web版注入工具(asp+mssql)beta 3 final release

    [阴 October 3, 2007 10:31 | by ]
文章作者:MIKA[EST]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

说实话俺本来不想再发了,因为俺发出来以后没人给俺提提意见(俺不需要你说那些夸奖的话,俺只是想能有人提出一些建议或者修正一些bug),先前发的那些有一些代码是肯定有问题的了,可是就只见有人用没见有人提出这些不对的地方,好伤心啊
但是俺当初说了,有更新就发出来,俺不能说话不算数。所以俺把这个最终版发出来,以后俺不会再更新了,有能力的人自己想添什么东西自己弄吧,不是都让开源吗?这个可都是原代码,如果你不知道怎么改那就是你自己的事了。
最终版添加的功能比较多,改动的地方也很多,所以俺单独开贴发出来,希望冰冰哥哥不要怪俺。
增加了一些常用的功能函数:
1、获取数据库服务器信息,包括一些扩展存储是否可用(但有的时候并不是很准确)
2、log备份获取webshell
3、差异备份获取webshell
4、xp_dirtree列目录
5、xp_regread读注册表
6、xp_cmdshell执行命令
7、自定制sql语句执行

如下图:http://photo5.yupoo.com/20070930/142500_823096547.jpg
需要说明的是备份webshell的时候,“ Webshell Absolute Path”这一栏是填webshell的绝对路径的,比如c:\inetpub\wwwroot\mimi.asp。
当执行备份webshell的时候,页面下面会显示执行的进度,每条语句都会显示出来。有红色的,有兰色的,当显示红色的时候说明页面返回错误(http头返回状态非200),而兰色表示返回正常(http头状态是200),但是俺这里特别强调一点,经过俺多次测试发现,即使返回红色信息,wbshell也能正常备份,所以不要太以来于返回的信息,去试一下就知道是否成功了。

程序运行界面如下:
http://photo5.yupoo.com/20070930/142502_1774406227.jpg
下面这个截图是列目录的时候抓取的:
http://photo11.yupoo.com/20070930/142457_211080766.jpg
这个截图就是获取服务器信息的:
http://photo5.yupoo.com/20070930/142506_432954933.jpg
另外为了让这个工具更加实用,俺让它不仅仅只针对cookie注入了,url注入也一样用了,如下图,具体的方法好好看一下页面上的说明。
http://photo5.yupoo.com/20070930/142507_292914647_skoqirmn.jpg
看到上面这个图了吗?后面多了两个,url不用说了就是url注入,cookie就是cookie注入了。

最后俺再罗嗦几句,俺BF让俺打的下段,跟俺没关系的:”论坛气氛大不如以前了,大家都藏着掖着,很多人以前辈自居,每每评说某项技术的时候,总是指指点点,含含糊糊地说几句高深漠测的话,便算是讨论技术了。我自己也是,无法安心于过去那种畅快淋漓的讨论,只好暂时退隐。但我一直希望能看到论坛有所起色,故让我媳妇在这里调节一下气氛,当然这个气氛不是一个人能带起来的。但气氛是可以感染的,希望她带来的那点气氛能感染到每一个曾经追求技术的人,使论坛尽快恢复原有的气息!“
PHP 这个东西还是挺好的,它的函数库非常庞大,有很多你想不到的功能函数php都有,所以用它来写一些实用性的工具还是蛮好的,希望大家读完这个帖子收获的不仅仅是一个工具
download:http://201314.free.fr/attachments/200709/mika.rar

Download ( 752 downloads)
Tags: , ,
Tools | Comments(0) | Trackbacks(0) | Reads(12584)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive