇到其他防 post 的防火墙么,有时候一句话进去了都无法传大马,那时候,你先学学编码,学学变换绕过。

       13.想搞一般的小站,记得查看这个小站的版权,找做这个站的公司,然后从这个公司做的其他站下手,得到源码再回头搞,我曾经通过这个方法拿下某知名制药的公司站。

       14.旁注的思路永远不过时,遇到 dbowner 的注入,可以很舒服写 shell 到你需要的站,省得麻烦的提权了;运气不好,按部就班拿 shell 提权得到你所需。

       15.永远别忘记社会工程学,利用社工把自己当成一个什么也不会的人,从某某站长的 qq ,身份证,邮箱等等下手,也许有时可能会有意外;另外别忘记 admin,admin ; test,test ; 123456,123456 这种简单的尝试,当然,你也可以暴力破解。

       16.别忽视 XSS ,别忽视 cookie , XSS 可以偷 cookie ,更有若干妙用,自己学会领悟; cookie 可以伪造登陆, cookie 可以注入, cookie 注入可以绕绝大多数的防火墙。

       17.平时搞站多多搜集路径啊,源码啊,工具啊,充实自己的“武器”库;最好把自己的入侵步骤记录下来,或者事后反思下,我一般都是记在 txt 里,另外要做到举一反三。

       18 、到 GoogLe,搜索一些关键字,edit.asp? 韩国肉鸡为多,多数为 MSSQL 数据库!

       19 、到 Google ,site:cq.cn inurl:asp

       20 、利用挖掘鸡和一个 ASP 木马. 文件名是 login.asp 路径组是 /manage/ 关键词是 went.asp 用'or'='or'来登陆

       21 、关键字: Co Net MIB Ver 1.0 网站后台管理系统帐号密码为 'or'='or'

       22 、动感购物系统 inurl:help.asp 登陆,如未注册成为会员! upLoad_bm1.asp 和 upLoad_c1.asp 这两个随便选个,一般管理员都忽视了这 2 漏洞

       23 、默认数据库地址 blogdata/acblog.asa 关键字: acblog

       24 、百度 /htdocs 注册里可以直接上传 asa 文件!

       25 、/Database/#newasp.mdb 关键词: NewAsp SiteManageSystem Version

       26 、用挖掘机 关键字: Powered by WEBBOY 页面:/upfile.asp

       27. baidu 中搜索关键字 Ver5.0 Build 0519 (存在上传漏洞)

       28. Upfile_Article.asp bbs/upfile.asp 输入关键字: powered by mypower ,

       29. inurl:winnt\system32\inetsrv\ 在 google 里面输入这个就可以找到很多网站

       30. 现在 GOOGLE 搜索关键字 intitle:网站小助手  inurl:asp

       31. 键字: 首页 最新动态 新手指南 舞曲音乐 下载中心 经典文章 玩家风采 装备购买 站内流言 友情连接 本站论坛挖掘鸡的关键字 添 setup.asp

       32. VBulletin 论坛的数据库默认数据库地址! /includes/functions.php 工具: 1.网站猎手 下载地址:百度 Google! 2.Google 关键字: Powered by: vBulletin Version 3.0.1 Powered by: vBulletin Version 3.0.2 Powered by: vBulletin Version 3.0.3 其中一个就可以了

       33. 1.打开百度或 GOOGLE 搜索,输入 powered by comersus ASP shopping cart open source 。 这是一个商场系统。 2.网站的最底部分,有个 Comersus Open Technologies LC 。打开看下~~comersus 系统~ 猜到,comersus.mdb. 是数据库名数据库都是放在 database/ 后的, 所以 database/comersus.mdb comersus_listCategoriesTree.asp 换成 database/comersus.mdb ,不能下载。那样把前一个 ''store/''除去,再加上 database/comersus.mdb 试试

