MSSQL扩展存储后门
来源:CSDN 作者:lake2 出处:综艺读书 2006-05-17·存储入门:图文阐释DAS、NAS、SAN
·C++永久对象存储 (Persistent Object St
·存储入门:主机与ISCSI设备之间三种连接
·畅流集团进销存储ERP系统成功案例
·串行SAS磁盘构筑存储阵列的优点?
·存储基础知识:六种容灾方案讲解
·新品新技术不断 存储发展体现奥运精神
·存储厂商间兼并辗轧,谁是大赢家?
·存储新方式SATA的出现:SATA正在增长分析
·存储将引爆下一轮投资热
·C++永久对象存储 (Persistent Object St
·存储入门:主机与ISCSI设备之间三种连接
·畅流集团进销存储ERP系统成功案例
·串行SAS磁盘构筑存储阵列的优点?
·存储基础知识:六种容灾方案讲解
·新品新技术不断 存储发展体现奥运精神
·存储厂商间兼并辗轧,谁是大赢家?
·存储新方式SATA的出现:SATA正在增长分析
·存储将引爆下一轮投资热
Author: lake2 ( http://lake2.0x54.org )
注:本文发表于《黑客防线》2006年第2期
继WebShell、FTPShell之后,让我们再来玩玩SQLShell 吧。
使用数据库考虑最多的就是速度和效率,所以呢,数据库系统就使用了存储过程这种机制来提高速度和效率。SQL Server 2000 支持5种类型的存储过程,这里我们主要说说SQL Server的扩展存储过程,因为我们要利用它做后门。
看看书上对扩展存储过程的定义:
|
在SQL Server 2000环境之外的动态链接库称为扩展存储过程,其前缀是xp_。虽然这些动态链接库在SQL Server环境之外,但是它们可以被加载到SQL Server系统中,并按照使用存储过程的方式执行。
|
呵呵,最典型的扩展存储就是SQL Serve自带那个xp_cmdshell,真是杀人灭口居家旅行必备良药啊。那个扩展存储需要sysadmin权限才能执行,一旦执行了CMD,那可是MSSQL的权限哦,而MSSQL是以服务启动的,也就是System权限,嘿嘿,比管理员大叔的权力还大!
为了安全起见,一般管理员大叔都是删除了xp_cmdshell过程的,更有甚者直接删掉带有xp_cmdshell的文件xplog70.dll。这样多不好啊,我们没得玩了。
我的后门思路就放在扩展存储过程上面,因为扩展存储是以dll方式存在,而且那个dll是用C++编写且可以任意调用API函数。这样我们就可以写一个执行CMD的扩展存储(最初我是想直接修改xplog70.dll中xp_cmdshell的名字,不过失败了,在此略过略过)。
扩展存储过程可在VC里创建。创建扩展存储过程的工程之后,VC会自动生成一个扩展存储过程模板,稍稍看看,你就很容易上手了(MS真是想得周到啊)。
这里我主要是去掉了返回值,增加了一个ShellExecute函数用于执行cmd。ShellExecute函数可是一个比较有用的函数,它可以根据后缀自动选择相关联的程序打开文件。
以下是其用法:
|
HINSTANCE ShellExecute(
HWND hwnd, LPCTSTR lpOperation,
LPCTSTR lpFile,
LPCTSTR lpParameters,
LPCTSTR lpDirectory,
INT nShowCmd
);
|
第一个参数是句柄,在这里不用;第二个参数是对文件的动作,这里选“open”;第三个参数是执行的文件,这里自然是cmd.exe了;第四个参数是命令行参数,这个填程序接收到的参数;第五个参数是默认目录,把它空着;最后一个参数是程序运行时的显示方式,MSSQL都是以服务启动的,这里即使是最大化显示管理员大叔也是看不到的。
好了,所以我们的函数使用为:ShellExecute(0,"open","cmd.exe",spParam,NULL,SW_SHOW);spParam是从扩展存储过程得到的参数,具体的实现请看源代码;扩展存储的编写请参阅MSDN。
ShellExecute有个坏处就是看不到回显,不过这里把权限拿到了,不要回显也无所谓。当然你也可以自己写个显示回显的扩展存储过程。
Ok,扩展存储命名为xp_lake2,dll文件名为xplake2.dll,现在让我们把它注册到SQL Server:
|
USE master
EXEC sp_addextendedproc 'xp_lake2', 'xplake2.dll'
|
注意,添加扩展存储过程要求连接SQL Server的帐户有sysadmin权限;使用相对路径的话得把dll文件放到SQL Server目录的binn之下。
好啦,我们可以试试效果了,调用的参数跟xp_cmdshell一样,只是没有回显。在查询分析器里调用它:
