免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
#知识点:
1、ASP-SQL注入-Access数据库(一般都是小型网站用的多,现在比较少见)
2、ASP-默认安装-数据库泄漏下载
3、ASP-IIS-CVE&短文件&解析&写入
演示案例:
1. ASP-默认安装-MDB数据库泄漏下载
由于大部分ASP程序与ACCESS数据库搭建,但ACCESS无需连接,可以把access数据库理解为一个本地文件(.mdb后缀),这个本地文件一般放在网站目录下,攻击者可直接通过浏览器下载这个数据库文件并打开查看里面数据
如何获取到这个mdb文件?
1.通过目录扫描工具扫到这个数据库文件(概率比较低)
2.通过分析网站搭建的源码从网上下载一套下来(常用)
2. ASP-中间件(IIS)-CVE&短文件&解析&写权限
-HTTP.SYS(CVE-2015-1635)主要用作蓝屏破坏,跟权限不挂钩
1、漏洞描述
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
2、影响版本
Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2
3、漏洞利用条件
安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本
4、漏洞复现(蓝屏)
msfconsole
use auxiliary/dos/http/ms15_034_ulonglongadd
set rhosts xx.xx.xx.xx
set rport xx
run
参考地址:HTTP.sys远程代码执行漏洞复现-CSDN博客(curl这个命令powershell自带)
-IIS短文件(iis全版本都可能有这个问题)
1、此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。
2、漏洞成因:
为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3短文件名。在Windows下查看对应的短文件名,可以使用命令dir /x
3、应用场景:
后台路径获取,数据库文件获取,其他敏感文件获取等
4、利用工具(可以指定目录扫描,不仅仅只是网站根目录):
https://github.com/lijiejie/IIS_shortname_Scanner(py版本)只能探针前6位
-IIS文件解析
应用场景:配合文件上传获取Webshell
IIS 6 解析漏洞
1、该版本默认会将*.asp;.jpg 此种格式的文件名,当成Asp解析
2、该版本默认会将*.asp/目录下的所有文件当成Asp解析。
如:logo.asp;.jpg xx.asp/logo.jpg
IIS 7.x 解析漏洞
在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件
-IIS写权限
IIS<=6.0 目录权限开启写入,开启WebDAV,设置为允许
参考利用:题目2-IIS写权限漏洞分析溯源-腾讯云开发者社区-腾讯云
3. ASP-SQL注入-SQLMAP使用&ACCESS注入
ACCESS数据库无管理帐号密码,顶级架构为表名,列名(字段),数据,所以在注入猜解中一般采用字典猜解表和列再获取数据,猜解简单但又可能出现猜解不到的情况,由于Access数据库在当前安全发展中已很少存在,故直接使用SQLMAP注入,后续再说其他。
python sqlmap.py -u "" --tables //获取表名
python sqlmap.py -u "" --cloumns -T admin //获取admin表名下的列名
python sqlmap.py -u "" --dump -C "" -T admin //获取表名下的列名数据
后台查找方法:
1.iis短文件
2.目录扫描工具(常用)
3.爬虫
4.谷歌语法