       34. 无忧传奇官方站点程序。 1 、后台管理地址: http://您的域名 /msmiradmin/ 2 、默认后台管理帐号: msmir 3 、默认后台管理密码: msmirmsmir 数据库文件为 http://您的域名 /msmirdata/msmirArticle.mdb 数据库连接文件为 ***********/Conn.asp

       35. 百度里输入 /skins/default/

       36. 利用挖掘机关键机:power by Discuz 路径:/wish.php 配合: Discuz!论坛 wish.php 远程包含漏洞 工具使用

       37. 上传漏洞. 工具 : Domain3.5 网站猎手 1.5 版关键字 powered by mypower 检测的页面或文件插入 upfile_photo.asp

       38. 新云漏洞这个漏洞 ACCESS 和 SQL 版通吃。 Google 搜索关键字 "关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录" 把 flash/downfile.asp?url=uploadfile/../../conn.asp 提交到网站根目录。就可以下载 conn.asp 以源码,软件等下载站居多。大家时常碰到数据库如果前面或者中间+了# 可以用%23 替换就可以下载了 \database\%23newasp.mdb 如:#xzws.mdb 改成%23xzws.mdb

       39. 通吃所有商城+动力上传系统使用工具:挖掘鸡 v1.1 明小子商城入侵: 关键字:选购->加入购物车->去收银台->确认收货人信息->选付款方式->选配送方式->在线支付或下单后汇款 ->汇款确认->发货->完成漏洞页面:upload.asp upfile_flash.asp 动力入侵: 关键字:powered by mypower 漏洞页面:upfile_photo.asp Upfile_Soft.asp upfile_adpic.asp upfile_softpic.asp

       40 、动易列目录 admin_articlerecyclebin.asp inurl:admin_articlerecyclebin.asp

       41 、工具:网站猎手关键词:inurl:Went.asp 后缀:manage/login.asp 口令:'or'='or'

       42 、入侵魔兽私服需要的工具: ASP 木马一只。 Domain3.5 明小子关键字: All Right Reserved Design:游戏联盟后台地址: admin/login.asp 数据库的地址: chngame/#chngame.mdb

       43 、漏洞是利用管理员 iis 设置的失误用 baidu 关键字就是比较罕见的脚本名动网: ReloadForumCache.asp Leadbbs: makealltopanc.asp BBSXP: admin_fso.asp 动易: admin_articlerecyclebin.asp

       44 、国外站的爆库漏洞关键字: sad Raven's Guestbook 密码地址:/passwd.dat 后台地址:/admin.php

       45 、 关键字:尚奈克斯后台路径 /system/manage.asp 直接传 ASP 木马

       46 、 工具 1:网站猎手 2:大马一个关键字:切勿关闭 Cookies 功能,否则您将不能登录插入 diy.asp

       47 、关键字:Team5 Studio All rights reserved 默认数据库:data/team.mdb

       48. 工具: 挖掘机 辅臣数据库读取器关键字: 企业简介 产品展示 产品列表后缀添加: /database/myszw.mdb 后台地址: admin/Login.asp

       49. 关键子 XXX inurl:Nclass.asp 在"系统设置"里写个木马。会被保存到 在 config.asp 内。

       50. 不进后台照样拿动网 WEBSHELL data.asp?action=BackupData 动网数据库备份默认路径 36. 工具:网站猎手 WebShell 关键字:inurl:Went.asp 后缀:manage/login.asp 弱口令:'or'='or'

       51 、 入侵雷池新闻发布系统关键字:leichinews 去掉 leichinews 后面的. 打上:admin/uploadPic.asp?actionType=mod&picName=xuanran.asp 再上传马..... 进访问 uppic anran.asp 登陆马.

