：在我們?nèi)肭值倪^程中，很多人會(huì)遇到這種情況，拿到一個(gè)sa權(quán)限或是db_owner權(quán)限的注入點(diǎn)，但是數(shù)據(jù)庫和web數(shù)據(jù)是兩臺(tái)分離的服務(wù)器，也就是沒有在同一臺(tái)服務(wù)器上。有些是sa權(quán)限的注入點(diǎn)，我們當(dāng)然可以直接執(zhí)行命令，開了3389，但這時(shí)候有人直接用網(wǎng)址的ip去連接，怎么連接不上呢？明明用戶是建好了的。有的遇到一個(gè)db_owner權(quán)限的注入點(diǎn)，想通過差異備份得webshell,可找了半天找不到目錄，這是為什么呢？

總結(jié)：

帶著疑問步入今天的話題，我們常常遭遇web和數(shù)據(jù)庫服務(wù)器數(shù)據(jù)分離的情況，這種情況大至有以下以種：

1． Sa權(quán)限的注入點(diǎn)，可以執(zhí)行命令，但連接不上netstat –an列出來的端口。

2． Sa權(quán)限的注入點(diǎn)，不能執(zhí)行命令，但可以列目錄。

3． db_owner權(quán)限的注入點(diǎn)，可以列目錄。

4． db_owner權(quán)限的注入點(diǎn)，不能列目錄。

針對上面的問題，我們大致說一下應(yīng)對的方法，然后結(jié)合一個(gè)實(shí)例進(jìn)行說明具體的拿服務(wù)器權(quán)限的過程。

像這種數(shù)據(jù)庫與web分離的情況下，首先我們盡可能的拿到數(shù)據(jù)庫服務(wù)器的權(quán)限，因?yàn)槲覀円话闶峭ㄟ^找到網(wǎng)站的注入點(diǎn)著手的。如果是sa權(quán)限的注入點(diǎn)，可以執(zhí)行命令，不能連接所開放的端口，這種情況下就是服務(wù)器處于內(nèi)網(wǎng)之中，通過一個(gè)內(nèi)網(wǎng)ip與web文件相連接，我們需要通過內(nèi)網(wǎng)轉(zhuǎn)發(fā)來登錄數(shù)據(jù)庫服務(wù)器。這中間涉及到down.vbs下載lcx.exe，上傳注冊表文件開3389等細(xì)節(jié)不詳說了。

如果是sa權(quán)限的注入點(diǎn)，不能執(zhí)行命令，我們可以試試nbsi中的oacreate來執(zhí)行，或是能列目錄找數(shù)據(jù)庫服務(wù)器上是否存在web來首先得到一個(gè)webshell再進(jìn)一步提權(quán)。

對于db_owner權(quán)限的注入點(diǎn)，這種權(quán)限比較低，可以試一下db_owner低權(quán)限執(zhí)行命令，或是列下數(shù)據(jù)庫服務(wù)器上是否存在web服務(wù)，先得到一個(gè)webshell進(jìn)一步提權(quán)，剩下的就只有原始的猜解表段和字段，通過找主站后臺(tái)來進(jìn)一步突破了。

實(shí)例

下面的例子是幫朋友血印拿一個(gè)美國排名比較靠前的一個(gè)華人站點(diǎn)總結(jié)出來的，有必要寫出來與大家分享。我們先看一下大致情況如圖：



從上圖中我們可以看到，這是一個(gè)主站的頁面，還有很多分站，如“游戲中心”、“交友”、“聊天室”等。主站是整合的dvbbs7.1 sql版的，常規(guī)漏洞是沒有的，有一個(gè)blog是oblog的，血印叫我?guī)湍眠@個(gè)站的時(shí)候就說他在網(wǎng)上搜了一下,oblog存在多個(gè)漏洞，如“讀本地任意文件漏洞”、“導(dǎo)出日志注入漏洞”，他希望從這里著手。

我便在網(wǎng)上搜了一下這兩個(gè)漏洞的相關(guān)信息，既然已找到入口，先從這里去試試看。先看了一下user_help.asp?file=conn.ASP讀網(wǎng)站的conn.asp,這里要注意的是代碼里過濾了asp，所以把conn.asp的asp后綴改為大寫的，最好用firefox,是讀到一些信息，如下圖：



這里可以獲得一些有用信息：'Dim SqlDatabaseName,SqlPassword,SqlUsername,SqlLocalName SqlDatabaseName = "sqlbbs" SqlPassword = "860755" SqlUsername = "sa" SqlLocalName = "192.168.1.1"，可以得知mssql的帳號和密碼，可是很明顯mssql只對內(nèi)開放的，是一個(gè)內(nèi)網(wǎng)ip。先將這個(gè)信息收集起來，找找它的數(shù)據(jù)庫服務(wù)器看是否支持外網(wǎng)連接。

分析了一下主站，telnet ip 1433 還有3389等端口，和想像的一樣，主站只開了80端口，那么這里我們可以猜測到數(shù)據(jù)庫和服務(wù)器應(yīng)該是分離的，并只在內(nèi)網(wǎng)支持連接。其實(shí)這樣的大站不用想也應(yīng)該是這樣設(shè)置的。



那么我們怎么找到哪一臺(tái)是數(shù)據(jù)庫服務(wù)器呢？朋友血印也在一起搞，他掃了一下這個(gè)網(wǎng)段，沒有開1433的服務(wù)器，這就增加了難度，難道1433真的不能對外連接，那么這個(gè)讀出來的mssql帳號和密碼對我們沒有什么用處了，就算社會(huì)工程學(xué)一下都很難。

