dbowner通過注射得到一個shell應該不是什么難事情了,比較麻煩的是就算利用增量備份,仍然有很多不確定的因素,如果之前別人有過什么錯誤的寫入信息,可能備份出來得到的還是一些不能用的500錯誤,如何能夠提高成功率及重用性呢?如果單從調整增量備份的方式來看,盡管能夠達到一些效果,但是方法比較復雜而且效果不明顯。加上關于重用性的考慮,例如多次備份的成功率,backup database的方法并不太適用。這里將要講述的是另外一個備份的方法,導出日志文件到web目錄來獲得shell。
飯要一口一口的吃,技術問題也要一個一個的解決,得到webshell首先要知道物理路徑,然后才能說其他的。關于物理路徑的暴露有很多方法,注入也可以得到,這點nbsi2已經做到了,就不再多說。值得注意的是,如果數據庫和web分離,這樣肯定得不到webshell,備份出來的東西可以覆蓋任何文件,一些關于開始菜單的想法還是有效的,只要注意擴展名就好。扯遠了,反正如果數據庫和web在一塊的,你就有機會,反之還是想其他的辦法吧。
然后你要得到當前的權限和數據庫名。如果是sysadmin當然沒有必要做很復雜的事情,dbowner足矣,public則不行。當前打開的庫名用一個db_name()就可以得到,同樣很簡單。
默認的情況是,一般選擇的數據庫故障還原類型都是簡單,這時候不能夠對日志文件進行備份。然而我們都是dbowner了,還有什么不能做的呢,只要修改一下屬性就可以。由于不能去企業管理器中修改,只有用一段SQL語句,很簡單的,這樣就可以:
|
其中XXXX是你得到的數據庫的名字,執行過后就可以備份日志了。這種修改是破壞性的,因為你不知道以前的故障還原模式是什么,細心的管理員看到異樣,可能就要開始起疑心。如果之前你能得到數據庫的狀態,最好還是在備份完以后把這個數據庫的屬性改回來。
剩下的事情就是怎樣讓數據庫用最原始的方式記錄下你的數據了。這一點和backup database中設定表名為image的問題相對應,如果你只是建立一個之類的表,日志里面的記錄還是以松散的格式記錄的,也就是< % % >,沒有任何效果。通過實際的測試,發現還是可以通過與backup database類似的方式記錄進去,如下:
|
這樣你已經得到一個webshell了,到這里就完了么?沒有,呵呵,我們繼續。
到這里有兩個分支方向,第一個,讓注入的時候不出現單引號,太簡單了,我都懶得寫;第二個,減小這個webshell的長度以及提高成功率。下面的方法就是討論第二個分支問題的,同樣適用于backup database的減小。
首先是初始化這個日志。
|
這樣有點類似于增量備份的第一步,不過有點不同的是,你做了這個以后,你備份出來的可用的shell是固定的。這一點比較重要,因為有了這一步,不管管理員在數據庫里面做了什么擾亂你back database的手腳,或者你之前有多少混蛋(你肯定會這么想的)弄了些你不喜歡的東西,都沒有關系,甚至你做過以后,別人在后面再按照你的方法來一次,還是會成功,這對于偶爾出現的反復,比如對方機器重裝但是數據庫和代碼沒變,有不小的幫助。
然后是調整一下backup中各個語句的順序。通過第一點,大概的步驟已經確定下來了,那就是:
|
這樣不好,感覺上多了一條沒用的東西。
|
確實有點討厭,不過這句是必要的,只好調整一下位置,弄到其他地方去。調換一下順序似乎還可以小一點,對于backup database中的增量情況同樣是可以的,backup database甚至可以僅僅在update后馬上備份,不過由于涉及到了數據的存儲格式,情況很復雜,這里不討論。調整后的是:
|
成功的話,備份出來的shell(上面的2.asp)有78.5k,文件長度固定的是80,384字節。很挑剔的朋友也可以接受了吧,當然用這個來生成一個干凈的木馬也可以——這本來就是頂端cs木馬的s端,很通用的。
