Microsoft SQL Server SA弱口令攻防实战

存储过程是存储在SQLServer中的预先写好的SQL语句集合，它分为三类：系统提供的存储过程，用户定义的存储过程和扩展存储过程。IXPUB技术博客 Y)Tb!Va!pVB
系统提供的存储过程是在安装SQLServer时创建的存储过程，名字以"sp_"开头。IXPUB技术博客o#i(z+e5db
用户定义的存储过程是用SQLServer的使用者编写的存储过程。IXPUB技术博客A#pPRm%W Zs
扩展存储过程则是对动态链接库(DLL)函数的调用，主要是用于客户端与服务器端或客户端之间进行通信的，与一般动态链接库不同的是它们直接运行在SQLServer分配的内存地址内，其中危险性最高的扩展存储过程就是xp_cmdshell了，它可以执行操作系统的任何指令。IXPUB技术博客jznP xcoV

SA是Microsoft SQLServer的管理员帐号，拥有最高权限，它可以执行扩展存储过程，并获得返回值，比如执行：IXPUB技术博客l;nj+V6q,F

exec master..xp_cmdshell 'net user test 12345 /add'和exec master..xp_cmd
shell 'net localgroup administrators test /add'

,tLO#tcn8v&T!T0这样对方的系统就被添加了一个用户名为test，密码为12345，有管理员权限的用户，现在你应该明白为什么得到SA密码，就可以得到系统的最高权限了吧。下面就详细的讲一下Microsoft SQLServer中利用SA弱口令的攻击与防范。

通常当我们扫描到一台有Microsoft SQLServer SA弱口令的机器，都会用一些专门的攻击工具，比如SqlExec，如图x.1所示，SuperSQLEXEC，如图x.2所示，以及SQL综合利用工具，如图x.3所示。IXPUB技术博客4_EBw5T8[V'N
IXPUB技术博客\)^[h4^v3{l

图x.1  SqlExec运行界面

z~r4W:~/A0

图x.2  SuperSQLEXEC运行界面

图x.3  SQL综合利用工具

IXPUB技术博客#z*f%zCQaMr i:}*s:}-g
这三款软件相对来讲SQL综合利用工具的功能更强些，因为它可以利用漏洞上传文件，这样我们就可以上传木马程序，然后执行。IXPUB技术博客Gue2f%SV

可是在实际操作中，情况并不象我们的那样简单，我们上传木马程序后，一般都会被对方的杀毒软件杀掉。而且经过使用SQL事件探查器（可以通过安装Microsoft SQLServer获得）对SQL综合利用工具提交的SQL语句抓取发现，要使SQL综合利用工具上传功能成功完成，有个前提条件就是对方Microsoft SQLServer中的存储过程xp_cmdshell没有被删除，如图x.4所示，否则无法成功执行，也就是说就算我们的木马可以不被查杀，无法执行上传功能也是没有用的。IXPUB技术博客.B%K8X7^$V@VC

图x.4  SQL事件探查器抓取的IXPUB技术博客nvL D&_ik]D SQL综合利用工具提交的SQL语句

/{fGJf;K4vX(Y0
_ V.i9o4H(Hl4_U2L0删除xp_cmdshell的语句为：exec sp_dropextendedproc 'xp_cmdshell'，同样我们也可以使用Microsoft SQLServer中的查询分析器连接到对方的Microsoft SQLServer，来恢复xp_cmdshell，语句为：exec sp_addextendedproc 'xp_cmdshell', 'Xplog70.dll'，如图x.5所示。恢复后，我们就可以使用SQL综合利用工具的上传功能了，并可以执行上传的文件。