web和数据库服务器数据分离有哪些情况?这些情况如何解决?
前言:在我们入侵的过程中,很多人会遇到这种情况,拿到一个sa权限或是db_owner权限的注入点,但是数据库和web数据是两台分离的服务器,也就是没有在同一台服务器上。有些是sa权限的注入点,我们当然可以直接执行命令,开了3389,但这时候有人直接用网址的ip去连接,怎么连接不上呢?明明用户是建好了的。有的遇到一个db_owner权限的注入点,想通过差异备份得webshell,可找了半天找不到目录,这是为什么呢?
总结:
带着疑问步入今天的话题,我们常常遭遇web和数据库服务器数据分离的情况,这种情况大至有以下以种:
1. Sa权限的注入点,可以执行命令,但连接不上netstat –an列出来的端口。
2. Sa权限的注入点,不能执行命令,但可以列目录。
3. db_owner权限的注入点,可以列目录。
4. db_owner权限的注入点,不能列目录。
针对上面的问题,我们大致说一下应对的方法,然后结合一个实例进行说明具体的拿服务器权限的过程。
像这种数据库与web分离的情况下,首先我们尽可能的拿到数据库服务器的权限,因为我们一般是通过找到网站的注入点着手的。如果是sa权限的注入点,可以执行命令,不能连接所开放的端口,这种情况下就是服务器处于内网之中,通过一个内网ip与web文件相连接,我们需要通过内网转发来登录数据库服务器。这中间涉及到down.vbs下载lcx.exe,上传注册表文件开3389等细节不详说了。
如果是sa权限的注入点,不能执行命令,我们可以试试nbsi中的oacreate来执行,或是能列目录找数据库服务器上是否存在web来首先得到一个webshell再进一步提权。
对于db_owner权限的注入点,这种权限比较低,可以试一下db_owner低权限执行命令,或是列下数据库服务器上是否存在web服务,先得到一个webshell进一步提权,剩下的就只有原始的猜解表段和字段,通过找主站后台来进一步突破了。
实例
下面的例子是帮朋友血印拿一个美国排名比较靠前的一个华人站点总结出来的,有必要写出来与大家分享。我们先看一下大致情况如图:
从上图中我们可以看到,这是一个主站的页面,还有很多分站,如“游戏中心”、“交友”、“聊天室”等。主站是整合的dvbbs7.1 sql版的,常规漏洞是没有的,有一个blog是oblog的,血印叫我帮拿这个站的时候就说他在网上搜了一下,oblog存在多个漏洞,如“读本地任意文件漏洞”、“导出日志注入漏洞”,他希望从这里着手。
我便在网上搜了一下这两个漏洞的相关信息,既然已找到入口,先从这里去试试看。先看了一下user_help.asp?file=conn.ASP读网站的conn.asp,这里要注意的是代码里过滤了asp,所以把conn.asp的asp后缀改为大写的,最好用firefox,是读到一些信息,如下图:
这里可以获得一些有用信息:'Dim SqlDatabaseName,SqlPassword,SqlUsername,SqlLocalName SqlDatabaseName = "sqlbbs" SqlPassword = "860755" SqlUsername = "sa" SqlLocalName = "192.168.1.1",可以得知mssql的帐号和密码,可是很明显mssql只对内开放的,是一个内网ip。先将这个信息收集起来,找找它的数据库服务器看是否支持外网连接。
分析了一下主站,telnet ip 1433 还有3389等端口,和想像的一样,主站只开了80端口,那么这里我们可以猜测到数据库和服务器应该是分离的,并只在内网支持连接。其实这样的大站不用想也应该是这样设置的。
那么我们怎么找到哪一台是数据库服务器呢?朋友血印也在一起搞,他扫了一下这个网段,没有开1433的服务器,这就增加了难度,难道1433真的不能对外连接,那么这个读出来的mssql帐号和密码对我们没有什么用处了,就算社会工程学一下都很难。
还有一个oblog的注入,但这个注入有点恼火,因为是一个user_logzip_
file.asp文件里面的如下语句没有做过滤:
sdate=request("selecty")&"-"&request("selectm")&"-"&request("selectd")
edate=request("selectey")&"-"&request("selectem")&"-"&request("selected")
只得手动提交参数给这个文件,但这个文件里又有一个头文件作了如下判断:
ComeUrl=lcase(trim(request.ServerVariables("HTTP_REFERER")))
