Sql Injection脚本注入终极利用方法

下面再举一个万能提权的例子
和我一起打造一个永远不会被杀及完美的后门
我们都知道在sql中有个被黑客称为后门的用户，那就是sa，sa 是内置的管理员登录，而且不能进行更改和删除。呵呵，这是M$说的，要是你看过我写的另外一篇文章《完全删除sa这个后门》就知道，其实sa也是好删除的。我们知道在sql可以改密码的存储过程有sp_password,可是我们必须知道要改的用户的旧密码，才可以更改，那么有没有办法再不知道旧密码的情况下更改sa的密码呢？有，其实也就是利用sp_configure,sp_configure的功能是显示或更改当前服务器的全局配置设置。sp_configure（用于更改配置选项）的执行许可权限默认授予 sysadmin和 serveradmin 固定服务器角色。这很容易只要把sp_configure中检查权限的一段删除，再重建，我们就好用拉。

ok，我们再
sp_configure ’allow updates’,1
go
RECONFIGURE WITH OVERRIDE
go
好拉这样我们才好更改sa的密码。接着update sysxlogins set
password=0x0100AB01431E944AA50CBB30267F53B9451B7189CA67AF19A 1FC944AA50C
BB30267F53B9451B7189CA67AF19A1FC where sid=0x01,这样sa的密码就被我们改成拉111111拉。呵呵，解决的方法就是把sa给删拉。，怎么删可以参考我的《完全删除sa这个后门》。

实例：
下面对一个国内非常出名的站点进行善意的攻击测试，来对上面的知识进行一次大概的验证，出于影响等诸多因素，我们称这个站点为www.**173.com。www.**173.com这个站点在游戏上很有名气,排名在前20名（我当时测试的时候），在这里我不想说我怎么找到的注射点，大家还可以找找，还是满多的（整个测试可真花费拉我不少时间，别误会，我不是说时间花在“检测”上，而是都放在写程序里面拉，不写个像样点的程序，怎么让我为所欲为呢？整个攻击只有10分钟不到）。

在找到的注射点gametype=**（郁闷，要是当时测试的时候有nbsi2，偶可能要轻松不少），先输入drop procedure sp_addlogin,然后在IE里面输入（呵呵，我当然是在我写的程序里面输入拉）
接着再exec master..sp_addsrvrolemember xwq,sysadmin我们拿sql综合利用工具或者查询分析器连上看看，呵呵，成功拉，这样我们就在www.**17173.com的服务器上建拉一个具有最高权限的用户xwq拉，下面的事我想大家都应该回做拉吧。呵呵，因为只是安全测试，我并没有深入下去，删拉帐号，清除日志，闪人。

看到拉吧，我的必杀技之一——万能提权的威力拉吧，只要是给我一个注射点，无论什么权限，我都会给你一个webshell甚至系统权限.呵呵，其实说万能的提升权限方法的确是有点夸张拉，因为CREATE PROCEDURE 的权限默认授予 sysadmin 固定服务器角色成员和 db_owner 和 db_ddladmin 固定数据库角色成员，你要是碰到Public的权限，那就不好使用拉。不过不要以为换成public权限,就没有办法拿到webshell或者系统权限拉，恰恰相反，据我所知public权限的用户拿到webshell甚至系统权限的方法至少也有5种。最好的防范方法就是杜绝注射漏洞，这才是治标又治本的解决方法。（呵呵，要我说，最好连public的权限都不要给，可惜已经没有比public权限更低的角色拉，没办法谁叫public也可以利用很多有危险的存储过程呢，而且public无法除去，看来M$对我们这些“坏人”还是很厚爱的哦）

后记
这篇文章是我自2004年4月份装上SQL以来利用课余时间学习研究的，12月初旬写完，由于危害太大，我一直都不太敢发布，相信国内也有人知道的。只是不公开而已。经过再三考虑还是决定发布了，希望大家掌握了以后，不要对国内的站点做任何具有破坏性的操作。再这篇文章里我并没有提到public权限的用户怎么拿到webshell或者系统权限，据我所知public权限的用户拿到webshell甚至系统权限的方法至少5种（偶目前只会5种，可能还有更多的方法，要是哪位高手会更多，希望能不吝赐教，偶先谢拉），鉴于危害实在太太大，现在还不是公布这些关键技术细节的时候，等到拉一个适当的时机，我会把我所掌握的知识无私奉献给大家再重申一次。不要对任何国家的任何合法主机进行破坏，否则后果自负.

上一页  [1] [2] [3]