       52. 一、通过 GOOGLE 搜索找大量注入点关键字: asp?id=1 gov.jp/ asp?id= 页数: 100 语言:想入侵哪个国家就填什么语言吧

       53. 关键字: Powered by:94KKBBS 2005 利用密码找回功能 找回 admin 提问:ddddd 回答:ddddd

       54. 关键字:****** inurl:readnews.asp 把最后一个 /改成%5c ,直接暴库,看密码,进后台随便添加个新闻 在标题输入我们的一句话木马

       55. 工具:一句话木马 BBsXp 5.0 sp1 管理员猜解器关键词:powered by bbsxp5.00 进后台,备份一句话马!

       56. 关键字:程序核心: BJXSHOP 网上开店专家 后台:/admin
    54 条回复    2015-12-04 17:15:53 +08:00
    anym0us
        1
    anym0us   2015-12-03 10:41:52 +08:00
    感觉干货很多,友情收藏 @wooyun
    2015813
        2
    2015813   2015-12-03 10:43:05 +08:00
    网络诡异。十几年便造就了一个虚拟的世界,但在它带来无数商机的同时,最初的沟通自由的朴素想法却变得奢侈,真正的黑客便随之出现。他们是平凡得不能再平凡的人,但他们崇尚自由,于是便有了一段段听来传奇的故事……
    但在中国,真正的黑客几近于无,有的只是浮躁、虚荣和做作。或许是环境的问题,我们缺乏 Free 与 Open 的环境。力量有限,但网络无限,安全焦点希望以有限的力量提供尽量纯净的技术环境。至于发展,留给变化无穷的网络来诠释吧。

    附 xfocus 《网络渗透技术》: http://www.xfocus.net/projects/book/9.html
    phoenixlzx
        3
    phoenixlzx   2015-12-03 10:49:06 +08:00
    安全焦点的网站不能访问好久了,最近突然发现又可以打开了好惊喜!
    虽然论坛没了... 而且 XCon 现在似乎很商业化
    zhangchioulin
        4
    zhangchioulin   2015-12-03 10:50:15 +08:00
    一直很羡慕黑客
    hao360
        5
    hao360   2015-12-03 10:57:41 +08:00
    妖孽, 360 在这里,妈妈再也不用担心我的电脑中病毒了。
    Luzifer
        6
    Luzifer   2015-12-03 11:04:43 +08:00
    您是红客那一拨隐世高人吗? 2005 年 CS 还不会甩枪...



    高手求带,给个洞去混个乌云。
    virusdefender
        7
    virusdefender   2015-12-03 11:05:38 +08:00
    有些技巧也太老了吧
    HackerOO7
        8
    HackerOO7   2015-12-03 11:08:31 +08:00
    有种当年上学时看的黑客档案即视感,都是些技巧性的东西
    Luzifer
        9
    Luzifer   2015-12-03 11:09:53 +08:00
    隐约感觉大神要重出江湖啊~~~~
    2015813
        10
    2015813   2015-12-03 11:10:29 +08:00
    附:武器库( Metasploit 、 google-dorks 、 Nmap 、社工库、一句话木马、 Tor 、 Blackshades 、),编写 Shell 当然少不了 VIM 。
    Luzifer
        11
    Luzifer   2015-12-03 11:15:17 +08:00
    sqlmap 在 打嗝套房 不在武器库?

    求带 求带 求带 求带

    给个洞,

    或者

    http://zone.wooyun.org/content/21289

    我没乌云账号, web 漏洞扫描器?哪位截图或者 PDF 分享一下吧。
    Tink
        12
    Tink   2015-12-03 11:31:55 +08:00
    嗯,膜拜一下
    zingl
        13
    zingl   2015-12-03 11:34:41 +08:00
    avastms
        14
    avastms   2015-12-03 11:35:12 +08:00   ❤️ 5
    对这些乌七八糟的玩意实在不敢苟同,有那么多时间不能干点正经事么
    交流半天都是一些奇技淫巧,就跟小学奥数一样,看着唬人实际一点卵用都没有
    bramblex
        15
    bramblex   2015-12-03 11:38:31 +08:00   ❤️ 1
    我自习看了下帖子的日期,发现居然是 15 年?这不是 05 年的东西嘛?
    ringzero
        16
    ringzero   2015-12-03 11:40:07 +08:00
    过时的东西
    wizardforcel
        17
    wizardforcel   2015-12-03 11:43:44 +08:00 via Android
    玩渗透要挖细节,这我不反对,但是这篇也太老了吧。