還有一個(gè)oblog的注入，但這個(gè)注入有點(diǎn)惱火，因?yàn)槭且粋€(gè)user_logzip_

file.asp文件里面的如下語句沒有做過濾：

sdate=request("selecty")&"-"&request("selectm")&"-"&request("selectd")

edate=request("selectey")&"-"&request("selectem")&"-"&request("selected")

只得手動(dòng)提交參數(shù)給這個(gè)文件，但這個(gè)文件里又有一個(gè)頭文件作了如下判斷：

ComeUrl=lcase(trim(request.ServerVariables("HTTP_REFERER")))

if ComeUrl="" then

response.write "

對不起，為了系統(tǒng)安全，不允許直接輸入地址訪問本系統(tǒng)的后臺(tái)管理頁面。"

看來ie是沒辦法的了，只有上firfox，利用插件截取表單和提交表單了。如圖：



但導(dǎo)出來的txt文本都是一般用戶的垃圾信息，管理員的字段改了，還過濾了一些字符。本來想暴管理員的密碼出來，可現(xiàn)在字段又被改了，更惱火的是字符被過濾得差不多，搞了半天也沒有弄到啥。

可現(xiàn)在一想，就算拿到管理員密碼又有什么用？密碼雖和dvbbs論壇的密碼可能是用的一個(gè)庫，但應(yīng)該是md5加密的，如果不是用的一個(gè)庫，那么進(jìn)了 oblog拿webshell也不容易，更何況這個(gè)注入點(diǎn)還被過濾了字符。這么大的站不能困死在這一個(gè)地方，到其它地方看看，還有那么多的分站沒有分析。

想完便到分站上去轉(zhuǎn)了轉(zhuǎn)，可一圈下來還是無奈，分站全是生成的靜態(tài)頁面，看樣子分站的程序都是自己寫的，查看了靜態(tài)頁面的源代碼，是用的asp，試了幾個(gè)鏈接也沒有用。也許是習(xí)慣問題吧，試試google來查找注入了，既然是自己寫的程序，難免會(huì)出一點(diǎn)差錯(cuò)，其實(shí)這里還有一個(gè)經(jīng)驗(yàn)問題，在遇到大站都是靜態(tài)頁面的話通過google來查找注入點(diǎn)是很有效的。

根據(jù)我的習(xí)慣，打開啊d，這時(shí)候當(dāng)然用軟件來檢測最快了，輸入google.com 點(diǎn)高級，先擇每頁顯示100條，再按google語法輸入“site:xxxx.us asp”，site:后面不要跟www，因?yàn)檫€要搜索它二級域名的注入點(diǎn)，所以直接跟xxxx.us，運(yùn)氣不錯(cuò)，在第一頁中就搜出來一個(gè)注入點(diǎn)，僅有的一個(gè)注入點(diǎn)，好難得，還是game.xxx.us域名上的。還好，是 db_owner權(quán)限，還可以列目錄，真幸運(yùn)，如圖：



這就是我們常常在入侵過程中要尋找的突破點(diǎn)，這就是一個(gè)典型的突破點(diǎn)。

通過差異備份獲得一句話馬，再上傳大馬，還好權(quán)限不是設(shè)得很嚴(yán)，再加上上面裝了個(gè)serv-u，直接用serv-u加個(gè)用戶試試，居然提權(quán)成功，我在想這個(gè)管理員應(yīng)該是中國的，里面還在賣游戲點(diǎn)卡，郁悶。

3389是開開的，為了安全起見，我從先關(guān)掉韓國的vpn，因?yàn)槲业牧?xí)慣一般在拿站的時(shí)候上vpn的，好處多多，速度也要快不少。然后登上臺(tái)灣的3389肉機(jī)，再在肉機(jī)上連接數(shù)據(jù)庫服務(wù)器的3389上去看看。如圖：



上圖是在臺(tái)灣3389上面登到美國服務(wù)器上的，有點(diǎn)亂，我們打開mssql企業(yè)管理器，清楚的看到sqlbbs這個(gè)庫，我們想到什么了，dvbbs數(shù)據(jù)庫就在這個(gè)服務(wù)器上，很幸運(yùn)，看了一下設(shè)置情況果然是內(nèi)網(wǎng)連接的。對于dvbbs我們國內(nèi)的朋友搞多了就知道，只要拿到管理員密碼就很好搞了。但打開數(shù)據(jù)庫 dv_admin表里面的密碼是md5加密的，我索性把這個(gè)密碼記下來，再改成自己的md5加密的密碼，速戰(zhàn)速?zèng)Q嘛。



現(xiàn)在我們向主站進(jìn)攻，直接登錄管理員帳號，做個(gè)mdb附加的asp馬，再改成.jpg的，上傳上去，接下來就是備分了，寫了一個(gè)本地提交備分的。

upload：

copy to：

在這里還出現(xiàn)了一點(diǎn)小小的插曲，路徑我填的upfiles/xxxx.gif可老是出現(xiàn)不是有效的數(shù)據(jù)庫，最后研究了半天，原來管理員把上傳的目錄改成了upimages,真夠郁悶，折騰了一下終于備份成功，如圖：



接下來當(dāng)然要做就做完了，同樣，里面又是裝的個(gè)serv-u，做事就做到底吧，上傳個(gè)2003.reg開個(gè)3389,還好2003的服務(wù)器不用重啟，給一個(gè)3389給血印同志就玩工了。



尾聲：

血印同志看到我給他一個(gè)完整的3389服務(wù)器感激不盡，一直問我咋個(gè)進(jìn)去的，其實(shí)很簡單，我們在入侵的過程中尋找突破口很重要，要懂得放棄，在一個(gè)有破綻的地方久久沒辦法突破就想其它的辦法。黑客技術(shù)是經(jīng)驗(yàn)和思維的積累，其實(shí)很多情況下都沒有什么高深復(fù)雜的技術(shù)，它需要我們的耐心和技巧。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。