在SQL注入里,SA权限一直是我们梦寐以求的好东东。(编辑部里最馋的那个谁说:啥好东东呀,又不能吃。)如果注入是SA权限,那我们入侵起来就比较容易了(西瓜扔来,天下人都知道!)
看了第八期红色银狐的《SA权限入侵感悟》,文中提到配合NBSI的上传功能得到WebShell的三个条件(大家可以看第八期的文章)。其实第三条完全不需要,只要是SA权限,我们用NBSI的上传功能就能得到可爱的WebShell。作者为什么会加上第三条:后台必须有文件上传的程序呢?因为他在利用NBSI的上传功能的时候出了问题,传上去的网页木马的代码每行都要重复三次,所以上传利用没有成功。但是我们完全可以想办法绕过这种情况。具体怎么样做我在这里先卖个关子(西瓜再次扔来!)。
当然,我这里讨论都是指数据库和WEB在同一台机器上的情况,而且进一步的提升权限及相关的操作也不在本文讨论范围之内。下面我们结合具体的例子来看看。
目标网站:http://www.target.net
(由于是我老同学的学校网站社区,所以隐去真实地址,告诉你们了,他会打死我的,呵呵)。
注入点:http://info.target.net/movie_see.aspx?id=381
不错,全站是基于asp.net的架构。但是从下面熟悉的出错提示中我们可以看出,存在着SQL注入。如图1所示。
图1
也许有人会问:asp.net的用什么工具呢?其实我们这里用NBSI照样可以实行注入。如图2所示。
图2
我们利用Tree_List的功能找到网站目录。如图3所示。
图3
得到物理路径后我们就可以上传木马。
有人要问了,在《SA权限入侵感悟》这篇文章中,作者不是尝试过,但上传失败了嘛,你还要怎么传啊?不错,我这里当然要跟他有点小小的区别,相信不少朋友都已经想到了。多行代码传上去不能成功,我只传一行不就行了?哈哈,我们传个C/S版网页木马的Server端过去,然后再用client端连接执行不就搞定了。(说了半天原来如此简单,完全是来骗稿费的嘛!555,谁叫我是穷学生呢。)这里我用的是海洋顶端eval版。当然从后文可以看出这台主机同样是支持asp的。(如果哪位大哥有aspx的c/s版木马,不妨给小弟一份,当感激万分。)
尝试上传木马Server端。如图4所示。
图4
我们再用Tree_list 来看一下,如图5所示。
图5
看到没,上传小马成功!
然后我们用client端来连接一下,如图6所示。
图6
哇,多么熟悉的界面啊,成功拿到可爱的WEB shell 。
本来文章到这里就应该完了,但是不知道为什么我还有继续写下去的欲望(是不是吃错药了)。相对于《SA权限入侵感悟》文中提到的三种情况,我碰到过当我得到的是db_owner权限的时候,照样可以拿到WebShell 的情况 。下面看具体情形。
目标网站:http://www.target.cn (某省最大新闻媒体网站)
咋一看,全站代码应该是自己独立开发的,前台生成的都是静态页面,但是如果你细心观察,就会在一个不起眼的地方发现问题。
注入点: http://www.target.cn/gylt.asp?type=地州市官员论坛
用NBSI检测出是db_owner 权限,如图7所示。
图7
这个时候我们很容易就猜解出了它的管理员账号和密码,如图8所示。
图8
但发现是经过md5加密的,一般来说没有好的肉鸡,偶是不会硬着头皮去暴力破解的,我们
来尝试其他的方法。利用Tree_List的功能找到网站目录。如图9所示。
图9
我们尝试差异备份来获得一个shell。如图10所示。
图10
当我再次Tree_list 后发现没有成功。这个时候我们是不是要回去破解那可恶的md5密码呢?先别慌,我们来Tree_list一下它的admin文件夹,看看能不能发现什么好东西(自己开发的站点系统往往能带给我们惊喜)。如图11所示。
图11
好多带有upfile ,upload 字样的文件名哦。我们一个一个在浏览器里提交,很快就让我发现了一个:
http://www.target.cn/admin/news_upload.asp
乖乖,是用来上传图片的,可以直接访问。我们尝试着传个asp木马上去,哈哈,提示成功!
|
图12 |
扫一扫
1793
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
