使用SQLRootKit网页数据库后门控制案例
Simeon
通过本案例可以学习到:
(1)了解网页数据库后门SQLRootKit等方面的知识
(2)使用SQLRootKit 1.0以及SQLRootKit 3.0数据库后门来控制计算机
SQLRootKit是一种网页脚本来执行数据库命令,前提是需要知道数据库的账号名称和密码,SQLRootKit目前有两种,一种是针对php语言的,其针对数据库为Mysql;另外一种是针对asp语言的,asp版本的SQLRootKit有两个版本即1.0版和改进后的3.0版本,主要是针对SQL Server。本案例主要介绍如何通过使用SQLRootKit 1.0以及SQLRootKit 3.0数据库后门来控制计算机。
1.使用SQLRootKit 1.0网页后门控制计算机
(1)
使用SQLRootKit 1.0控制计算机。在获取网站的数据库的类型、数据库用户密码和用户名称后,直接将SQLRootKit.asp文件上传到网站目录中,然后在浏览器中输入地址打开即可使用。打开后,在分别在“SQL用户名”和“SQL密码”中输入获取的SQL用户名“sa”和密码“***”,然后在执行命令前面的输入框中输入需要执行的命令,例如输入“net user”查看系统中的所有用户,输入完毕后,单击“执行命令”后,则会在该网页中显示执行结果,如图1所示。
图1在SQLRootKit1.0中执行命令
&
说明
(1)目前很多杀毒软件都会对SQLRootKit1.0网页木马进行查杀,因此在使用前最好使用一些网页加密软件进行加密。
(2)SQLRootKit1.0中只能利用本地的SQL Server数据库来执行命令,如果数据库服务器跟Web服务器不在同一台计算机上,则SQLRootKit1.0无能为力。
(3)使用经过加密的SQLRootKit 1.0网页木马,其Webshell相当于一个DOSShell,如果未在数据库服务器中删除一些比较危险的dll组件,则该后门可以长期存在。
2.使用SQLRootKit 3.0网页后门控制计算机
(1)
直接运行SQLRootKit 3.0网页后门程序,将SQLRootKit 3.0网页后门直接上传到网站目录,然后在浏览器中输入其对应地址即可,运行界面如图2所示。
图2 运行SQLRootKit 3.0网页后门
&
说明
(1)在SQLRootKit 3.0网页后门中,需要输入“SQL用户名”、“SQL密码”、“SQL服务器”以及“SQL端口”,程序默认SQL Server服务器跟Web服务器在同一台计算机上。
(2)输入“SQL用户名”、“SQL密码”、“SQL服务器”以及“SQL端口”验证正确后才能进行后续操作。
(2)
登录SQLRootKit 3.0网页后门,输入相应的“SQL用户名”和“SQL密码”密码后,单击“Login”按钮,验证正确后进入SQLRootKit 3.0网页后门管理界面,如图3所示。
图3 进入SQLRootKit 3.0网页后门管理界面
(3)
检测组件。单击“检测组件”按钮,程序会自动检测服务器上是否存在XP_cmdshell、sp_oacreate、Xp_regwrite以及xp_servicecontrol这四个SQL组件,检测操作系统版本以及执行权限等信息,并显示在该页面上,如图4所示。
图4 检测SQL组件
&
说明
如果检测出来的组件被系统管理员删除了,则可以单击“恢复组件”按钮进行组件恢复。
(4)
执行命令。在“系统命令”中输入需要执行的命令,并选择运行程序的相应组件。在本例中选择“利用XP_cmdshell扩展”,并在系统命令中输入“net user”命令,然后单击“执行”按钮,其结果会显示在网页中,如图5所示。利用XP_cmdshell扩展命令在执行过程中可能会显示一些错误信息,可以不用管它。
图5执行命令
(5)
上传文件。在SQLRootKit 3.0网页后门中提供了文件上传功能,即在“内容”中粘贴需要上传的文件的内容,在文件路径中输入需要保存的文件的物理路径,输入完毕后,单击“保存”按钮即完成上传文件。
安全防范措施
对于SQLRootKit 3.0网页后门来讲,其防范措施主要有:
(1)勤杀毒,目前很多杀毒软件都能自动识别并查杀这些网页后门程序,因此平时要及时升级杀毒软件病毒库和开启杀毒软件的所有监管选项。
(2)首次完成网站建设后,要保存网站所有文件的列表。例如可以在Dos下输入“dir d:\网站目录\*.* >mywebsite20071218.txt”命令将网站所有文件生成列表文件mywebsite20071218.txt。每一次升级后都要再次生成文件列表,每一次维护时查看文件大小的变化即可。
(3)使用一些网站监控软件进行实时监控。目前国外和国内都有一些网站文件监控软件,一点发现网站文件被改动,软件通过发送邮件或者发送手机短信等方式及时报警,方便管理员进行处理。
小结
本案例介绍了如何利用SQLRootKit 1.0以及SQLRootKit 3.0网页后门来控制计算机,在很多情况下,一般的网页后门程序或者网页木马不能在服务器上执行命令,如果服务器上存在SQL Server服务器,并在获取了数据库用户和账号的情况下可以使用本案例介绍的方法来提升权限或者做留守后门,方便守控肉鸡。
本文转自 simeon2005 51CTO博客,原文链接:http://blog.51cto.com/simeon/55776
