[原创]渗透检测-WEB安全-看雪-安全社区|安全招聘|kanxue.com

[原创]渗透检测

发表于: 2013-5-30 17:24 2956

[原创]渗透检测

刘志军

2013-5-30 17:24

2956

有个基友发的一个网站，经过测试发现了一个站点存在注入点

这篇文章存在注入：

我们测试下：

好吧，直接跑，就不手工了：

跑出来的结果吗，还是把手工贴出来吧，证明手工也是一样的：

关键地方已经打码了，这回跟版规无关了吧！！！！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

0.png （453.00kb，61次下载）
1.png （532.97kb，24次下载）
2.png （34.83kb，15次下载）
3.png （17.98kb，7次下载）
20.png （546.50kb，26次下载）

收藏・3

免费・0

支持

最新回复 (24)
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 2 楼纯测试，没做破坏；提权就不做了 2013-5-30 17:26 0
垃圾一个雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	垃圾一个 3 楼都码成这样了，给人感觉就是找到，工具，然后就木有然后 2013-5-30 22:22 0
CRoot 雪币： 3366 活跃值： (1353) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 4 楼不说说神马文件出现了什么过滤不严，光看到。。密码出来了，没了，求过程，技术 2013-5-30 22:35 0
apxar 雪币： 390 活跃值： (768) 能力值： ( LV3，RANK：20 ) 在线值：发帖 71 回帖 164 粉丝 0 关注私信	apxar 5 楼发去乌云把,不过通过工具,真心没意思 2013-5-30 23:46 0
深渊魔王雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	深渊魔王 6 楼给菜鸟们介绍下用啥工具吧？破解只做爆破，端游辅助自认不是那块料，按键精灵比民工都不如，，， 2013-5-31 09:25 0
ketonfly 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	ketonfly 7 楼对呀，介绍下用的什么工具把～～ 2013-5-31 09:42 0
guobing 雪币： 11111 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 8 楼 Havij ，看着像注入点，直接仍进去扫。现在能找个注入点，rp很重要。 2013-5-31 17:05 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 9 楼后台呢？传马了么？提权了么？脱裤了么？代码打包了么？嗅探了么？装rootkit了么？ ………… …… 2013-5-31 19:17 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 10 楼 868800 .......................................... 另外的没破出来的密码我告诉你吧：cx8079078 是有点难破啊开玩笑啊? 2013-5-31 19:43 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 11 楼我代表 USA国犹他州普罗沃市HostMonster公司向楼主提起抗议你竟敢只注入不提权,察看了日志,发现你扫了主机上传了19.php一句话后门和images.php后门不得了啊唉,放我们的服务器一马 2013-5-31 19:51 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 12 楼 http://chunengwang.XXXXX.com/data/upload/20120609034635173.jpg ----------------------------------------------------------------------------------------------- 上传的附件： Capture.JPG （89.78kb，15次下载） 2013-5-31 20:40 0
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 13 楼哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈，不解释；你们随便吧 2013-6-1 08:22 0
clac 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 84 粉丝 1 关注私信	clac 14 楼 http://www.baidu.com/s?tn=baiduhome_pg&ie=utf-8&bs=site%3Akljjz.com+inurl%3Aphp%3Fid%3D&f=8&rsv_bp=1&rsv_spt=1&wd=site%3Akljjz.com+inurl%3Aphp%3Fid%3D1991&rsv_sug3=4&inputT=1157 2013-6-2 00:07 0
guobing 雪币： 11111 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 15 楼有没有发现，通过搜索其中的关键注入点，能搜出这一类网站，并且主帐户密码都是一样的。不过也就没几个能玩的。 2013-6-3 13:59 0
DeBugZero 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	DeBugZero 16 楼我能回复个“呵呵”么？不能么？那我回复“阿弥陀佛”吧 2013-6-4 20:20 0
勇敢者雪币： 516 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 105 粉丝 0 关注私信	勇敢者 17 楼支持，现在是拼经验拼知识拼人品的时代了。 2013-6-6 09:15 0
kabe 雪币： 6 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 43 粉丝 0 关注私信	kabe 18 楼楼主，找到网站了，没做任何事。最后善意提醒一句，以后马赛克的时候记得码全了！包括地址，英文名字和页面信息！不然你这就是等于没码。 2013-6-6 09:25 0
工程雪币： 87 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 91 粉丝 0 关注私信	工程 19 楼 http://www.kljjz.com/ 2013-6-6 09:31 0
涅槃小鸟雪币： 54 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 96 粉丝 0 关注私信	涅槃小鸟 20 楼测试的目的和意义是什么？ 2013-6-6 09:49 0
hhxlovety 雪币： 69 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 61 粉丝 0 关注私信	hhxlovety 21 楼膜拜回复 2013-6-26 23:02 0
乐随翔雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	乐随翔 22 楼不推荐大家用工具，手工注入才是最能提高技术的。工具的不知道原理，入门太低，要知其所以然 2013-6-27 08:53 0
JADE南斗雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	JADE南斗 23 楼 www.kljjz.com The website you were trying to reach is temporarily unavailable. Please check back soon. If you are the owner of this website, please log in for additional information or contact us as soon as possible. 2013-6-27 10:14 0
Holmium 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 0 关注私信	Holmium 24 楼只有sql注入吗？拿shell了提权了丢后门了？　内网渗透了？　　求继续 2013-6-28 11:01 0
lnck 雪币： 9 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	lnck 25 楼额。。。。。。。。。。。坑贴啊！ 2013-7-14 21:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