    现在网站都是自定义路由,扫目录扫不出什么来。

    sql 注入根本用不到防火墙,用个参数化就解决了,扫到的站都是很久不更新的,也没什么利用价值。

    以前能扫旁站,因为虚拟主机把许多站点放一台机子上,现在都用云主机了你再试试?
    bramblex
        18
    bramblex   2015-12-03 11:45:36 +08:00
    顺便说一句……

    这种手段是 cracker 而不是 hacker ,是「骇客」而不是「黑客」,别往自己脸上贴金了。

    而且还是最低端的「脚本小子」的手段。
    x86
        19
    x86   2015-12-03 11:47:39 +08:00
    1L 是楼主小号吧, at wooyun 是什么鬼?高端黑?
    2015813
        20
    2015813   2015-12-03 11:55:02 +08:00
    每读一次,体会多一次。他山之石,可以攻玉。
    wizardforcel
        21
    wizardforcel   2015-12-03 11:58:21 +08:00 via Android   ❤️ 1
    说一下现在还能挖的洞吧。

    一是逻辑洞,分两类,一类是没对传进来的参数校验,比如转账没对参数的正负进行校验,再比如前端校验了但是后端没校验。还有一类是库函数的 bug ,比如 php 的双等。

    二是富文本 xss ,这个比较难处理。

    三是注入,但不是 xss 或者 sqlinj ,而是 os 注入,或者 ssrf 。总之就是没有现成框架可解决的洞。
    jugelizi
        22
    jugelizi   2015-12-03 12:00:44 +08:00   ❤️ 1
    @Luzifer
    减少体力活的工程化( VPN+代理+浏览器插件)

    mitmproxy 中 libmproxy 简单介绍
    http://drops.wooyun.org/tips/2943
    检测 SQL 注入工具: SQLi-Hunter
    http://zone.wooyun.org/content/19049

    主要原理是从流量中分离出 HTTP 流量的鉴权认证信息(Cookie+UserAgent),再进行二次漏洞检测。
    通俗点讲就是给扫描器喂目标;

    @Jannock
    Vonex
        23
    Vonex   2015-12-03 12:02:50 +08:00
    挖坟,还动网 有十年了吧?
    SonicY
        24
    SonicY   2015-12-03 12:24:58 +08:00 via Android
    思路永远不会过时
    Luzifer
        25
    Luzifer   2015-12-03 12:33:20 +08:00
    @jugelizi 谢谢,看到了。两个 demo 看着好犀利。

    他那个神器有放出来吗?
    “神器而已之 site:www.wooyun.org ” 貌似有些人用

    @netxfly 说已经产品化了。
    dbas
        26
    dbas   2015-12-03 12:48:21 +08:00
    看到好想笑

    这些都不是什么技术吧

    第 54 条在 win2000 作服务器时还有这种情况现地谁还会用 win2000 的系统呢...

    接着装
    Luzifer
        27
    Luzifer   2015-12-03 12:48:33 +08:00
    paw
        28
    paw   2015-12-03 14:24:05 +08:00
    第一条一看是 ASP 囧啊 没事接着看
    然后 旁注什么的
    然后 Domain3.5 明小子 'or'='or' %5c 都出来了
    我感觉又回到了初中的网吧里......
    yeyeye
        29
    yeyeye   2015-12-03 14:27:05 +08:00
    快速看了下楼主的内容……