if ComeUrl="" then
response.write "
对不起,为了系统安全,不允许直接输入地址访问本系统的后台管理页面。"
看来ie是没办法的了,只有上firfox,利用插件截取表单和提交表单了。如图:
但导出来的txt文本都是一般用户的垃圾信息,管理员的字段改了,还过滤了一些字符。本来想暴管理员的密码出来,可现在字段又被改了,更恼火的是字符被过滤得差不多,搞了半天也没有弄到啥。
可现在一想,就算拿到管理员密码又有什么用?密码虽和dvbbs论坛的密码可能是用的一个库,但应该是md5加密的,如果不是用的一个库,那么进了 oblog拿webshell也不容易,更何况这个注入点还被过滤了字符。这么大的站不能困死在这一个地方,到其它地方看看,还有那么多的分站没有分析。
想完便到分站上去转了转,可一圈下来还是无奈,分站全是生成的静态页面,看样子分站的程序都是自己写的,查看了静态页面的源代码,是用的asp,试了几个链接也没有用。也许是习惯问题吧,试试google来查找注入了,既然是自己写的程序,难免会出一点差错,其实这里还有一个经验问题,在遇到大站都是静态页面的话通过google来查找注入点是很有效的。
根据我的习惯,打开啊d,这时候当然用软件来检测最快了,输入google.com 点高级,先择每页显示100条,再按google语法输入“site:xxxx.us asp”,site:后面不要跟www,因为还要搜索它二级域名的注入点,所以直接跟xxxx.us,运气不错,在第一页中就搜出来一个注入点,仅有的一个注入点,好难得,还是game.xxx.us域名上的。还好,是 db_owner权限,还可以列目录,真幸运,如图:
这就是我们常常在入侵过程中要寻找的突破点,这就是一个典型的突破点。
通过差异备份获得一句话马,再上传大马,还好权限不是设得很严,再加上上面装了个serv-u,直接用serv-u加个用户试试,居然提权成功,我在想这个管理员应该是中国的,里面还在卖游戏点卡,郁闷。
3389是开开的,为了安全起见,我从先关掉韩国的vpn,因为我的习惯一般在拿站的时候上vpn的,好处多多,速度也要快不少。然后登上台湾的3389肉机,再在肉机上连接数据库服务器的3389上去看看。如图:
上图是在台湾3389上面登到美国服务器上的,有点乱,我们打开mssql企业管理器,清楚的看到sqlbbs这个库,我们想到什么了,dvbbs数据库就在这个服务器上,很幸运,看了一下设置情况果然是内网连接的。对于dvbbs我们国内的朋友搞多了就知道,只要拿到管理员密码就很好搞了。但打开数据库 dv_admin表里面的密码是md5加密的,我索性把这个密码记下来,再改成自己的md5加密的密码,速战速决嘛。
现在我们向主站进攻,直接登录管理员帐号,做个mdb附加的asp马,再改成.jpg的,上传上去,接下来就是备分了,写了一个本地提交备分的。
upload:
copy to:
在这里还出现了一点小小的插曲,路径我填的upfiles/xxxx.gif可老是出现不是有效的数据库,最后研究了半天,原来管理员把上传的目录改成了upimages,真够郁闷,折腾了一下终于备份成功,如图:
接下来当然要做就做完了,同样,里面又是装的个serv-u,做事就做到底吧,上传个2003.reg开个3389,还好2003的服务器不用重启,给一个3389给血印同志就玩工了。
尾声:
血印同志看到我给他一个完整的3389服务器感激不尽,一直问我咋个进去的,其实很简单,我们在入侵的过程中寻找突破口很重要,要懂得放弃,在一个有破绽的地方久久没办法突破就想其它的办法。黑客技术是经验和思维的积累,其实很多情况下都没有什么高深复杂的技术,它需要我们的耐心和技巧。
android平台的漏洞 什么是sql注入漏洞?
0x0前言14年11月笔者在百度xteam博客中看到其公开了此前报告给Google的CVE-2014-8507漏洞细节——系统代码在处理经由短信承载的WAP推送内容时产生的经典SQL注入漏洞,影响Android 5 0以下的系统。于是对这个漏洞
详情2018-01-06 15:28:03责编:llp 来源:驱动管家belkin路由器设置 adsl怎么绕过身份验证?
adsl绕过身份验证的方法代码如下:< head>html code to bypass the webinterface password protection of the Belkin wireless G router adsl2 modem It worked on m
详情2018-01-24 14:51:38责编:llp 来源:驱动管家google搜索网址出现g.cn渐隐广告怎么办?
