使用SQLRootKit网页数据库后门控制案例

使用SQLRootKit网页数据库后门控制案例

Simeon

通过本案例可以学习到：

（ 1 ）了解网页数据库后门 SQLRootKit 等方面的知识

（ 2 ）使用 SQLRootKit 1.0 以及 SQLRootKit 3.0 数据库后门来控制计算机

SQLRootKit 是一种网页脚本来执行数据库命令，前提是需要知道数据库的账号名称和密码， SQLRootKit 目前有两种，一种是针对 php 语言的，其针对数据库为 Mysql ；另外一种是针对 asp 语言的， asp 版本的 SQLRootKit 有两个版本即 1.0 版和改进后的 3.0 版本，主要是针对 SQL Server 。本案例主要介绍如何通过使用 SQLRootKit 1.0 以及 SQLRootKit 3.0 数据库后门来控制计算机。

1 ．使用 SQLRootKit 1.0 网页后门控制计算机

（1）  使用 SQLRootKit 1.0 控制计算机。在获取网站的数据库的类型、数据库用户密码和用户名称后，直接将 SQLRootKit.asp 文件上传到网站目录中，然后在浏览器中输入地址打开即可使用。打开后，在分别在“ SQL 用户名”和“ SQL 密码”中输入获取的 SQL 用户名“ sa ”和密码“ *** ”，然后在执行命令前面的输入框中输入需要执行的命令，例如输入“ net user ”查看系统中的所有用户，输入完毕后，单击“执行命令”后，则会在该网页中显示执行结果，如图 1 所示。

图 1 在 SQLRootKit1.0 中执行命令

& 说明

（ 1 ）目前很多杀毒软件都会对 SQLRootKit1.0 网页木马进行查杀，因此在使用前最好使用一些网页加密软件进行加密。

（ 2 ） SQLRootKit1.0 中只能利用本地的 SQL Server 数据库来执行命令，如果数据库服务器跟 Web 服务器不在同一台计算机上，则 SQLRootKit1.0 无能为力。

（ 3 ）使用经过加密的 SQLRootKit 1.0 网页木马，其 Webshell 相当于一个 DOSShell ，如果未在数据库服务器中删除一些比较危险的 dll 组件，则该后门可以长期存在。

2 ．使用 SQLRootKit 3.0 网页后门控制计算机

（1） 直接运行 SQLRootKit 3.0 网页后门程序，将 SQLRootKit 3.0 网页后门直接上传到网站目录，然后在浏览器中输入其对应地址即可，运行界面如图 2 所示。

图 2 运行 SQLRootKit 3.0 网页后门

& 说明

（ 1 ）在 SQLRootKit 3.0 网页后门中，需要输入“ SQL 用户名”、“ SQL 密码”、“ SQL 服务器”以及“ SQL 端口”，程序默认 SQL Server 服务器跟 Web 服务器在同一台计算机上。

（ 2 ） 输入“ SQL 用户名”、“ SQL 密码”、“ SQL 服务器”以及“ SQL 端口”验证正确后才能进行后续操作。

（2）  登录 SQLRootKit 3.0 网页后门，输入相应的“ SQL 用户名”和“ SQL 密码”密码后，单击“ Login ”按钮，验证正确后进入 SQLRootKit 3.0 网页后门管理界面，如图 3 所示。

图 3 进入 SQLRootKit 3.0 网页后门管理界面

（3） 检测组件。单击“检测组件”按钮，程序会自动检测服务器上是否存在 XP_cmdshell 、 sp_oacreate 、 Xp_regwrite 以及 xp_servicecontrol 这四个 SQL 组件，检测操作系统版本以及执行权限等信息，并显示在该页面上，如图 4 所示。

图 4 检测 SQL 组件

& 说明

如果检测出来的组件被系统管理员删除了，则可以单击“恢复组件”按钮进行组件恢复。

（4） 执行命令。在“系统命令”中输入需要执行的命令，并选择运行程序的相应组件。在本例中选择“利用 XP_cmdshell 扩展”，并在系统命令中输入“ net user ”命令，然后单击“执行”按钮，其结果会显示在网页中，如图 5 所示。利用 XP_cmdshell 扩展命令在执行过程中可能会显示一些错误信息，可以不用管它。

图 5 执行命令

（5） 上传文件。在 SQLRootKit 3.0 网页后门中提供了文件上传功能，即在“内容”中粘贴需要上传的文件的内容，在文件路径中输入需要保存的文件的物理路径，输入完毕后，单击“保存”按钮即完成上传文件。

安全防范措施

对于 SQLRootKit 3.0 网页后门来讲，其防范措施主要有：

（ 1 ）勤杀毒，目前很多杀毒软件都能自动识别并查杀这些网页后门程序，因此平时要及时升级杀毒软件病毒库和开启杀毒软件的所有监管选项。

（ 2 ）首次完成网站建设后，要保存网站所有文件的列表。例如可以在 Dos 下输入“ dir  d:\ 网站目录 \*.* >mywebsite20071218.txt ”命令将网站所有文件生成列表文件 mywebsite20071218.txt 。每一次升级后都要再次生成文件列表，每一次维护时查看文件大小的变化即可。

（ 3 ）使用一些网站监控软件进行实时监控。目前国外和国内都有一些网站文件监控软件，一点发现网站文件被改动，软件通过发送邮件或者发送手机短信等方式及时报警，方便管理员进行处理。

小结

本案例介绍了如何利用 SQLRootKit 1.0 以及 SQLRootKit 3.0 网页后门来控制计算机，在很多情况下，一般的网页后门程序或者网页木马不能在服务器上执行命令，如果服务器上存在 SQL Server 服务器，并在获取了数据库用户和账号的情况下可以使用本案例介绍的方法来提升权限或者做留守后门，方便守控肉鸡。

本文出自 “simeon技术专栏” 博客，转载请与作者联系！