|
USE master
EXEC xp_lake2 'net user > c:\lake2.txt'
|
赶快去C盘看看有没有生成lake2.txt吧!至于权限嘛,呵呵,当然是system啦。
SQL Server的扩展存储都要求sysadmin才能执行,不爽,让我们给它改改,让public也可以玩。
如果拿到图形界面用企业管理器就可以轻松搞定,只需把xp_lake2的Exec权限赋给public就ok了。在查询分析器里就用GRANT:
|
GRANT exec
On xp_lake2
TO public
|
然后换一个普通的SQL Server用户调用xp_lake2试试,执行命令还是system权限哦。呵呵,在webshell里试试吧,结果也一样的。以下是利用海洋2006调用这个扩展存储过程的截图:
因为返回的值是空,所以显示出错,但是命令是执行了的,现在命令行下用net user看看吧:
好啦,文章到此结束,大家赶紧去留自己的SQLShell吧^_^
dll可以在这里下载到:http://www.0x54.org/lake2/program/xplake2.dll
更多内容请看存储过程 服务器存储专栏 网络存储—光纤通道专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
相关专题
·蔡文胜讲经:经营个人网站“五部曲” (0次浏览)
·设计师的生活态度和侦探 (85次浏览)
·习惯必须延续 必要可以延伸 (29次浏览)
·专访SupeSite/X-Space研发经理李国德 (7次浏览)
·蔡文胜讲经:经营个人网站“五部曲” (0次浏览)
·习惯必须延续 必要可以延伸 (29次浏览)
·专访SupeSite/X-Space研发经理李国德 (7次浏览)
·蔡文胜讲经:经营个人网站“五部曲” (0次浏览)
最新技术文档
·蔡文胜讲经:经营个人网站“五部曲” 06-12
·专访SupeSite/X-Space研发经理李国德 06-09
·习惯必须延续 必要可以延伸 06-01
·设计师的生活态度和侦探 05-15
·七种武器——.NET工程师求职面试必杀技 03-30
·最令我难忘的Java学习经历 03-13
·关于提高自己JAVA水平的十大技术 03-12
·社区精神如何有效的宣扬 03-09
·从程序员到CTO所要培养的六种能力 03-02
·Debian LINUX 学习日记 02-13
·专访SupeSite/X-Space研发经理李国德 06-09
·习惯必须延续 必要可以延伸 06-01
·设计师的生活态度和侦探 05-15
·七种武器——.NET工程师求职面试必杀技 03-30
·最令我难忘的Java学习经历 03-13
·关于提高自己JAVA水平的十大技术 03-12
·社区精神如何有效的宣扬 03-09
·从程序员到CTO所要培养的六种能力 03-02
·Debian LINUX 学习日记 02-13
站内各频道最新更新文档
站内最新制作专题
|
|||
| ·ACDSEE专题教程-下载使用 ·迅雷专题教程-下载使用 ·Windows XP频道 ·Windows Vista频道 ·Windows 2000频道 ·win2003频道 ·Freebsd频道 ·Oracle频道 |
·Linux频道 ·Windows频道 ·邮件服务器专题 ·协议大全 ·数据恢复指南教程 ·FreeBSD使用教程 ·Linux数据库宝典 ·Linux基础知识 |
||
热门关键字导读
站内频道文章精选
 新闻资讯 |
电脑技巧 |
| · 秘密:Vista隐蔽的动态屏保 · 腾讯开发新电子宠物--QQ熊 · 惠普否认2999元PC有价无货 |
· 驱逐Win系统“流氓”文件 · WinXP中获取未使用的IP地址 · 尝试format C:格式化硬盘? |
| 操作系统 |
常用软件 |
| · 在DOS下恢复回收站中的文件 · 拯救WinXP崩溃的救命稻草 · Linux系统中超级权限的应用 |
· 搜狗PK谷歌:谁能代言拼... · 昨日重现,一键GHOST轻松.. · 实现Web迅雷在空闲时杀毒 |
| 桌面开发 |
网络编程 |
| · AVIFile函数制做AVI文件 · VC中链接动态链接库的方法 · 熊猫烧香核心源码(Delphi) |
· DateDiff函数祥解 · JavaScript去除空格的三种 · js效果 图片加载进度实时.. |
| 数据库 |
图像处理 |
| · SQL Server数据库优化方案 · Oracle的初学者入门心得 · JSP连接Mysql数据库 |
· Photoshop为美女做艺术处理 · 用Freehand创建发光字特效 · 设计自己的个性QQ动态表情 |
百度推荐,商机无限
搜索您感兴趣的内容