信息來源：酷客天堂
文章作者：lake2
Author: lake2 ( http://lake2.0x54.org )
? 注：本文發(fā)表于《黑客防線》2006年第2期
? 繼WebShell、FTPShell之后，讓我們?cè)賮硗嫱鍿QLShell 吧。?
?
使用數(shù)據(jù)庫考慮最多的就是速度和效率，所以呢，數(shù)據(jù)庫系統(tǒng)就使用了存儲(chǔ)過程這種機(jī)制來提高速度和效率。SQL Server 2000 支持5種類型的存儲(chǔ)過程，這里我們主要說說SQL Server的擴(kuò)展存儲(chǔ)過程，因?yàn)槲覀円盟龊箝T。?

?看看書上對(duì)擴(kuò)展存儲(chǔ)過程的定義：

?在SQL Server 2000環(huán)境之外的動(dòng)態(tài)鏈接庫稱為擴(kuò)展存儲(chǔ)過程，其前綴是xp_。雖然這些動(dòng)態(tài)鏈接庫在SQL Server環(huán)境之外，但是它們可以被加載到SQL Server系統(tǒng)中，并按照使用存儲(chǔ)過程的方式執(zhí)行。?

?呵呵，最典型的擴(kuò)展存儲(chǔ)就是SQL Serve自帶那個(gè)xp_cmdshell，真是殺人滅口居家旅行必備良藥啊。那個(gè)擴(kuò)展存儲(chǔ)需要sysadmin權(quán)限才能執(zhí)行，一旦執(zhí)行了CMD，那可是MSSQL的權(quán)限哦，而MSSQL是以服務(wù)啟動(dòng)的，也就是System權(quán)限，嘿嘿，比管理員大叔的權(quán)力還大！
?為了安全起見，一般管理員大叔都是刪除了xp_cmdshell過程的，更有甚者直接刪掉帶有xp_cmdshell的文件xplog70.dll。這樣多不好啊，我們沒得玩了。?

?我的后門思路就放在擴(kuò)展存儲(chǔ)過程上面，因?yàn)閿U(kuò)展存儲(chǔ)是以dll方式存在，而且那個(gè)dll是用C++編寫且可以任意調(diào)用API函數(shù)。這樣我們就可以寫一個(gè)執(zhí)行CMD的擴(kuò)展存儲(chǔ)（最初我是想直接修改xplog70.dll中xp_cmdshell的名字，不過失敗了，在此略過略過）。
? 擴(kuò)展存儲(chǔ)過程可在VC里創(chuàng)建。創(chuàng)建擴(kuò)展存儲(chǔ)過程的工程之后，VC會(huì)自動(dòng)生成一個(gè)擴(kuò)展存儲(chǔ)過程模板，稍稍看看，你就很容易上手了（MS真是想得周到啊）。?

?這里我主要是去掉了返回值，增加了一個(gè)ShellExecute函數(shù)用于執(zhí)行cmd。ShellExecute函數(shù)可是一個(gè)比較有用的函數(shù)，它可以根據(jù)后綴自動(dòng)選擇相關(guān)聯(lián)的程序打開文件。?

? 以下是其用法：

? HINSTANCE ShellExecute(
? HWND hwnd,
? LPCTSTR lpOperation,
? LPCTSTR lpFile,
? LPCTSTR lpParameters,
? LPCTSTR lpDirectory,
? INT nShowCmd
);?

? 第一個(gè)參數(shù)是句柄，在這里不用；第二個(gè)參數(shù)是對(duì)文件的動(dòng)作，這里選“open”；第三個(gè)參數(shù)是執(zhí)行的文件，這里自然是cmd.exe了；第四個(gè)參數(shù)是命令行參數(shù)，這個(gè)填程序接收到的參數(shù)；第五個(gè)參數(shù)是默認(rèn)目錄，把它空著；最后一個(gè)參數(shù)是程序運(yùn)行時(shí)的顯示方式，MSSQL都是以服務(wù)啟動(dòng)的，這里即使是最大化顯示管理員大叔也是看不到的。
? 好了，所以我們的函數(shù)使用為：

ShellExecute(0,"open","cmd.exe",spParam,NULL,SW_SHOW);?

?spParam是從擴(kuò)展存儲(chǔ)過程得到的參數(shù)，具體的實(shí)現(xiàn)請(qǐng)看源代碼；擴(kuò)展存儲(chǔ)的編寫請(qǐng)參閱MSDN。
?ShellExecute有個(gè)壞處就是看不到回顯，不過這里把權(quán)限拿到了，不要回顯也無所謂。當(dāng)然你也可以自己寫個(gè)顯示回顯的擴(kuò)展存儲(chǔ)過程。
?Ok，擴(kuò)展存儲(chǔ)命名為xp_lake2，dll文件名為xplake2.dll，現(xiàn)在讓我們把它注冊(cè)到SQL Server：

USE master
EXEC sp_addextendedproc 'xp_lake2', 'xplake2.dll'?

?注意，添加擴(kuò)展存儲(chǔ)過程要求連接SQL Server的帳戶有sysadmin權(quán)限；使用相對(duì)路徑的話得把dll文件放到SQL Server目錄的binn之下。
?好啦，我們可以試試效果了，調(diào)用的參數(shù)跟xp_cmdshell一樣，只是沒有回顯。在查詢分析器里調(diào)用它：
USE master
EXEC xp_lake2 'net user > c:\lake2.txt'
? 趕快去C盤看看有沒有生成lake2.txt吧！至于權(quán)限嘛，呵呵，當(dāng)然是system啦。
? SQL Server的擴(kuò)展存儲(chǔ)都要求sysadmin才能執(zhí)行，不爽，讓我們給它改改，讓public也可以玩。
? 如果拿到圖形界面用企業(yè)管理器就可以輕松搞定，只需把xp_lake2的Exec權(quán)限賦給public就ok了。在查詢分析器里就用GRANT：

GRANT exec
On xp_lake2
TO public?
?
然后換一個(gè)普通的SQL Server用戶調(diào)用xp_lake2試試，執(zhí)行命令還是system權(quán)限哦。呵呵，在webshell里試試吧，結(jié)果也一樣的。以下是利用海洋2006調(diào)用這個(gè)擴(kuò)展存儲(chǔ)過程的截圖：


? 因?yàn)榉祷氐闹凳强眨燥@示出錯(cuò)，但是命令是執(zhí)行了的，現(xiàn)在命令行下用net user看看吧：?

?
好啦，文章到此結(jié)束，大家趕緊去留自己的SQLShell吧^_^
? dll可以在這里下載到： http://www.0x54.org/lake2/program/xplake2.dll


地震讓大伙知道：居安思危，才是生存之道。