作者:xwq,qq:57133683
1.完全删除sa这个后门
最近在整理电脑的时候,找到拉以前写的几篇笔记,文章写的很烂,没有什么技术含量,只是自己的的一些使用经验,大家凑合着看吧
众所周知,在M$sql中有个绝对是网络安全中的隐患的帐号sa,系统管理员 (sa),默认情况下,它指派给固定服务器角色 sysadmin,并不能进行更改。这个sa一般情况下是既不可以更改名称,也不可以删除,呵呵,有点鸡肋的味道,弃置可惜,食之无味。在偶装上sql2000之后,感觉总之怪怪的,放着这个后门在,始终都不放心,担心有一天被人破出密码,那偶的电脑不就完拉,偶在黑道混拉那么多天,要是传出去,有损颜面啊。可能你回说设个强壮点的密码,这个办法是可行,可不是长久之记,所谓斩草要除根,要是把sa给删拉就不用担心那些"黑客"暴力破解拉。
呵呵,前面说拉那么半天废话,可能你已经看的不耐烦拉,好,这就说道正题,大家跟着我来一起把sa给大卸八块首先打开SQL中的企业管理器,接着在工具选项卡中选择SQL server配置属性依次,点服务器设置,看到允许对系统目录直接进行修改前面的方框吗,点一下,好。
再打开查询分析器,登陆进去(呵呵,随便你用什么帐号进去,不过可一定要在master数据库中有db_owner的权限)输入update sysxlogins set name='xwq' where sid=0x01,update set sid=0xE765555BD44F054F89CD0076A06EA823 where name='xwq',OK,执行成功,好拉,转道企业管理器中刷新安全性中的登陆,看看,sa是不是变成xwq拉,呵呵,选中xwq点击右键,怎么样是不是出现拉删除的选项,呵呵,删除。看看sa是不是已经没有拉。
后记
直接在查询分析器里怎么删除sa
直接在查询分析器里怎么删除sa,做法和前面所说的差不多,只不过这次不是在企业管理器中做手脚拉,而是利用sql提供给我们功能强大的存储过程来完成这项任务。下面就是我所说的需要利用的存储过程sp_configure,sp_configure显示或更改当前服务器的全局配置设置。
它的语法sp_configure [ [ @configname = ] 'name' ]
[ , [ @configvalue = ] 'value' ]
sp_configure 'allow updates', 1
go
RECONFIGURE WITH OVERRIDE
go
好拉,这样我们就可以更新系统表拉,接下来和前面的做法一样拉 update sysxlogins set name='xwq' where sid=0x01,然后再删除xwq
不过要注意在 sp_configure 上没有参数(或只有第一个参数)的执行许可权限默认授予所有用户。有两个参数的 sp_configure(用于更改配置选项)的执行许可权限默认授予 sysadmin 和 serveradmin 固定服务器角色。RECONFIGURE 权限默认授予 sysadmin 固定服务器角色和 serveradmin 固定服务器角色,并且不能传输。还得在master中是db_owner。
2.MSSQL db_owner角色注入直接获得系统权限(续)
相信大家都看过LCX大虾写的《MSSQL db_owner角色注入直接获得系统权限》吧,小弟不自量力也写写我利用MSSQL db_owner角色注入直接获得系统权限的方法。LCX大哥大致取得系统权限的思路是利用MSSQL中xp_regread的存储过程读出vnc在注册表中的密码,然后再破解,就可以拿到管理员权限。可是在网上毕竟装vnc的服务器是少数,要是一台你很想进入的服务器不装vnc,也就是说没有5900端口,尽管这个网站存在注射漏洞,你破出管理员密码,找到后台(假设这个网站没有数据库备份和文件上传及上传漏洞)但是你却没有办法取得一个shell,只有干瞪眼的份。还好sql在提供xp_regread的时候还给我们附带拉个xp_regwrite,我就利用xp_regwrite来拿系统权限,下面是我利用xp_regwrite取得系统权限的一次经历。
http://www.***.com是一个比较大的综合门户网站,ALEXA排名在前100名,好,今天的目标就是他拉,在搞之前首先要采好点,呵呵,也就是要找到注射点,这个是我们今天入侵的基础。在主页上看拉看,全部是静态网页,不存在注射的可能,可能你会说他可能是后台生成htm(开始偶也是这么认为,可是进去之后才知道原来根本不是),再源文件里找拉找也没有asp?的踪影,好看看其他的吧,恩,没费多少时间在他的动漫网中找到拉一个注射点,呵呵,开始抄家伙,恩,没费多大径就用NBSI2暴出拉管理员的密码,管理后台以及找到拉网站的绝对路径,本来以为接下来想要一个webshell应该很容易,谁知道要比我想的难得多,没有上传漏洞也就算拉,竟然连数据库备份的功能也没有,把asp木马改成后缀为jpg,gif上传竟然也没法上传成功,我倒,难道就这样放弃拉,我可不是那种轻言放弃的人,不过暂时我也没有什么好的办法,明天还要上课,只好暂时放弃。
第二天,我连上课心情都没有,满脑子里想的全是怎么拿到webshell或系统权限。好不容易等到下课,赶紧跑道计算机室里上网找找有没有关于这方面的资料,呵呵,黄天不负有心人终于让偶给找到拉一篇CZY大虾写的《How to execute system command in MSSQL》里面详述拉怎么获得管理员权限的方法,可是我的情况和czy文章里的情况略有不同,那个网站连接数据库的用户没有服务器sysadmin权限,只有数据库db_owner的权限,好多存储过程不好用,不过还好xp_regread和xp_regwrite好利用,这两个只要db_owner就好运行。好,说干就干,赶紧打开网站在注射点输入xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentversion\run','xwq1','REG_SZ','net user xwq xwq /add'
呵呵,返回一个正常页面,说明成功完成拉,再在注射点输入
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentversion\run','xwq2','REG_SZ','net localgroup administrators xwq /add'
好,只要让服务器重起,就会在系统中加上xwq这个管理员帐号,至于怎么让他重起,就要看各位的能耐拉,我可是迫不及待拉,赶紧ddos,过没多久,服务器就重起拉,马上用远程桌面连接连上去(呵呵,可能管理员觉得3389比较好把),输入xwq,xwq,yeah!!!进去拉,好拉接下来的事么就是留个后门rootkit+dll插入木马+asp,删除日志,克隆帐号,删除xwq这个帐号,闪人。
后记,其实直接加管理员帐号的作法,很冒险,要是管理员就在电脑旁边,他肯定回起疑心,反而暴露自己的行踪,呵呵,看你运气拉。你也可以在知道网站的绝对路径之后再利用xp_regwrite在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\currentversion\run里写上一句话木马,在用asp木马提权。
