首先介绍一下mssql数据库的操作权限分别有哪些种。第一呢,就是SA(System Administrator),它是安装MSSQL时的内置用户,他当然也就拥有很高的权限,基本等同于系统中的Administrator了。第二种,就是db_owner,它进行一般的数据库操作,也就类似于系统中的普通用户。第三种,也就是权限最低的一种,public公用的连接用户,系统中也有与之类似的guest用户。
上面做个基本了解就行了,因为如果对数据库本身不是很熟悉的话,说得过多反而会心生烦厌,还是从菜鸟的角度来写文章吧。
假如,我们现在已经找到一个使用mssql数据库的网站,并且该网站存在注入漏洞,且当前的权限为db_owner,那我们该如何来得到一个webshell呢?这里,就不同于access的数据库了,我们有两种方法可以采用。一种呢,就是采用于access数据库一样的猜解数据库中的表,猜列,然后猜内容,获取网站管理员的用户与密码。那另一种呢?刚才我们说了,有db_owner权限,那我们就可以进行一般的数据库操作了,db_owner权限的用户就可以直接列目录。这里我们就需要用到注入的工具了。那下面我就以实际的操作来给小菜做个演示。
No. 1 直接通过猜解用户名和密码
当然,你可以采用手工的,但是对小菜来说,工具还是比较顺手,等到工具用熟练了,再去手工实践下也不迟。这里因为和access数据库的方法一样,所以我就稍微讲得不那么详细了。具体方法,可以参考access数据库的注入。(这里假设,你已经找到了一个存在注入漏洞,并且权限为db_owner的网站)。
1.使用任意一款注入工具(个人喜好吧,我以啊D演示),把注入点填入注入地址处,点击测试。
2.程序自动判断是否存在注入,以及是什么数据库等相关内容。(这里是MSSQL数据库,db_owner权限)。
3.点击“表段检查”,检测数据库中存在的表段。另外,啊D提供了一个MSSQL专用表段检测,用以完全猜解出数据库中的内容。结果出来以后,就要判断哪里是可能存放了网站管理员资料的表段了。类似admin之类的就比较明显,因为方便管理,所以一般是很好认出来的。
4.判断出关键表段之后,我们选中它,然后点击“检测字段”。因为可能存在不必要的资料,所以我们只选中我们需要猜解的内容,一般就是admin,password之类的,也是比较明显的。
5.选中我们需要猜解的内容以后,就直接点击检测内容,开始对字段里的内容进行检测。猜测结束以后,在《内容显示框》中会出现结果,我们需要的后台管理用户和密码。
注意:一般密码是经过了MD5加密的,我们可以通过http://www.cmd5.com ,或者http://www.xmd5.com等网站看能否破解,后者本地使用暴力破解的方式也可以,也有的是通过其他方式加密的,我们一般需要将其还原成明文后才能登录后台。
6.到此,我们并没有做完,因为我们的目标是webshell。通过啊D自带的管理后台检查,我们看是否能找到后台的登录地址。如果找不到,我们就通过google或着baidu之类的搜索引擎试试。这个不是这里讨论的重点。
7.有了后台地址,又有了用户和密码,我们可以直接登录后台,然后通过后台的功能来想办法得到一个webshell。
大家也看到了,虽然这种方法倒是比较傻瓜,但是还是比较烦琐的,并且,我们就不一定能在后台上得到webshell。这种方式还是有以下几个难点的。
难点关键词一、时间。 我们通过猜解表段,字段,内容,会花费掉我们不少的时间。
难点关键词二、解密。 虽然我们能够获得用户名以及密码,但是不能确保就是一定是明文的,或许因为密码强度大,又经过了MD5加密,破解不出来,又或者你根本不知道对方的加密方法,从而不能够解密得到真正的密码,恰巧网站不存在cookies欺骗漏洞那就陷入僵局之中了。
难点关键词三、功能。 我们并不知道后台里是否有足够的功能或者说是可能,让我们得到webshell,如果后台简单,不能上传,不能备份,不知道数据库等等。。那我们也基本没多少的希望。搞不好后台挂马的可能性都没有。
综合以上几个难点,通过这种方法得到webshell还是得靠很多运气的。