《精通脚本黑客》读本书吧

《精通脚本黑客》

接全文的超链接

备注：

1、前有！代表不具备理解能力的词语的解释
2、xxxx ：可以被替代的例子

第一章本地服务器搭建

HTTP超文本传输协议
【虚拟主机
Web服务器–
【服务器托管

ASP 一种服务端脚本语言（位于服务器端的脚本运行环境）
ASP构建的网站，例http://www.xxx.com/article.asp?id=12

安装IIS

第二章常规脚本漏洞演练

2.1 Google Hack

1、google hack：结合google语法和一些关键字对网站进行渗透
Footprinting（踩点）收集的信息：
（1）网站注册信息
（2）网管资料（网管：网络管理员）
（3）共享资料
（4）端口信息
（5）FTP资源（FTP：文件传输协议，在网络上进行文件传输的一套标准协议）
（6）网站拓扑结构：一种物理布局，能表示出网络服务器、工作站的网络配置和互相之间的连接
（7）网站URL地址结构
(URL组成：资源类型、存放资源的主机域名、资源文件名或者协议，主机，端口，路径)
（8）网站系统版本
（9）后台地址
（10）弱口令：容易被猜到或者被破解的指令

一、google hacking——google 的基本语法：

(被划掉的指代关键字)
1、intext: 验证码 4800 => 用户登录口
2、intitle: 后台管理 => 后台管理
3、cache：pku,edu.cn => 北京大学网站服务器缓存的内容
4、define : html => 查找定义
5、filetype: 文件名.后缀名 => 查找特定文件
6、info：关键字 => 基本信息
7、 inurl：关键字 => 含有关键字的url地址
8、link：关键字 => 与关键字做了链接的url地址（查询敏感信息）
9、site：域名 => 拓扑结构进行，是从一个延展到剩下的所有相关
10、relate：URL => 与之相关联的url，比如搜索清华会出现北大

其余不常用的关键字搜索：

二、google hacking——入侵

浏览器中输入 site:网站url inurl:php?id= 找到存在xx网站存在php?id=的网站，再逐一验证该网址是否存在注入漏洞，具体方法在网址后面添加 and 1=1 和 and 1=2，如果两个页面显示不同，即为存在注入漏洞。（但是这里试的时候不行，所有找的的网址进去之后都，“您进入的网页不存在，即将返回主页”，我不理解。）

三、挖掘鸡的使用

[后期实践再补全这部分]

目录浏览漏洞

原因：网站被目录浏览，又可以搜索数据库链接文件，导致数据库物理路径泄露。
（！物理路径：硬盘上的文件路径）

常见目录浏览的网页：To parent directory parent directory // Last modified Description // 转到父目录 // index of /

搜索目录浏览的主要语法：inurl , intitle , intext , site , filetype
常见的文件后缀：avi,bak,bmp,dll,exe,ini,mp3,rar,txt,wav,js,zip,chm

搜索特定的文件夹

搜索协议常见的协议：TCP , IP , DNS , TENET
(协议分析网：协议分析网)

搜索域名后缀常见的域名后缀 : com , net , mil , org , info …

！肉鸡：（傀儡机）可以被黑客远程控制的机器，通常被用作DDOS攻击。
！ DDOS ：（分布式拒绝服务）通过大规模互联网流量淹没目标服务器或其周边基础设施，以破坏目标服务器、服务或网络正常流量的恶意行为。

google hacking 常用语句:

google hack 部分结束 /// 撒花撒花

2.2 ‘or’ = ‘or’ 经典漏洞攻击

1、‘or’='or’漏洞：主要出现在后台登陆上，不需要密码则可以进入后台管理系统。

用户名，密码均为：'or'='or'（但我试了很多都受挫了，还有安全系统拦截我说不可以使用’or’='or’作为用户名）
（ps：inurl:admin/login.asp真的很好用！）

2.3 暴库漏洞攻击

！ webshell临时简介：一个asp或php木马后门，被放置到web目录。且只会在网站的web日志中留下一些数据提交记录。得到webshell后还有可能提高权限。

2.3.1 conn.asp暴库法

目的：暴露出数据库的绝对地址。

inurl:"conn.asp"搜索到具有暴库漏洞的网站

然后下载数据库，里面包含了被调用的数据库的路径及数据库名and on

2.3.2 %5c暴库法

方法：在网址的最后一个’ / ’改为‘%5c’
dbpath=server.mappath(‘数据库地址’)
(将相对路径改为绝对路径)

