SA权限入侵感悟

作者&＃xff1a;红色银狐文章来源&＃xff1a;黑客防线
想必大家都知道MSSQL中SA权限是什么&＃xff0c;可以说是至高无上。黑客防线前几期
都曾经提到过它&＃xff0c;也谈了它的危害&＃xff0c;今天我就它的危害再谈点儿。我所讲的是配合NBSI上传功能得到WebShell。在讲之前先说几个条件&＃xff0c;否则得到Shell是有难度的。
1&＃xff0e;存在SQL注入&＃xff0c;并且数据库类型是MSSQL。
2&＃xff0e;连接数据库的权限必须是SA。
3&＃xff0e;后台必须有文件上传的程序。
好了&＃xff0c;我们找到一个网址[url]http://www.69369.com/fangchan/listpro.asp?id&＃61;53[/url]&＃xff0c;用NBSI一会就一目了然了。
很好&＃xff0c;数据库类型是MSSQL&＃xff0c;权限是SA&＃xff0c;再看看第三个条件满足不满足。找到页面中的文章&＃xff08;新闻&＃xff09;&＃xff0c;看看里面的图片的地址是什么。好&＃xff01;一看就明白了[url]http://www.69369.com/admin/uploadpic/2005042823082994329.gif[/url]&＃xff0c;你明白了吗&＃xff1f;特别是2005042823082994329.gif 这下我们敢肯定后台有上传文件的功能了。下面做什么呢&＃xff1f;晕&＃xff0c;找出该网站所在的路径呀。这个嘛就得全靠NBSI的NB Commander&＃xff08;NB Tree_List&＃xff09;功能了&＃xff08;在这里我推荐大家用NB Commander&＃xff0c;为什么呢&＃xff1f;看完文章就知道了&＃xff09;&＃xff0c;不过找出网站所在的真实路径需要花一定的时间&＃xff0c;那就看你有没有耐心了。我敢说只要有耐心&＃xff0c;肯定能找出网站所在的真实路径。这里我找到了这个站点所在的路径D:\96369&＃xff0c;接着就是后台了&＃xff0c;很快就得到Admin/login.asp&＃xff0c;接下来就是账号和密码的猜解了。不过我这次猜解出现了问题。说什么也弄不出他的账号和密码&＃xff0c;难道都是空的&＃xff1f;我不相信&＃xff0c;就试着登录了一下&＃xff0c;结果失败了。于是从这开始&＃xff0c;NB Commander功能就显得非常重要了(因为大家都知道&＃xff0c;列目录NB Command和NB Tree_List都能实现)&＃xff0c;我找到文件conn.asp&＃xff0c;用type D:\96369\admin\logining.asp命令看了看源代码。
够狠吧&＃xff01;读了读代码没有问题呀&＃xff01;就是用的admin表字段也一样&＃xff0c;不多说了&＃xff0c;谁能知道其中的原因&＃xff1f;请告诉俺一下&＃xff0c;也让俺这只菜鸟走出困惑。进不了后台怎么上传图片呢&＃xff1f;这里我用NBSI的上传功能&＃xff0c;我试过了&＃xff0c;没有成功。因为我传上去后&＃xff0c;看到代码每行都重复三次&＃xff0c;也不知是为什么&＃xff0c;就是用臭要饭的Getwebshell也是同样的结果。
我想有了&＃xff0c;看看它的Session是怎么验证的&＃xff0c;又是一个type D:\96369\admin\quanxian.asp。通过分析很快就明白了&＃xff0c;它给Session(“wsl”)赋了一个值为1&＃xff0c;哈哈&＃xff01;我写了一个非常简单的程序。用NBSI的上传功能传了上去&＃xff0c;我想不管重复几次都是正确的&＃xff08;这里你又会想到什么呢&＃xff1f;如果密码是MD5的&＃xff0c;我们没有必要去爆破了&＃xff0c;弄个session就ok了&＃xff09;&＃xff0c;传上去保存为1.asp&＃xff0c;然后我访问[url]http://www.69369.com/admin/1.asp[/url]&＃xff0c;接着访问[url]http://www.69369.com/admin/admin_index.asp[/url]&＃xff0c;OK,Very Good。就这样进入了后台。本地测试。
小提示&＃xff1a;Session变量和COOKIEs是同一类型的。如果某用户将浏览器设置为不兼容任何COOKIE&＃xff0c;那么该用户就无法使用这个Session变量&＃xff01; 当一个用户访问某页面时&＃xff0c;每个Session变量的运行环境便自动生成&＃xff0c;这些Session变量可在用户离开该页面后仍保留20分钟&＃xff01;&＃xff08;事实上&＃xff0c;这些变量一直可保留至“timeout”。“timeout”的时间长短由Web服务器管理员设定。一些站点上的变量仅维持了3分钟&＃xff0c;一些则为10分钟&＃xff0c;还有一些则保留至默认值20分钟。&＃xff09;所以&＃xff0c;如果在Session中置入了较大的对象&＃xff08;如ADO recordsets&＃xff0c;connections&＃xff0c; 等等&＃xff09;&＃xff0c;那就有麻烦了&＃xff01;随着站点访问量的增大&＃xff0c;服务器将会因此而无法正常运行&＃xff01;
因为创建Session变量有很大的随意性&＃xff0c;可随时调用&＃xff0c;不需要开发者做精确地处理&＃xff0c;所以&＃xff0c;过度使用session变量将会导致代码不可读而且不好维护。

这样我找到上传图片的地方&＃xff0c;把asp木马改成.gif传了上去&＃xff0c;记住了上传后的名字&＃xff0c;这里是uploadpic\20056171430123.gif&＃xff0c;那么你会想到什么呢&＃xff1f;哈哈我想起来了&＃xff0c;把图片copy成.asp的&＃xff0c;或者重命名成.asp的。
好了&＃xff0c;到这里我们的马就算是上去了&＃xff0c;至于以后的事情就不提了。

总结&＃xff1a;SA的确给我们带来了很大危害&＃xff0c;所以程序员在连接MSSQL数据库的时候千万不能用它&＃xff0c;否则服务器成为肉鸡的可能性非常非常的大。还有&＃xff0c;MSSQL 的扩展存储功能&＃xff0c;用不到它就删除&＃xff0c;留着就成了黑客的利器。

本文转自loveme2351CTO博客&＃xff0c;原文链接&＃xff1a;http://blog.51cto.com/loveme23/8510 &＃xff0c;如需转载请自行联系原作者

SA权限入侵感悟

介绍一个免费的具备数据显示/录入/更新/删除功能的asp.net控件

基于layUI的图片上传前预览功能的2种实现方式

Java工具类库Hutool介绍及功能概述

Java多线程总结（8）concurrent.locks包下的锁机制的使用

oracle恢复失败,RMAN数据库恢复失败解决一例

微信商户扫码支付 java开发 [从零开发]

JVS快速开发框架2.1.4版本更新功能说明，请收下

Yii framwork 应用小窍门

非常全的跨域实现方案

【CTF 攻略】第三届 SSCTF 全国网络安全大赛—线上赛 Writeup

03Spring使用注解方式注入

destoon会员注册提示“数据校验失败（2）”解决方法【PHP】

PHP连接MySQL的2种方法小结以及防止乱码【PHP】

Java大文件HTTP断点续传到服务器该怎么做？

【BP靶场portswigger服务端10】XML外部实体注入（XXE注入）9个实验（全）