有时候,当你打开某个Google搜索网址的时候(例如:卡卡网速测试),会出现一个G cn的渐隐广告如下:咋一看,还以为中了病毒。每刷新一次搜索网址,就会出现一次这个广告。分析一下为什么会出现这个广告,当然是
详情2018-02-03 13:02:57责编:llp 来源:驱动管家怎么查证你的浏览器存在ie漏洞?
JavaScript IE 6 漏洞 其利用代码如下: <script type= "text jscript "> function init() { document write( "The time is: " Date() ); } window onload = init; < script> 利用此代码可
详情2018-01-10 09:59:11责编:llp 来源:驱动管家怎么利用ldap服务器攻击网站?ldap服务器攻击的威力
大家都知道前不久出现的DDoS攻击“Mirai”,导致美国半数的互联网瘫痪,是不是很厉害啊,现在下面就为大家介绍一个最新的DDoS攻击,要让DDoS攻击力更彪悍。LDAP据Corero网络安全公司披露,上周发现一种新型DDoS攻
详情2018-01-03 18:56:56责编:llp 来源:驱动管家手把手教你捕获数据包 捕获数据包的方法
前 言经常看到论坛有人问起关于数据包的截获、分析等问题,幸好本人也对此略有所知,也写过很多的sniffer,所以就想写一系列的文章来详细深入的探讨关于数据包的知识。我希望通过这一系列的文章,能使得关于数据
详情2018-01-21 14:33:20责编:llp 来源:驱动管家如何降低ie浏览器遭到劫持的风险?
降低浏览器遭到劫持等风险,非IE用户也可以酌情考虑一下,毕竟IE的功能拓展就目前而言是最好的。操作步骤如下:1 单击【开始】菜单2 运行【gpedit msc】进入本地组策略编辑器3 进入【用户配置】4 进入【管理模板
详情2018-02-18 11:09:51责编:llp 来源:驱动管家什么是rsa算法?rsa算法的发展历史
它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作,也很流行。算法的名字以发明者的名字命名:Ron Rivest, Adi Shamir 和Leonard Adleman。但RSA的安全性一直未能得到理论上的证明。它
详情2018-01-06 09:20:19责编:llp 来源:驱动管家vmware是什么?vmware软件存在允许用户获得权限提升和拒绝服务漏洞
描述: BUGTRAQ ID: 28289 CVE(CAN) ID: CVE-2007-5618,CVE-2008-1364,CVE-2008-1340VMWare是一款虚拟PC软件,允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。VMWare产品中存在多个安全漏洞
详情2018-01-23 17:00:10责编:llp 来源:驱动管家学习编程的五种推荐方案 basic语言的优缺点
如果您想学习编程,却又不知从何入手,那么您不妨看看下面的几种学习方案,可能会给您一些启示吧!方案一 Basic语言 & Visual Basic优点(1)Basic 简单易学,很容易上手。(2)Visual Basic 提供了强大的
详情2018-02-13 19:29:26责编:llp 来源:驱动管家
- 淘宝助理5乱码了是怎么回事?淘宝助理乱码怎么解决?
- 什么是无线ap?无线ap是用来做什么的?
- AMD R5-1500X和Intel i5-8400评测 哪一个才是“吃鸡”性价比之神
- 【游戏攻略】绝地求生四排上分 落点与进圈的打法套路
- 【游戏资讯】绝地求生碰见过哪些很肥的房子 落地就是98K 8倍镜
- XP系统远程桌面开了却连接不上是什么情况?如何解决
- Win10系统检测网络提示“已禁用对该状态进行检测的服务” 如何解决
- 笔记本屏幕暗是什么原因?有什么解决方法
- 金立s9配置参数如何?金立s9亮点有哪些?
- 怎么在电脑上输入双喜字?双喜字输入方法
- 什么是配置漏洞?怎么利用配置漏洞获得主机权限?
- 大势所趋?Airbnb将进军酒店和在线旅游行业
- 【游戏攻略】绝地求生掩体后射技巧击 1倍镜观察套路
- system idle process是什么任务进程?有什么用
- 电脑主机后面声音正常但是电脑前面耳机没有声音是怎么回事?
- 金立s8截图方法在这里 金立s8截图的两种方法
- 怎样手动创建ubuntu系统网桥?ubuntu系统如何配置网桥?
- windows柯达图像查看器存在内存破坏漏洞 临时解决方法是什么?
- CPU要不要根据主板来选择?CPU怎么和主板搭配才合适
- Office2019预览版可以下载了!快来看看有什么新功能