2.4 cookies欺骗漏洞

cookie:一个文本文件，存储在本机，，随着用户请求和页面在web服务器与浏览器之间传递。每次访问网站的应用程序都会读取cookie信息。

花钱下载了桂林老兵，可以很方便的获取到网站的cookie，从而进行修改。

md获取不到，气死我了。我的问题，我太菜了。后期再战！（最主要上网也搜不到一个教程，无助了）

2.5 跨站漏洞（XSS）

原因：编写程序时对一些变量没有做充分的过滤，直接把用户提交的数据送到SQL语句里执行，导致用户可以提交一些特意构造的语句 。
利用跨站漏洞在JavaScript这种脚本代码里面输入恶意脚本代码，被执行后就变成了跨站攻击。

大多数存在于评论，交互多的网站。

2.5.1 一次跨站漏洞的发掘

1、查看网站结构，特别是那些会显示到页面上的用户输入信息。
2、输入跨站测试代码 <img src = javascript:alert("test")>进行测试
3、成功弹出对话框 ”test“

2.5.3 再次挖掘中国博客网之跨站漏洞

由于博客的登录系统大改导致无法在博客网实践，所以直接搜索了XSS的具体用法。

· 利用xss弹出恶意警示框：

<script> alert("xss恶意警示框！") </scirpt>

· 无限刷新网页

<meta http-equiv="refresh" content="0;">`

刚刚翻博客看到了一句话，只能说，好样的！

注入漏洞

工具注入

前提：能够构造SQL语句来访问数据库，有数据和数据库交互的地方会发生SQL注入攻击。

【注入攻击工具：明小子（但是tmd我花了很多的钱还是没有下载到正确的程序，我真无语。）】

！ ASP：（动态服务器页面）一个服务器端脚本环境，用来创建动态交互式网页并建立强大的web应用程序。

简述一下使用明小子攻击的方法和过程吧还是（良心教程备份）

（无特定目标）
1、得到网站存在SQL注入的网址
2、利用Google hack技术批量搜索含有注入漏洞的网站inurl:asp:?id=
3、明小子操作

（存在特定目标）
1、利用google hack site:站点网址 inurl:asp:?id=
2、利用明小子操作

（工具注入待补充）

手动注入

access数据库为例

1、在asp:?id=xxx后加上‘，如果报错则说明存在注入漏洞。下面是我的结果（很草，想骂人）

2、在网址后面输入 and 1=1 and 1=2，如果返回页面不同，则说明存在注入漏洞。
3、判断网站后台数据库的类型。
ACCESS数据库 => 关键字 “Microsoft JET Database”
MSSQL => 关键字 “SQL Server”
4、（以ACCESS数据库为例）猜测数据库表名，在后面加上 and exists(select * from 表名) 或者 and exists(select count from 表名)

5、猜测列名，exists (select 列名 from 表名) 或者 exists(select count(列名) from 表名)

常见的表名为：

6、猜解列的长度，and (select top 1 len(列名) from 表名) >x => (变换x的值)
7、猜解列的内容（用户名和密码），and (select top 1 asc(mid(列名，列数N,1))from 表名)>x =>（top后的值是该列的第N行，x为ASCII码，列数N就是在这一列中的第几个数字）

MySQL数据库为例

1、确认数据库版本

and ord(mid(version(),1,1))>51/*

（返回正常说明是大于4.0的版本，报错则说明是小于4.0的版本）
1、又确认数据库版本 => /* !%20s*/ （返回错误则说明后台数据库位MySQL/* !4016%20s */ 报错说明不到该版本。
2、确定当前数据库的字段数目。（UNINON和order by）
2.1、UNINON(联合查询)：(要求前面的SQL语句1和后面的SQL语句2中的字段数要相同)
2.2、order by：后加数字，提交的数字多则报错。
3、union查询来获取数据库表名

union select 字段数 from 表名

(注：字段数的书写是1,2,3,…字段数数目)

4、想获得什么信息就在某个字段的位置上获取，比如，

union select 1,version(),3,4,...