    发现最安全的方法就是 处理好上传组件 删除后台页面 使用 access 无敌了
    yunba
        30
    yunba   2015-12-03 14:31:43 +08:00
    有个毛意思啊
    skylancer
        31
    skylancer   2015-12-03 16:23:43 +08:00
    从头看完居然没洞网论坛,这不科学啊
    cat9life
        32
    cat9life   2015-12-03 16:29:40 +08:00
    很老了说...
    v23ex
        33
    v23ex   2015-12-03 16:49:22 +08:00
    WinPE :置空 Windows 密码不算是神器吗?居然不在武器库
    v23ex
        34
    v23ex   2015-12-03 16:53:38 +08:00
    没密码怎么进 Windows7 、 Windows10 系统,大神,求方法.
    greatdk
        35
    greatdk   2015-12-03 17:02:23 +08:00
    前段时间发现学校的一个分站被人渗透了,放了一个大马一个一句话,一句话和大马的密码都没猜出来,而且这人还把所有文件的写权限都禁止了,太狠了
    llllllll
        36
    llllllll   2015-12-03 17:05:05 +08:00 via Android
    @v23ex 笑了
    zhizhongzhiwai
        37
    zhizhongzhiwai   2015-12-03 17:43:39 +08:00
    @hao360 主要是没有被中毒的价值。哈哈。
    Mayo
        38
    Mayo   2015-12-03 18:15:29 +08:00
    。。。。。。
    janeyuan
        39
    janeyuan   2015-12-03 18:24:52 +08:00
    呵呵 黑客高手
    wolf777
        40
    wolf777   2015-12-03 18:58:56 +08:00
    “一句话大马”的代码是什么 @greatdk
    greatdk
        41
    greatdk   2015-12-03 19:07:36 +08:00
    @wolf777 「一个大马一个一句话」
    TingHaiJamiE
        42
    TingHaiJamiE   2015-12-03 19:09:46 +08:00
    'or'='or'
    历史的厚重感
    Changxu
        43
    Changxu   2015-12-03 19:21:26 +08:00
    这都是多少年前的手段了,现在基本都不行了吧?
    平时用 Django 做网站,都不用考虑注入什么的,框架就已经用了参数化了。
    扫目录?都是自定义 URL 吧?哪来的目录可以扫?
    maskerTUI
        44
    maskerTUI   2015-12-03 19:56:41 +08:00
    东西好老,不过学习思路倒是很不错
    EricBox
        45
    EricBox   2015-12-03 22:01:29 +08:00 via Android
    感觉像一个被关了十年的老黑客被放出来了。
    lekai63
        46
    lekai63   2015-12-03 23:07:01 +08:00 via iPhone
    这位黑客 05 年关进去,最近刚放出来
    话说,楼主你 05 年的乌漆麻黑客,不知道 kali 好歹这个 BT4 吧(卧槽 05 年不知道 BT 出了没,大约是 4 之前的版本吧)
    还好楼主没说出流光溯雪 啥的,没被楼主玷污了记忆
    v4an
        47
    v4an   2015-12-03 23:19:42 +08:00
    果然黑客高手...
    kindjeff
        48
    kindjeff   2015-12-03 23:22:51 +08:00
    来,上一本 OWASP 测试指南
    strwei
        49
    strwei   2015-12-04 00:52:20 +08:00
    User-agent: *

    Disallow: /backstage/
    Disallow: /signin
    Disallow: /signout
    Disallow: /settings
    ICANN
        50
    ICANN   2015-12-04 09:11:06 +08:00
    BackTrack 5 ?别逗了。大家误会楼主了,楼主的真正意思是 xfocus 的《网络渗透技术》
    zacard
        51
    zacard   2015-12-04 10:38:04 +08:00
    不明觉厉
    manoon
        52
    manoon   2015-12-04 11:15:27 +08:00
    @EricBox 哈哈,
    hiJack
        53
    hiJack   2015-12-04 15:21:16 +08:00
    历史感强烈!!!
    3721
        54
    3721   2015-12-04 17:15:53 +08:00
    好文共欣赏。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1593 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 17:28 · PVG 01:28 · LAX 10:28 · JFK 13:28
    ♥ Do have faith in what you're doing.