黑客经验谈MSSQLSA权限进侵的感悟

想必大家都知道MSSQL中SA权限是什么，可以说是至高无上。今天我就它的迫害再谈点儿，我所讲的是配合NBSI上传功效得到WebShell。在讲之前先说几个条件，否则得到Shell是有难度的。

1、存在SQL注进，并且数据库类型是MSSQL。

2、连接数据库的权限必需是SA。

3、后台必需有文件上传的程序。

好了，我们找到一个网址hxxp://www.6x36x.com/fangchan/listpro.asp?id=53，用NBSI一会就一目了然了。

很好，数据库类型是MSSQL，权限是SA，再看看第三个条件满足不满足。找到页面中的文章（消息），看看里面的图片的地址是什么。好！一看就明白了hxxp://www.6x36x.com/admin/uploadpic/2xx5042823082994329.gif，你明白了吗？特别是2xx5042823082994329.gif 这下我们敢确定后台有上传文件的功效了。下面做什么呢？晕，找出该网站所在的路径呀。这个嘛就得全靠NBSI的NB Commander（NB Tree_List）功效了（在这里我推荐大家用NB Commander，为什么呢？看完文章就知道了），不过找出网站所在的真实路径需要花必定的时间，那就看你有没有耐心了。我敢说只要有耐心，确定能找出网站所在的真实路径。这里我找到了这个站点所在的路径D:\9x3x9，接着就是后台了，很快就得到Admin/login.asp，接下来就是账号和密码的猜解了。不过我这次猜解呈现了标题。说什么也弄不出他的账号和密码，难道都是空的？我不信任，就试着登录了一下，成果失败了。于是从这开端，NB Commander功效就显得非常重要了(由于大家都知道，列目录NB Command和NB Tree_List都能实现)，我找到文件conn.asp，用type D:\9x3x9\admin\logining.asp命令看了看源代码。

够狠吧！读了读代码没有标题呀！就是用的admin表字段也一样，未几说了，谁能知道其中的原因？请告诉俺一下，也让俺这只菜鸟走出困惑。进不了后台怎么上传图片呢？这里我用NBSI的上传功效，我试过了，没有成功。由于我传上往后，看到代码每行都重复三次，也不知是为什么，就是用臭要饭的Getwebshell也是同样的成果。

我想有了，看看它的Session是怎么验证的，又是一个type D:\9x3x9\admin\quanxian.asp。通过火析很快就明白了，它给Session(“wsl”)赋了一个值为1，哈哈！我写了一个非常简略的程序。用NBSI的上传功效传了上往，我想不管重复几次都是准确的（这里你又会想到什么呢？假如密码是MD5的，我们没有必要往爆破了，弄个session就ok了），传上往保留为1.asp，然后我拜访hxxp://www.6x36x.com/admin/1.asp，接着拜访hxxp://www.6x36x.com/admin/admin_index.asp，就这样进进了后台，本地测试。

小提示：Session变量和COOKIEs是同一类型的。假如某用户将浏览器设置为不兼容任何COOKIE，那么该用户就无法应用这个Session变量！ 当一个用户拜访某页面时，每个Session变量的运行环境便主动天生，这些Session变量可在用户离开该页面后仍保留20分钟！（事实上，这些变量一直可保留至“timeout”。“timeout”的时间是非由Web服务器治理员设定。一些站点上的变量仅保持了3分钟，一些则为10分钟，还有一些则保留至默认值20分钟。）所以，假如在Session中置进了较大的对象（如ADO recordsets，connections， 等等），那就有麻烦了！随着站点拜访量的增大，服务器将会因此而无法正常运行！

由于创立Session变量有很大的随便性，可随时调用，不需要开发者做准确地处理。所以，过度应用session变量将会导致代码不可读而且不好保护。

这样我找到上传图片的处所，把asp木马改成.gif传了上往，记住了上传后的名字，这里是uploadpic\2xx56171430123.gif，那么你会想到什么呢？哈哈我想起来了，把图片copy成.asp的，或者重命名成.asp的。

好了，到这里我们的马就算是上往了，至于以后的事情就不提了。

总结：SA的确给我们带来了很大迫害，所以程序员在连接MSSQL数据库的时候千万不能用它，否则服务器成为肉鸡的可能性非常非常的大。还有，MSSQL 的扩大存储功效，用不到它就删除，留着就成了黑客的利器。