刘志军

发帖

149

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 2 楼纯测试，没做破坏；提权就不做了 2013-5-30 17:26 0
垃圾一个雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	垃圾一个 3 楼都码成这样了，给人感觉就是找到，工具，然后就木有然后 2013-5-30 22:22 0
CRoot 雪币： 3366 活跃值： (1353) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 4 楼不说说神马文件出现了什么过滤不严，光看到。。密码出来了，没了，求过程，技术 2013-5-30 22:35 0
apxar 雪币： 390 活跃值： (768) 能力值： ( LV3，RANK：20 ) 在线值：发帖 71 回帖 164 粉丝 0 关注私信	apxar 5 楼发去乌云把,不过通过工具,真心没意思 2013-5-30 23:46 0
深渊魔王雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	深渊魔王 6 楼给菜鸟们介绍下用啥工具吧？破解只做爆破，端游辅助自认不是那块料，按键精灵比民工都不如，，， 2013-5-31 09:25 0
ketonfly 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	ketonfly 7 楼对呀，介绍下用的什么工具把～～ 2013-5-31 09:42 0
guobing 雪币： 11111 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 8 楼 Havij ，看着像注入点，直接仍进去扫。现在能找个注入点，rp很重要。 2013-5-31 17:05 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 9 楼后台呢？传马了么？提权了么？脱裤了么？代码打包了么？嗅探了么？装rootkit了么？ ………… …… 2013-5-31 19:17 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 10 楼 868800 .......................................... 另外的没破出来的密码我告诉你吧：cx8079078 是有点难破啊开玩笑啊? 2013-5-31 19:43 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 11 楼我代表 USA国犹他州普罗沃市HostMonster公司向楼主提起抗议你竟敢只注入不提权,察看了日志,发现你扫了主机上传了19.php一句话后门和images.php后门不得了啊唉,放我们的服务器一马 2013-5-31 19:51 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 12 楼 http://chunengwang.XXXXX.com/data/upload/20120609034635173.jpg ----------------------------------------------------------------------------------------------- 上传的附件： Capture.JPG （89.78kb，15次下载） 2013-5-31 20:40 0
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 13 楼哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈，不解释；你们随便吧 2013-6-1 08:22 0
clac 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 84 粉丝 1 关注私信	clac 14 楼 http://www.baidu.com/s?tn=baiduhome_pg&ie=utf-8&bs=site%3Akljjz.com+inurl%3Aphp%3Fid%3D&f=8&rsv_bp=1&rsv_spt=1&wd=site%3Akljjz.com+inurl%3Aphp%3Fid%3D1991&rsv_sug3=4&inputT=1157 2013-6-2 00:07 0
guobing 雪币： 11111 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 15 楼有没有发现，通过搜索其中的关键注入点，能搜出这一类网站，并且主帐户密码都是一样的。不过也就没几个能玩的。 2013-6-3 13:59 0
DeBugZero 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	DeBugZero 16 楼我能回复个“呵呵”么？不能么？那我回复“阿弥陀佛”吧 2013-6-4 20:20 0
勇敢者雪币： 516 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 105 粉丝 0 关注私信	勇敢者 17 楼支持，现在是拼经验拼知识拼人品的时代了。 2013-6-6 09:15 0
kabe 雪币： 6 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 43 粉丝 0 关注私信	kabe 18 楼楼主，找到网站了，没做任何事。最后善意提醒一句，以后马赛克的时候记得码全了！包括地址，英文名字和页面信息！不然你这就是等于没码。 2013-6-6 09:25 0
工程雪币： 87 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 91 粉丝 0 关注私信	工程 19 楼 http://www.kljjz.com/ 2013-6-6 09:31 0
涅槃小鸟雪币： 54 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 96 粉丝 0 关注私信	涅槃小鸟 20 楼测试的目的和意义是什么？ 2013-6-6 09:49 0
hhxlovety 雪币： 69 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 61 粉丝 0 关注私信	hhxlovety 21 楼膜拜回复 2013-6-26 23:02 0
乐随翔雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	乐随翔 22 楼不推荐大家用工具，手工注入才是最能提高技术的。工具的不知道原理，入门太低，要知其所以然 2013-6-27 08:53 0
JADE南斗雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	JADE南斗 23 楼 www.kljjz.com The website you were trying to reach is temporarily unavailable. Please check back soon. If you are the owner of this website, please log in for additional information or contact us as soon as possible. 2013-6-27 10:14 0
Holmium 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 0 关注私信	Holmium 24 楼只有sql注入吗？拿shell了提权了丢后门了？　内网渗透了？　　求继续 2013-6-28 11:01 0
lnck 雪币： 9 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	lnck 25 楼额。。。。。。。。。。。坑贴啊！ 2013-7-14 21:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复