=> 数据库当前版本就会出现在字段2的位置；union select 1,2,username,4,… => 用户名就会出现在字段3的位置上。

union select 1,2,3,password,5,6,… from admin where id = 4 (这个数字是管理员的编号，是唯一的。)

！ MD5信息摘要算法：一种密码散列函数，可以产生出一个128位（16字节）的散列值（hash value），用于确保信息传输完整一致。

！ load_file():读取文件并返回文件内容为字符串。（数据库权限必须为root：超级管理员）

读取服务器内容：
1、判断是否有root权限 =>

and ord(mid(user(),1,1))=114/*

=> 返回正确则说明有root权限，错误则没有。

2、判断是否有读写文件的权限

and(select count(*) from MySQL.user)>0

3、读取数据库内容

union select 1,load_file(文件的十六位进制表示) from admin

2.7 文件包含漏洞

构成远程文件包含漏洞原因：PHP文件中的变量过滤不严，没有判断提交的参数是本地的还是远程主机上的。
攻击远程文件包含漏洞：指定远程主机上的文件作为参数来提交给变量执行，然后在文件里写入木马，就会被web权限成功执行。

！ exploit:一个漏洞攻击程序，利用它可以达到攻击的目的，而获得相应的权限。
! webshell：一种代码执行环境。

2.8 旁注攻击

旁注：利用同一主机上面不同网站的漏洞得到webshell，从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。

! ewebeditor : 在线HTML编辑器

利用ewebeditor去实现旁注攻击
1、搜索使用ewebeditor的网站

ewebeditor inurl:admin_login.asp

2、使用原始用户名和密码登录后台。（原始用户名：admin 原始密码：admin或admin888）
3、如果不是原始用户名或者密码，则可以直接访问db目录下的数据库（数据库中会存在登录用户名和密码）

db/ewebeditor.mdb

查询域名

2.9 获取webshell的几种方法（这个跟书上不一样啦，面向百度编程）

webshell：一种脚本攻击工具。一个asp，php，jsp木马后门，与正常网页混在一起，使用web方式控制网站服务器。
webshell(个):一种环境，被用于网站管理，服务器管理等等。可以在线编辑网页脚本，查看数据库，执行任何程序命令，所以得到了webshell就相当于可以完全管理后台。

！ php是服务器脚本语言；JSP是服务器端编程技术

2.9.1 直接上传获取webshell

php和jsp程序常见，上传一个不会被过滤掉的asp程序，从而获取webshell

2.9.2 添加修改上传类型

asp会被过滤，asa或者asP可以添加。又或者是aaspsp，过滤了一个asp会显露出剩下的asp，从而获取webshell

2.9.3 利用后台管理功能写入webshell

在后台修改配置文件，写入后缀是asp文件。

2.9.4 写入过滤不完全（*）

！一句话木马（分为服务端和客户端）：一小段ASP代码（服务端）插入到网站中，让其可以在所要入侵的网站中执行，得到shell；然后让客户端（一个网页，一些源代码，通过篡改源代码找到webshell）连接服务端，上传一个大木马，得到webshell。

%ASP一句话木马：

ASP常见服务端：<%execute request("value")%>;<%execute request.form("value")%>;<%eval request("value")%>;<%On Error Resume Next execute request("value")%>.

Attention：
1、action的值是插入服务端代码的ASP文件的URL地址。
2、IP.writetext request(“value”)中的value和服务端的value相同。
3、客户端（大样）

把服务端插入到ASP文件中：
1、利用后台提供的功能（可以输入数据的地方）插入服务器。（友情连接，页面编辑，模块编辑）【要记住输入数据文件的URL地址】
2、通过暴库（或）得到网站数据库的绝对路径。（暴出的数据库必须以asp结尾）

%PHP一句话木马

服务端：<?request($_REQUEST['a']);?>;<?require($a);?>;<?@include(#_POST["a"]);?>

服务端插入到网站php文件中：
1、利用后台可以输入的的功能。
2、利用php网站中使用的文本数据库（数据库文件后缀为php）。

2.10 使用webshell及提升权限

2.10.1 webshell的基本使用方法

! FSO:文件系统对象。

2.10.2 webshell的提权

插入很长的一篇内容

一些漏洞的名称

1、A1-Injection / ==> 注入漏洞
2、HTML Injection - Reflected （GET ==> HTML注入GET请求
3、HTML Injection - Stored（Blog）

后续更新

未完待续，后期看心情补。